Due giorni fà è stato isolato un trojan all'interno di un gioco fake per i Phone basati su piattaforme Windows Mobile 2000/02/03/03 Second Edition/5.0/6.0 ma anche basati su piattaforme BREW 2.0 e BREW 3.0
il trojan è
in the wild già dalla data del 22 Marzo scorso.
Il nome originale e non infetto del gioco è 3D Anti-terrorist action, creato dall'azienda cinese
Beijing Huike Technology Co.,Ltd.
versioni infette possono essere scaricate invece da diversi siti presenti in internet, dopo alcune veloci ricerche in internet, ho potuto scaricare anch'io la versione fake del gioco.
Il nome è leggermente diverso, ma creato ad arte per essere cercato e trovato senza troppi problemi eseguendo una semplice ricerca con Google, questo il suo nome
AntiTerrorist 3D 1.0 che, ripeto, non ha nulla a che vedere con quello originale creato dalla
Beijing Huike Technology Co.,Ltd.
Dal sito che ospita questa versione infetta,
geardownload.com che avviserò per farlo togliere dai loro downaload non appena avrò inserito questo articolo, ho potuto vedere che è stato inserito nei download il 27 Marzo 2010, ha un peso di 1.46 MB, all'interno della pagina dedicata al suo download si leggono il developer (
Makar Software). Altro sito che ospitava la versione fake ed infetta era
freewarepocketpc.net dopo una segnalaziona fatta da un utente del forum
xda-developers.com, il gioco è stato rimosso.
La
atspace.com, hosting che offre spazio free o a pagamento, ha rimosso il sito
antiterrorist3d.atspace.com
Al momento solo 2 antivirus riconoscono la minaccia, Kaspersky e
F-Secure un terzo antivirus, Panda, lo rileva come sospetto.
Ecco i dettagli della scansione effettuata servendomi del servizio di
virustotal.com
Il file verrà da me inviato alle aziende che ancora non riconoscono il malware, praticamente tutte. Troverete nei prossimi giorni tutti i dettagli all'interno della sezione
New Malwares presente in suspectfile.com
Qualche dettaglio ora sul trojan
scoperto dai laboratori della Kaspersky.
Una volta lanciato il setup, viene creata in Programmi la cartella relativa al gioco, il file reg.exe (infetto) viene invece inserito nella %WinDir% con il nome di smart32.exe (6120 bytes), vengono create copie dello stesso file con nome PYV7LE~1.EXE e PYMODBOB.EXE e sempre nella %WinDir% viene aggiunta la libreria 1.dll che è la copia di Microsoft.WindowsMobile.Telephony.dll (6904 bytes). Viene creata la sottochiave HKEY_CURRENT_USER\Alpha\
Status.
Analizzando il codice del malware è emerso che:
- è stato scritto da virus-writers russi
- ogni 50 secondi parte una chiamata verso 6 numeri telefonici diversi. Le chiamate hanno tariffe maggiorate - 3,5 € per una durata di 1 minuto e 30 secondi Inghilterra => Somalia -
- le chiamate vengono effettuate durante orari notturni, questo per eludere il controllo da parte del proprietario del phone
- le telefonate saranno indirizzate verso la Somalia, Repubblica Dominicana, São Tomé e Príncipe (Africa centro-occidentale), GMSS, International Networks.
Edit:
dopo ulteriore scansione su virustotal.com ho potuto appurare che ora anche la Sophos ha aggiunto le firme nel proprio db.
Però qualcosa ancora non mi convinceva ed in infatti... ecco un altro programma, sempre della
Makar Software che contiene codice dannoso, anche lui infetto dal trojan Terdial.
Il nome del programma, o meglio di un codec sempre per phone è
codecpack.cab e questa volta è scaricabile dal sito
getabest.com, anche in questo caso avviserò l'admin.
inutile scrivere che anche questo programma è presente all'interno delle pagine di
geardownload.com
