Not-a-virus:Porn-Dialer.SymbOS.Pornidal.a jest szkodliwym programem, który wykonuje międzynarodowe połączenia na numery o podwyższonej opłacie. Przed pojawieniem się tego oprogramowania podobne szkodliwe programy atakowały tylko komputery PC.
Not-a-virus:Porn-Dialer.SymbOS.Pornidal.a działa w następujący sposób: po uruchomieniu pliku SIS wyświetlana jest umowa licencyjna, w której można przeczytać, że aplikacja będzie wykonywała międzynarodowe połączenia na numery o podwyższonej opłacie w celu uzyskiwania pełnego dostępu do stron pornograficznych. Aplikacja łączy się z numerami o podwyższonej opłacie w różnych krajach na świecie, w tym w czterech krajach europejskich, czterech afrykańskich i jednym kraju z regionu Australii/Pacyfiku.
Programy te są niebezpieczne, ponieważ mogą być modyfikowane przez cyberprzestępców, tak aby zawierały szkodliwą funkcję i były wykorzystywane do nielegalnego zarabiania pieniędzy. Na przykład, cyberprzestępcy mogą usunąć ostrzeżenie, że aplikacja będzie łączyła się z numerami o podwyższonej opłacie. Poza tym, wiele osób nie zwraca uwagi na umowy licencyjne oraz na to, jakie działania może wykonywać aplikacja.
TROJANY SMS: GŁÓWNE ZAGROŻENIE
Wystarczy pobieżny rzut oka na ewolucję zachowań szkodliwego oprogramowania, aby zauważyć, że dominującą funkcją jest wysyłanie wiadomości SMS na numery o podwyższonej opłacie bez zgody użytkownika. Trzy lata temu funkcję tę posiadały tylko dwie rodziny mobilnego szkodliwego oprogramowania, obecnie - aż 32 rodziny. Około 35% mobilnych szkodliwych programów wykrywanych przez firmę Kaspersky Lab wysyła wiadomości SMS. Jak widać, trojany SMS są obecnie dominującym typem zagrożenia. Tendencje, które doprowadziły do tej sytuacji, zostały opisane w artykule dotyczącym ewolucji szkodliwego oprogramowania opublikowanym we wrześniu 2008 roku (http://www.viruslist.pl/analysis.html?newsid=509).
Szkodliwa funkcja
Java 2 Micro Edition (J2ME) jest głównym środowiskiem trojanów SMS. Trojany SMS stworzone dla tej platformy stanowią zagrożenie, ponieważ mogą rozprzestrzeniać się między różnymi platformami. Jeżeli telefon komórkowy (niekoniecznie smartfon) posiada zintegrowany system Java Virtual Machine, Trojan-SMS.J2ME będzie mógł zostać uruchomiony na urządzeniu.
Ogromna większość trojanów J2ME działa w następujący sposób: archiwum JAR zawiera kilka plików klas, z których jeden wysyła płatną wiadomość SMS na krótki numer. Inne pliki klas służą zamaskowaniu obecności szkodliwego pliku. Archiwum może zawierać również obrazy, zwykle o charakterze erotycznym, oraz plik-wykaz, który może być niekiedy wykorzystywany przez szkodliwe oprogramowanie do wysyłania wiadomości.
Zaraz po uruchomieniu Trojan-SMS.J2ME próbuje wysłać wiadomość SMS z określonym tekstem na krótki numer. W tym przypadku, Java machine ostrzega użytkownika, że aplikacja próbuje wysłać SMS-a. Użytkownik może zablokować wysłanie SMS-a. Niektórzy twórcy szkodliwego oprogramowania zdali sobie z tego sprawę i zaczęli tworzyć swoje szkodniki w taki sposób, aby szkodliwe działanie zostało zamaskowane w bardziej złożony, a niekiedy wręcz niekonwencjonalny sposób.
Przykładem może być Trojan-SMS.J2ME.Swapi.g, który po uruchomieniu wyświetla powitanie, w którym pyta użytkownika, czy chce obejrzeć zdjęcie pornograficzne. Aby zobaczyć zdjęcie, użytkownik musi wcisnąć "tak" w czasie, gdy jest odtwarzana krótka melodyjka. (W archiwum JAR programu przechowywany jest zarówno plik png zawierający obraz, jak również plik midi z melodyjką). Użytkownik, który próbuje wcisnąć "tak", w czasie gdy słyszy melodyjkę, nie ma pojęcia, że za każdym razem, gdy wciska przycisk (niezależnie od tego, czy leci w tym czasie melodyjka czy nie), wysyła SMS-a na krótki numer, a z jego konta pobierana jest pewna kwota pieniędzy.
