Эксперты «Лаборатории Касперского» прогнозируют скорую смену лидера в сфере мобильных троянов с функциями отправки SMS на премиум номера с целью обогащения своих владельцев. Такие предположения связывают с появлением нового амбициозного Android-трояна Trojan-SMS.AndroidOS.FakeInst.ef, который ранее действовал лишь на территории России, а в новой версии получил поддержку отправки премиум SMS в 66 странах мира. FakeInst был обнаружен еще в феврале 2013 года, с тех пор появилось 14 разных вариантов трояна. Первые версии умели отправлять премиум SMS только в России, но в конце первого полугодия 2013 года появилась поддержка других стран. Наибольшее количество заражений зловредом Trojan-SMS.AndroidOS.FakeInst.ef было зафиксировано нами в России и Канаде. FakeInst выдает себя за приложение для просмотра порнографического видео. Приложение просит пользователя подтвердить отправку SMS в качестве оплаты за возможность просмотра платного контента. Однако после отправки троян открывает общедоступный сайт. Для отправки SMS-троян расшифровывает свой конфигурационный файл, в котором хранятся все номера и префиксы. Кроме этого, зловред обращается к С&C за новыми указаниями. Среди команд, которые он может получить, хотелось бы выделить отправку SMS с заданным текстом на указанный в команде номер и перехват входящих сообщения. Причем, троян может просто воровать все входящие SMS, а может удалять их или отвечать на них. ы полагаем, что FakeInst был создан русскоязычными злоумышленниками. Во-первых, ранние версии этого троянца были рассчитаны на работу только в России. Во-вторых, все C&C-сервера зарегистрированы и хостятся в российских компаниях. Практически во всех версиях троянца используются один из двух C&C: "x-bt.in", "y-bt.in". Эти адреса были зарегистрированы на имя «Klimon Dmitriy Ivanovich», указавшего московский адрес и российский номер телефона. Эти домены используют DNS-сервера компании FASTVPS.RU. На этом же IP-адресе есть и другие домены, которые зарегистрированы на эти же данные: "botmgr.net", "anid.in", "icemob.net", "ftop.org", "midex.org", "wapon.org".
Источник