Analistas da Kaspersky Lab detectaram o trojan SMS Trojan-SMS.AndroidOS.FakeInst.ef que ataca usuários em 66 países, incluindo Argentina, Bolívia, Brasil, Chile, Colômbia, Equador, México, Perú e Venezuela. O FakeInst foi detectado pela Kaspersky Lab em fevereiro de 2013 e desde então apareceram 14 versões diferentes deste Trojan. As primeiras versões só eram capazes de enviar mensagens a números comerciais na Rússia, mas em meados de 2013 apareceram outros países na “lista de apoio”.
Segundo estatísticas da Kaspersky Lab, a maioria das infecções causados pelo Trojan-SMS.AndroidOS.FakeInst.ef ocorreram na Rússia e no Canadá.
Distribuição geográfica das infecções causadas pelo Trojan-SMS.AndroidOS.FakeInst.ef
Nesta nova versão o FakeInst se camufla como uma aplicação para assistir vídeos pornográficos. O aplicativo pede ao usuário que aceite enviar uma mensagem de texto para comprar os conteúdos. Depois de enviar a mensagem, o Trojan abre um site de livre acesso.
Para enviar a mensagem, o Trojan decifra um arquivo de configuração que contém todos os números e prefixos telefônicos. Desta lista, o FakeInst seleciona os números e prefixos apropriados para o código do país para o usuário móvel (MCC). “Por exemplo, o FakeInst é capaz de enviar 3.085 diferentes modificações de textos a números telefônicos curtos, normalmente utilizados para concursos e promoções, sem que o dono do celular se dê conta e, desta maneira, o cibercriminoso ganha dinheiro de maneira ilícita. No México, o Trojan envia a mensagem para um número de 5 dígitos, no Chile, para um número de 4 dígitos, no Brasil para um número de 5 dígitos, e o mesmo para a Argentina. No Equador, Perú, Colômbia e Venezuela o Trojan envia mensagens para um número curto de 4 dígitos, enquanto na Bolívia para um número de 3 dígitos”, explicou Dmitry Bestuzhev, diretor da equipe de investigação e analises da Kaspersky Lab para a América Latina.
O Trojan também se comunica com seu servidor de controle e comando para receber mais instruções. De todos os comandos que recebe e processa, ele encontra a habilidade de enviar uma mensagem com um conteúdo específico para um número que aparece listado no comando do CC, além da habilidade de interceptar mensagens novas. O Trojan pode fazer várias coisas com as novas mensagens: roubá-las, eliminá-las ou até mesmo responde-las.
“A economia da América Latina tem estado estável e em crescimento, junto ao crescimento exponencial dos usuários móveis na região que tem internet, é possível que os criminosos se foquem em nossa região. A combinação mortal para um usuário é ter o hábito de ver pornografia no celular e não ter um antivírus em seu dispositivo móvel. A única maneira de não perder dinheiro da sua conta por conta deste Trojan é tendo um antivírus que o detecte e impeça sua instalação”, afirmou Bestuzhev.
Analistas da Kaspersky Lab consideram que o FakeInst é obra de cibercriminosos russos, já que suas primeiras versões estavam desenhadas para funcionar somente na Rússia e porque todos os seus servidores CC estão registrados e alojados com provedores deste país.
Mais informações sobre o trojan FakeInst estão disponíveis em Securelist.