CERT Orange opisuje szczegóły działania szkodliwego oprogramowania SMS Factory, którego przypadki niedawno wykryto także w Polsce. W skrócie chodzi o malware, który w tle i bez świadomości użytkownika wysyła wiadomości SMS Premium oraz dzwoni na płatne numery telefonów.
Opis sprawy na blogu CERT Orange zaczyna się od odwołania do oszustwa z połowy listopada, kiedy to ktoś za pośrednictwem WhatsAppa deklarował możliwość wygrania nagrody w loterii Milki po rozesłaniu danej wiadomości do 20 osób. Tutaj rzecz sprowadzała się do wygenerowania kosztów poprzez wysyłanie odpowiedzi na pytania na zagraniczny numer kontaktowy. Orange opisuje sprawę na przykładzie wysłania w tle 190 SMS-ów do Egiptu, z których przestępca zarabia nawet połowę.
Świeższy przypadek dotyczy natomiast oprogramowania identyfikowanego jako SMS Factory, które w praktyce jest głównym problemem powiązanym z wykorzystywanymi domenami do wcześniejszego oszustwa “na Milkę”. Kiedy Orange je zablokował, okazało się, że część adresów była także wykorzystywana do regularnego przekazywania innych danych i masowej wysyłki SMS-ów. W efekcie udało się ustalić inne domeny wykorzystywane do instalacji fałszywego oprogramowania, które w przypadku klientów Orange jest już blokowane.
CERT Orange podaje, że w niektórych przypadkach fałszywy link rozsyłany przez komunikatory prowadzi najpierw do pobrania aplikacji dla dorosłych, a później do Google Play, gdzie oferowana jest aplikacja do pobierania filmów, którą zainstalowano już ponad 50 mln razy. Teoretycznie nie robi nic złego, ale Orange zwraca uwagę, że program bardzo spowalnia smartfon, w tle skanując urządzenie na wszelkie możliwe sposoby. Szczegóły jego działania są nadal analizowane.
