Eksperci od bezpieczeństwa spotkali się z zupełnie nowym, a do tego nieco nietypowym koniem trojańskim, który przede wszystkim… przeklina. W swoim działaniu wykorzystuje przede wszystkim sfałszowane BTS-y. Nie są one jednak wykorzystywane w bardzo tradycyjny sposób, czyli do namierzania lub podsłuchiwania ofiary, a „jedynie” do zarażania urządzenia, z którego korzysta ofiara. Zainfekowany telefon z pewnością jest ogrom zaskoczeniem dla samego użytkownika.
Zainfekowanie czyjegoś telefonu? Żaden problem!
Jak się okazuje, aby zainfekować dowolny telefon wcale nie trzeba być specjalistą od IT, zwyczajnie wystarczy posiadać w portfelu kilkaset dolarów. Właśnie tyle potrzeba, żeby na chińskim rynku kupić fałszywe BTS-y, nagminnie sprzedawane w tamtych rejonach przez całe firmy. Posiadając już takiego IMSI Catchera, który w Polsce posiada swój odpowiednik w nazwie „jaskółka” i który można równie dobrze wykonać samodzielnie w warunkach domowych. Tyle wystarczy, żeby po jego włączeniu wszystkie telefony znajdujące się w pobliżu automatycznie „przypinają się” do włączonego urządzenia.
SMS-y o dziwnych treściach
Kolejnym krokiem oprogramowania jest wysyłanie do użytkowników podpiętych telefonów SMS-ów o raczej dziwnych treściach, wyglądających w dodatku, jakby został wysłany przez któregoś z operatorów telefonii komórkowej, na przykład China Mobile czy China Unicom. Treść wiadomości zachęca do otwarcia linku, jaki się w niej znajduje, a następnie przejście przez instalację złośliwego oprogramowania.
To oczywiście dopiero początek
Trojan po rozpakowaniu i zainstalowaniu się w krótkim czasie samodzielnie rozsyła się do wszystkich osób znajdujących się w książce adresowej ofiary, usiłując dokonać zarażenia w dokładnie ten sam sposób, co u pierwszego użytkownika. Złośliwe oprogramowanie zajmuje się wykradaniem danych użytkownika i jednocześnie daje szansę na omijanie dwuskładnikowych uwierzytelnień za pomocą podsłuchiwania treści przychodzących wiadomości. Prawdopodobnie jednak to złośliwe oprogramowanie nie komunikuje się z żadnym innym C&C, a wszystkie dane wysyłane są bezpośrednio do atakującego.
Dlaczego się na to łapiemy?
Oprogramowanie jest sprytne, ponieważ, żeby zachęcić użytkowników do otwierania linków zawartych w wiadomościach, stosują skuteczne metody: związane z koniecznością ściągnięcia i otwarcia dokumentu oraz wysłaniu w trybie pilnym komentarzy do niego przełożonemu, możemy spodziewać się MMS-a z filmem dokumentującym zdradę naszego partnera lub nas samych, a także mniej osobiste, związane z ważnymi wydarzeniami politycznymi czy z życia kulturalnego oraz aktualizacje oprogramowania któregoś z dostawców usług, z jakich korzystamy na co dzień.