Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Find and Call: wyciek i spam

Denis Maslennikow
Kaspersky Lab Expert
Dodany 6 lipca 2012, 11:19 CEST
Tagi:

Wczoraj skontaktował się z nami nasz partner MegaFon, jeden z największych operatorów telefonii komórkowej w Rosji. Firma ta powiadomiła nas o podejrzanej aplikacji Find and Call, wykrytej zarówno w Apple App Store jak i Google Play. Na pierwszy rzut oka wyglądała ona jak robak SMS rozprzestrzeniający się za pośrednictwem krótkich wiadomości tekstowych do wszystkich kontaktów przechowywanych w książce telefonicznej. Wiadomości SMS zachęcały odbiorców do pobrania i zainstalowania aplikacji Find And Call.

Jednak nasza analiza wersji iOS oraz Androida tej samej aplikacji wykazała, że nie jest to robak SMS, ale trojan, który przesyła książkę telefoniczną użytkownika na zdalny serwer. Część „replikacyjna” jest wykonywana przez serwer – SMS-owe wiadomości spamowe z adresem URL do aplikacji są wysyłane ze zdalnego serwera do wszystkich kontaktów w książce adresowej użytkownika.

Aplikacja nosi nazwę „Find and Call’ i znajdowała się zarówno w iOS Apple App Store jak i Google Play Androida.

Find and Call w Apple Store

Find and Call w Google Play

Wszystkie komentarze użytkowników (zarówno w Apple Store jak i Google Play) wyrażają złość i zawierają tę samą skargę, że aplikacja wysyła spam SMS:

Komentarze

Po zainstalowaniu w menu Androida/iOS pojawia się następująca ikona:

Jeżeli użytkownik uruchomi aplikację, zostanie poproszony o zarejestrowanie się w niej przy użyciu swojego adresu e-mail oraz numeru telefonu (oba pola nie zostaną sprawdzone pod kątem poprawności). Jeżeli użytkownik będzie chciał „znaleźć znajomych w książce telefonicznej”, jego dane z książki telefonicznej zostaną potajemnie (bez umowy licencyjnej z użytkownikiem końcowym/warunków korzystania/powiadomień) przesłane na zdalny serwer w następującym formacie:

http://abonent.findandcall.com/system/profile/phoneBook?sid=

Poniżej procedury wykorzystywane do przesyłania książki telefonicznej do zdalnego serwera:

procedura dla iOS

procedura dla Androida

Lista pól pobieranych z książki telefonicznej:

Obie aplikacje potrafią również przesyłać współrzędne GPS użytkownika do tego samego serwera, jednak „funkcja” ta nie jest żądną nowością - ani dla szkodliwych, ani dla legalnych aplikacji.

Co się dzieje następnie? Użytkownik będzie mógł nadal korzystać z aplikacji, jednak w tym samym czasie aplikacja ta będzie kradła dane z urządzenia (książka telefoniczna oraz numery telefonów komórkowych), które zostaną przesłane do zdalnego serwera w celu wykorzystania ich w SMS-owych kampaniach spamowych. Każdy wpis do książki telefonicznej otrzyma spamową wiadomość SMS, która będzie zachęcała do kliknięcia adresu URL i pobrania aplikacji „Find and Call”. Warto wspomnieć, że pole „Od” zawiera numer komórkowy użytkownika. Innymi słowy, użytkownicy będą otrzymywać spamową wiadomość SMS z zaufanego źródła.

Wiadomość spamowa SMS (Teraz jestem tutaj i łatwiej jest skontaktować się ze mną za pomocą darmowej aplikacji[URL]’)

Skrócone FAQ.

