Jedna ze stron, na której cyberprzestępcy oferują płatne usługi tworzenia takich szkodliwych programów, zawiera następujący komunikat: "Program ten jest bardzo dochodowy. Przypomina album fotograficzny. Po uruchomieniu wyświetla ładny obrazek, a następnie okienko dialogowe: "Aby kontynuować, musisz mieć ukończone 18 lat". Jeżeli użytkownik odpowie "tak", program wyśle SMS-a na krótki numer...
Programy z rodziny Trojan-SMS.Python.Flocker są tworzone dla innej platformy - Python. Zasadniczo jednak są takie same jak Trojany J2ME. Archiwum SIS zawiera główny skrypt napisany w języku Python, który wysyła wiadomości SMS na krótki numer o podwyższonej opłacie. Archiwum zawiera również dodatkowe pliki mające na celu maskowanie szkodliwej aktywności.
Modyfikacje Flockera okazały się bardzo podobne do siebie, a tym, co je różniło, był krótki numer. Podobieństwo to zdawało się sugerować, że kod źródłowy skryptu może być publicznie dostępny. Hipoteza ta potwierdziła się. Źródło skryptu w języku Python zostało opublikowane na forum i jego fragmenty okazały się identyczne z wcześniej wykrytymi szkodliwymi skryptami. Interesujące jest to, że skrypt dostępny do pobrania mógł zainfekować również inne skrypty napisane w języku Python przechowywane w telefonie.
Rozprzestrzenianie
Rosyjscy twórcy wirusów w coraz większym stopniu wykorzystują różne Trojany SMS. Jednym z najpopularniejszych sposobów (istnieje tylko kilka) rozprzestrzeniania takich szkodliwych programów jest wykorzystywanie portali WAP, na których można pobrać różne dzwonki, obrazy, gry i aplikacje dla telefonów komórkowych. Ogromna większość trojanów SMS występuje pod postacią aplikacji, które mogą być wykorzystywane do wysyłania darmowych wiadomości SMS lub uzyskiwania darmowego dostępu do Internetu. Inne są prezentowane jako treści erotyczne lub pornograficzne.
Dlaczego portale WAP? Odpowiedź jest prosta: Rosja znajduje się w pierwszej czwórce państw z największą liczbą mobilnych użytkowników Internetu. Wielu użytkowników odwiedza strony WAP w celu pobierania różnej zawartości na swoje telefony.
Większość stron, na których znajduje się szkodliwe oprogramowanie, pozwala użytkownikom na umieszczanie własnych plików. Minimalne wymagania rejestracyjne, jeżeli w ogóle istnieją, oraz darmowy dostęp do tego rodzaju zasobów online daje cyberprzestępcom możliwość swobodnego rozprzestrzeniania swoich prymitywnych tworów. Jedyne, co muszą zrobić twórcy wirusów, to nadanie zainfekowanemu plikowi kuszącej nazwy (free_gprs, super_porno itp.) i stworzenie atrakcyjnego opisu programu. Później pozostaje im już tylko czekać, aż na taką przynętę złapią się osoby, które chcą "wysłać darmowego SMS-a" lub "obejrzeć zdjęcie pornograficzne".
Po umieszczeniu szkodliwego oprogramowania na stronie WAP cyberprzestępcy muszą ją wypromować. W tym celu często wysyła się masowe wysyłki do użytkowników ICQ lub spamuje fora. ICQ jest wykorzystywany ze względu na popularność tego komunikatora w Rosji i byłych krajach Związku Radzieckiego. Wiele osób ma na swoich telefonach zainstalowane klienty ICQ, aby móc kontaktować się z innymi osobami z dowolnego miejsca; przez to stanowią potencjalne ofiary.
Aspekt finansowy
Wiadomości SMS są jak dotąd jedynym sposobem, za pomocą którego twórcy mobilnych wirusów mogą zarabiać nielegalnie pieniądze. W połowie 2007 roku przeanalizowaliśmy Vivera, pierwszego trojana SMS dla Symbiana, łącznie ze szczegółową analizą sposobów wykorzystywania tego trojana do zarabiania pieniędzy. Dzisiaj ten sam scenariusz jest nadal wykorzystywany w bardziej lub mniej podobnej formie. Stosują go wszystkie trojany SMS.
Aby zarobić nielegalnie pieniądze, cyberprzestępcy muszą nabyć prefiks, lub hasło, połączone z krótkim numerem. Wiele twórców wirusów bierze udział w tak zwanych "programach partnerskich", dzięki którym nie muszą indywidualnie wydzierżawiać krótkich numerów, ale mogą korzystać ze wspólnych. Po zapisaniu się do takich programów partnerskich cyberprzestępcy otrzymują zamiast całego prefiksu kombinację "prefiks +ID partnera". Pieniądze pobrane z kont właścicieli zainfekowanych urządzeń mobilnych są rozdzielane pomiędzy członków programu partnerskiego.
