Hace algunos días, los usuarios que visitaban sitios web rusos de distribución de programas para smartphones y agendas electrónicas se comenzaron a quejarse de que casi cada nuevo archivo CAB (como archivos de instalación de Windows Mobile) contenía dos archivos ejecutables “extra”. Ambos archivos se habían visto en archivos comprimidos de diferentes programas y juegos.
Como imaginábamos, los archivos eran maliciosos. El primero se instala en el aparato con el nombre srvupdater1.exe, y es un descargador de troyanos que los productos Kaspersky Lab detectan como Trojan-Downloader.WinCE.MobUn.a. El segundo archivo, que se instala como msservice.exe, es un troyano de SMS que detectamos como Trojan-SMS.WinCE.MobUn.a.
Ambos troyanos descargan sus propios parámetros de operación de una URL que tiene el siguiente formato: http://m*******t.ru/index.php?******=param.
Trojan-SMS.WinCE.MobUn trata de conectarse a la URL de arriba y, si logra hacerlo, descarga la siguiente información:
- param1 = 9;
- param2 = 1;
- param3= 1121;
- param4= 2*************s;
- param5=.
Los parámetros de arriba significan lo siguiente: param1 es el intervalo de tiempo que transcurre entre los SMS que se envían, param2 es el número de la versión del troyano, param3 es el número al que se envían los mensajes SMS (en este caso, se envían al número 1121; cada mensaje cuesta 3,5 rublos, lo que equivale a poco más de 10 centavos), param4 es el texto que se envía en los mensajes SMS, y param5 es la URL para descargar una nueva versión del troyano.
Cuando escribí esta entrada, param5 seguía vacío.
Trojan-Downloader.WinCE.MobUn descarga los mismos datos desde la misma URL, pero está interesado principalmente en param5. Si este parámetro no está vacío, el troyano descarga la nueva versión de Trojan-SMS.WinCE.MobUn de la URL mencionada en param5. Después elimina la versión antigua del troyano SMS y ejecuta la nueva:
Ya habíamos visto troyanos de SMS que descargan los datos de sus operaciones de un servidor remoto manejado por cibercriminales. En 2008, detectamos programas maliciosos para dispositivos móviles que trataban de descargar nuevos archivos de un servidor remoto (Worm.WinCE.InfoJack fue el primero en hacerlo). Pero un paquete con un Troyano Downloader y un Troyano de SMS representa una nueva etapa en la evolución del malware para teléfonos móviles.
El dúo dinámico