  1. Czy te aplikacje są szkodliwe?
    Tak.
  2. Dlaczego?
    Obie aplikacje przesyłają książkę telefoniczną użytkownika do zdalnego serwera i wykorzystują ją w SMS-owych kampaniach spamowych. To dlatego wykrywamy je jako Trojan.AndroidOS.Fidall.a araz Trojan.IphoneOS.Fidall.a
  3. Kto je stworzył?
    Dobre pytanie. Strona internetowa tej aplikacji pozwala użytkownikowi (po zalogowaniu się do swojego konta) „wprowadzić” konta, jakie posiada na portalach społecznościowych, konta pocztowe (wygląda na to, że również te dane zostaną wykorzystane), a nawet PayPala (!) w celu wpłacania pieniędzy na swoje konto.

Jeżeli użytkownik spróbuje wpłacić pewną ilość pieniędzy, zorientuje się, że przelewa środki firmie o nazwie ‘LABWEALTH.COM PTE. LTD.’

Jeżeli sprawdzimy jej stronę firmową, 'labwealth.com', dowiemy się, że jest to firma z siedzibą w Singapurze o nazwie „Wealth Creation Laboratory”. Przy okazji, firma ta ma naprawdę ładne hasło: „Let's create together the world of plenty and prosperity!”

Szkodniki w Google Play nie są żadną nowością, jednak przypadek szkodliwego oprogramowania w Apple App Store odnotowaliśmy po raz pierwszy. Warto zaznaczyć, że w iOS Apple App Store nie zidentyfikowano żadnego szkodliwego programu od czasu uruchomienia tego sklepu 5 lat temu. Jednak główny problem dotyczy prywatności użytkownika. Nie po raz pierwszy mamy do czynienia z incydentami związanymi z danymi osobistymi użytkownika i ich wyciekiem. Jest to pierwszy raz, gdy potwierdziliśmy przypadek wykorzystania takich danych w szkodliwych celach.

Nie ma wątpliwości, że obie aplikacje muszą zostać usunięte z oficjalnych sklepów. To prawda, że te szkodniki nie są aż tak „cyberkryminalistyczne”. Jednak szkodliwe oprogramowanie to szkodliwe oprogramowanie, a w tym przypadku kradnie książkę telefoniczną użytkownika i wykorzystuje ją do rozsyłania spamowych wiadomości SMS. Nie ma wątpliwości, że takie incydenty muszą spotkać się z szybką i ostrą reakcją. Kropka. Podziękowania należą się moim kolegom: Igorowi Soumenkowi, Aleksowi Gostewowi, Sergiejowi Golowanowowi, Romanowi Unuchekowi oraz Costinowi Raiu.

Aktualizacja

Rosyjski blog AppleInsider.ru opublikował informacje o tej samej aplikacji. Udało im się skontaktować z autorem Fidall, od którego otrzymali następującą odpowiedź:

(c) AppleInsider.ru

[Tłumaczenie]

Re: Działanie aplikacji

5 lipca 2012. 12:10

Dzień dobry!

System jest w fazie testów beta. Na skutek błędu w jednym z komponentów następuje spontaniczne wysyłanie zapraszających wiadomości SMS. Trwa naprawianie tego błędu. SMS-y są wysyłane przez system, dlatego nie będzie to miało wpływu na twoje konto mobilne.

Aktualizacja 2

Spam e-mail został potwierdzony

Aktualizacja 3

16:13 PM czwartek (czas GMT) Wbrew niektórym publicznym raportom, szkodliwe aplikacje dla iOS oraz Androida nadal można pobrać w tych sklepach.

Aktualizacja 4

Obie aplikacje zostały usunięte z Apple Store/Google Play

P.S.

Jeszcze jeden ciekawy szczegół na temat Fidall. W kodzie można znaleźć takie magiczne wartości w systemie szesnastkowym jak '0xBEEFDEAD' czy '0xFACEDEAD' (zobacz zrzut ekranu poniżej).

”Tworzenie” fraz z liczbami w systemie szesnastkowym nie jest niczym nowym. Podobne rzeczy zostały zidentyfikowane w wielu różnych szkodliwych aplikacjach.