247833

Selbst gestricktes Malware-Toolkit für Erpressungsversuche

05.03.2008 | 15:33 Uhr |

Ein Sammlung teilweise schon bekannter Malware für Smartphones erweist sich bei näherer Betrachtung als mit Bedacht zusammengestelltes Toolkit, dessen Komponenten aufeinander abgestimmt sind, um Geld zu erpressen.

Auf den ersten Blick erscheint die Sammlung von Malware, die "SymbOS/MultDropper.CR" auf einem Smartphone installiert, einander widersprechende Funktionen aufzuweisen. Eine genauere Analyse des Pakets zeigt jedoch, dass sich derjenige, der es zusammen gestellt hat, etwas dabei gedacht hat. Der Antivirus-Hersteller McAfee berichtet über ein China entdecktes Malware-Paket für Smartphones, die auf Symbian Serie 60 basieren. Es soll von seinen Opfer Geld erpressen.

Das als SIS-Installationspaket verbreitete Trouble-Quartett SymbOS/MultDropper.CR besteht aus den Schädlingen SymbOS/Commwarrior.C, SymbOS/Beselo.B1, SymbOS/SmsSend.F-G sowie SymbOS/Kiazha.A. Die Commwarrior-Familie pflanzt sich per MMS oder Bluetooth fort und ist seit längerer Zeit bekannt und verbreitet. Die anderen Komponenten senden SMS, leiten sie an den Malware-Schreiber weiter oder löschen sie.

Das scheint zunächst widersprüchlich, es kommt jedoch auf die richtige Reihenfolge an, wie sich zeigt. SymbOS/SmsSend.F sendet eine SMS, die ein neues Konto bei dem in China populären Online-Dienst QQ beantragt. SymbOS/SmsSend.G leitet eingehende SMS an den Malware-Programmierer weiter. SymbOS/Kiazha.A löscht Kopien erhaltener oder verschickter SMS, um diese Spuren zu verwischen.

Der Besitzer des befallenen Mobiltelefons wird mit Hilfe der bekannten Schädlinge Commwarrior und Besolo, die erhebliche Kosten durch den Versand von MMS verursachen, überzeugt, dass sein Gerät infiziert ist. Dann erhält er die Meldung, es soll 50 Yuan (etwa 5 Euro) in der Online-Währung von QQ an den Erpresser zahlen. Andernfalls würde sein Mobilgerät "paralysiert". Für den Fall, dass das Opfer kein QQ-Konto hat, beantragt die Erpresser-Software eines für ihn.

Jimmy Shah berichtet im McAfee Avert Blog über die Entdeckung dieses Crimeware-Pakets. Er fügt hinzu, dass solche Sammlungen existierender Malware normalerweise von Leuten zusammen gestellt werden, die keine Virenprogrammierer sind. In diesem Fall scheint es jedoch anders zu sein, denn das Paket ist sorgfältig geschnürt und auf Gewinnerzielung getrimmt. Auch wenn es sich hierbei um ein chinesisches Beispiel handelt, dürfte es relativ einfach sein eine Version dieses Pakets zu erstellen, die in anderen Ländern ähnlich funktionieren kann.

0 Kommentare zu diesem Artikel
247833