Эксперты «Лаборатории Касперского» обнаружили червь, нацеленный на пользователей Sipnet

Эксперты «Лаборатории Касперского» обнаружили червь, который нацелен на сервис VoIP звонков Sipnet. После запуска мобильного устройства червь регистрирует мобильное устройство в Sipnet и запускает SMS-спам рассылку, после чего загружает все входящие от адресата Sipnet сообщения (или содержащие в тексте слово sipid) на сервер.

Владелец не догадывается, что червь на мобильном устройстве не только создает аккаунт Sipnet, но также всецело контролирует его – пополняет счет Slipnet с зараженного мобильного устройства при помощи услуги мобильных платежей, предоставленной оператором.

«Этот аккаунт может использоваться для совершения звонков: отправив соответствующее SMS на специальный номер с зараженного телефона, можно настроить перенаправление всех Sipnet вызовов на другой телефон, а также заказать звонок. В итоге за счет пользователя будут осуществляться звонки без его ведома», - сообщают эксперты «Лаборатории Касперского». Worm.AndroidOS.Posms.a оказался многофункциональным, так как может самостоятельно закачивать и устанавливать Android приложения, блокировать входящие звонки, начинать или прекращать DoS-атаку, а также рассылать спам.

Благодаря такой функциональности, вредоносное ПО, на первых порах, достаточно активно распространялось, так, KIS для Android предотвратил более 400 установок червя менее чем за сутки. Пик заблокированных установок вредоносного ПО произошел через 5 часов после распространения вредоносного ПО, впоследствии чего сервер разработчиков червя оказался недоступным. Таким образом, количество заражений существенно уменьшилось.

В новой версии вредоносного ПО сервер распространения и C&C были разделены. Как и в первый раз, разработчики червя отключили сервер его распространения, несмотря на то, что вредоносное ПО обладает высокой функциональностью.