Trojan-SMS.WinCE.Sejweek

Los nuevos programas que atacan a los dispositivos móviles ya no llaman la atención de los medios; ya nos hemos acostumbrado al malware para smartphones. Pero de vez en cuando aparece uno que sobresale del resto: y, en este caso, es Trojan-SMS.WinCE.Sejweek.a, un nuevo programa diseñado para enviar mensajes SMS desde un dispositivo infectado. ¿Qué lo diferencia de otros troyanos de SMS? Veamos lo que hace:

La mayoría de los programas que envían mensajes SMS a números Premium utilizan un número y un mensaje de texto que están codificados en el mismo malware. Pero Sejweek es un poco diferente: cuando se lo ejecuta, el troyano intenta descargar un archivo XML al smartphone desde http://today*******.cn/*****/*****/get.php. Al momento de escribir esta entrada, el archivo se veía así:

Este archivo contiene el número Premium (rodeado de la etiqueta); el texto SMS (); y el tiempo que debe transcurrir entre los mensajes que se envíen (). Al separar el número en otro archivo, en lugar de dejarlo en el mismo malware, se hace más fácil cambiar el número si el primero se bloquea, lo que extiende el tiempo de ataque y maximiza las ganancias.

Si el archivo XML se descarga con éxito, el malware decodifica “YGLYGLMKTYGL” y “YGLYGL” (por ejemplo, el número a los que se envían los SMSs y el tiempo de espera entre el envío del siguiente SMSs) y lo convierte en “1151” y “11”. En otras palabras, los mensajes que dicen 60*** se envían al número Premium 1151 con un intervalo de 11 segundos entre mensajes. Como cada SMS que se envíe al 1151 cuesta alrededor de 40 rublos (poco más de $1), las pérdidas de los dueños de los aparatos infectados pueden ser substanciales.