Security Lab

Trojan-SMS.J2ME. Konov.aa

Trojan-SMS.J2ME. Konov.aa

Троянская программа, поражающая мобильные телефоны, использующие Java (J2ME). Мидлет осуществляет несанкционированную пользователем отсылку SMS-сообщений на платные номера.

Троянская программа, поражающая мобильные телефоны, использующие Java (J2ME). Мидлет осуществляет несанкционированную пользователем отсылку SMS-сообщений на платные номера. Является JAR-архивом, содержащим в себе вредоносный Java-класс. Имеет размер 2834 байта.


name="doc3">

Деструктивная активность

Вредоносный JAR-архив содержит следующие файлы:

Meta-inf\Manifest.mf
(306 байт)
HotSex.class
(3114 байт; детектируется Антивирусом Касперского как "Trojan-SMS.J2ME.Swapi.c")
ico.png
(881 байт; детектируется Антивирусом Касперского как "Trojan-SMS.J2ME.Konov.aa")

Вредоносный функционал мидлета реализован в классе с именем "HotSex", содержащем код для отправки SMS-сообщений на определенные платные номера. Номера для отправки сообщений, а также их тексты считываются при помощи функции "getAppProperty" из файла:

<полный путь к вредоносному JAR-архиву>\Meta-inf\Manifest.mf
Считываемые строки имеют следующий формат:
kis: <текст сообщения>
wix: <текст сообщения>
a: <номер для отправки сообщения>
...
e: <номер для отправки сообщения>
К примеру:
kis: domxes 701
wix: 701
a: 41***4
b: 41***5
c:
d:
e:
Количество отправляемых SMS-сообщений зависит от содержимого файла "Manifest.mf". Максимум может быть отправлено 8 сообщений со следующими параметрами:

Если требуемые строки в файле "Manifest.mf" отсутствуют, то сообщения без текста будут отправляться на номер:

1***71
Мидлет устанавливается в телефоне под именем "lite" и отображается как "HotSex":

Наш канал защищен лучше, чем ваш компьютер!

Но доступ к знаниям открыт для всех

Получите root-права на безопасность — подпишитесь