Terdial, il dialer per smartphone

I laboratori di ricerca Kaspersky Lab hanno isolato il Trojan.WinCE.Terdial.a che è capace di effettuare telefonate internazionali verso numeri a tariffazione maggiorata, senza che l'utente si accorga di nulla e che prende di mira gli smartphone con piattaforma Windows Mobile. Kaspersky ha scoperto che alla base degli smartphone colpiti c'è un fattore comune: tutti gli utenti hanno scaricato e installato AntiTerrorist 3D 1.0, un gioco di guerra freeware scaricabile da diversi siti internet. Peccato però che non abbia nulla a che fare con il gioco originale, 3D Anti-Terrorist action, sviluppato dalla cinese Beijing Huike Technology. In particolare i proprietari di telefoni Windows Mobile si sono accorti che i loro cellulari hanno effettuato chiamate a numeri costosi ad una varietà di destinazioni tra cui la Repubblica Dominicana, Somalia e Sao Tome e Principe, senza il loro permesso. Il virus memorizza sulla rubrica telefonica, in maniera automatica sei numeri telefonici, tutti con prefisso internazionale. Per non dare nell'occhio, inoltre, il trojan si attiva durante le ore notturne, quando presumibilmente il possessore dello smartphone sta dormendo.
• +8823460777
• +17675033611
• +88213213214
• +25240221601
• +2392283261
• +881842011123

Il file incriminato è antiterrorist3d.cab. Il suo comportamento, una volta infettato il sistema, risulta essere del tutto simile a quello di un dialer: dopo essersi avviato sfruttando la funzionalità CeRunAppAtTime di Windows Mobile, il malware effettua chiamate verso numerazioni internazionali a pagamento ogni 50 secondi. Ma AntiTerrorist 3D non è l'unico programma infetto distribuito in Rete dalla fantomatica software house Makar: Da alcuni siti Internet, infatti, è possibile scaricare un'altra variante del trojan nascosta nel file codepack.cab in grado di effettuare chiamate ai numeri internazionali con una frequenza addirittura superiore ai 50 secondi. Per causare l'infezione dello smartphone Windows Mobile, il trojan Terdial crea alcuni file all'interno della directory Windows e una sottochiave nel registro di configurazione del sistema operativo. Il trojan si attiva appena l'utente esegue il file antiterrorist3d.cab per avviare l'installazione del presunto gioco. Immediatamente crea nella cartella Programmi dello smartphone una cartella relativa al gioco. Dopodichè, copia nella directory di sistema Windows il file infetto reg.exe. Dopo la prima esecuzione, questo file viene rinominato smart32.exe. Due copie dello stesso file vengono create di nuovo nella stessa directory Windows, assegnando loro i primi nomi PYV7LE~1.EXE e PYMODBOB.EXE. Sempre nella directory Windows viene creata la libreria 1.dll che è la copia della Microsoft.WindowsMobile.Telephony.dll utilizzata da Windows Mobile per gestire le chiamate effettuate con lo smartphone. Infine, viene aggiunto al registro di configurazione la sottochiave HKEY_CURRENT_USER\Alpha\Status. Terminata la sua azione infettiva, il trojan Terdial prende il controllo dello smartphone consumando il credito telefonico.
F-Secure Mobile, Norton Mobile, Kaspersky Mobile, Avira Mobile e LookOout (gratuito), sono in grado di individuare ed eliminare efficacemente i file corrispondenti, disabilitando il malware. Tuttavia, i cambiamenti del sistema rimarranno. Per rimuovere completamente il malware, se non volete effettuare il backup dei dati e successivamente effettuare un hard reset del dispositivo, F-Secure consiglia la procedura illustrata di seguito:

1. Eliminare questi file utilizzando Esplora file:
• \ windows \ smart32.exe
• \ windows \ Microsoft.WindowsMobile.Telephony.dll
2. Eliminare la notifica (\ windows smart32.exe) utilizzando task manager
3. Eliminare la chiave di registro HKEY_CURRENT_USER \ alpha \ Status tramite modifica del Registro di sistema
4. Riavviare

Qui trovate inoltre una videoguida sulla rimozione del malware. Nel 2004 il Trojan Mosqit aveva infettato i telefoni cellulari Nokia con sistema operativo Symbian, costringendo i dispositivi interessati ad inviare messaggi di testo SMS con tariffe d'addebito fino a 5 euro per ogni messaggio cellulare. E 'importante ricordare che i malware per dispositivi mobili sono ancora abbastanza rari, in particolare rispetto alle infezioni sui tradizionali computer Windows. Consigliamo comunque a tutti gli utenti di telefonia mobile di esercitare cautela durante il download e l'installazione di nuove applicazioni.
Via: PocketPc
Tags: Virus Cellulari, Trojan