Java MIDletをインストールしたモバイルデバイスを標的とする、SMS送信型トロイの木馬がマレーシアで出回っている。一部の被害者は、Samsungからのアップデートのように見えるSMSメッセージを受信したと報告している。


samsung_update_trojan
Samsungからのアップデートのお知らせのように見えるメッセージ



  しかしリンクをクリックすると、JARファイルに導く他のリンク(http://mmgbu[...].com:90/[...].jar)にリダイレクトされる。このJARファイルは、同マルウェアが複数の短いナンバーにSMSメッセージを送信するよう、詳細を実行する。

  実行されると、同トロイの木馬は3つのSMSメッセージを(たいていは有料課金番号に)ユーザの同意無しで送信する。コンテンツと受信番号は以下の通り:
- “On GB” to 39914
- “On DF” to 39914
- “On HB” to 33499


  次に、「HOT WEB DL」というタイトルと、「DANCE CLUB」「BEACH GIRLS」「FUNNY VIDEO」「GT MODEL」「HOT CAM」という5つのセクションに分類された女性の画像が示される。オプションが選択されると、「On(コンテンツ)」というストリングを含むSMSメッセージを、(ナンバー)に送信する。コンテンツは以下の通り:
- HB
- MODEL
- LY
- AV
- GA


  これらのメッセージは、後で以下のナンバーに送信される:
- 33499
- 33499
- 36660
- 36660
- 36989



smssy_manifest
メッセージコンテンツと受信番号の詳細を含むファイル



smssy_picladies
「SmsSy.A」が使用する画像



  同じトロイの木馬の別のサンプルを分析したところ、異なるコンテンツと受信番号が割り当てられていることが分かった:


smssy_manifest2
「SmsSy.A」の他のサンプルには異なるコンテンツとナンバーが割り当てられていた



smssy_picmtv
「SmsSy.A」により使用された異なる画像



  我々は問題のあるURLを適切に査定し、「Trojan:Java/SmsSy.A」として検出している。

Sha-1: 75a91ac99cb5bc2a755d452393d29fa66a323c3f
Sha-1: bca72058af2a7ddb9577ecb9a61394a31aea5767



Blog post by - Jordan and Raulf