Перейти к содержанию
K_Mikhail

Security Alert: CI4 SMS Bot

Автор K_Mikhail, в Защита мобильных устройств

Recommended Posts

K_Mikhail    807

K_Mikhail
Опубликовано

Security Alert: CI4 SMS Bot

22 June 2012

Lookout has identified a new SMS bot (a mechanism that allows for automatically sending SMS messages) that thus far has been distributed via email spam campaigns. When downloaded, the malware – which we’ve dubbed CI4 – sends identifying information off the infected device to a remote server. CI4′s most unique trait, however, is that it employs Twitter to obfuscate the data transmission channel: CI4 acquires its command and control host address from algorithmically generated Twitter accounts. Lookout has notified Twitter of the affected accounts and all Lookout users are automatically protected from this threat.

How it works

CI4 is seeded through a spam email campaign. If a smartphone user activates the download and follows through with installation, CI4 is installed without a launcher icon, making it difficult for users to recognize that their system is affected. Instead of relying on a user to open the app, CI4 is activated by system events broadcast when the device is powered on or woken up. Once installed and active, CI4 sends identifying device information to its command and control server that includes IMEI and phone number, along with identifying information about the malware itself that includes “bot id” and a list of “modules.” At this time, CI4 only appears to respond to a remote command to send arbitrary SMS content to a server-supplied number. It does not currently intercept or abort SMS broadcasts, meaning that its ability to defraud users via premium SMS messages is significantly diminished.

To remain flexible, CI4 uses Twitter’s social media system. CI4 acquires its command and control host from algorithmically generated twitter accounts. The following image shows C&C information being displayed by one of the generated accounts:

CI4_twitter_full_redact.jpg

We’ve notified Twitter and requested action on the affected accounts.

Источник

Детект на 25 июня 2012: https://www.virustotal.com/file/fc9083a1e39...624e8/analysis/

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты
Перейти к списку тем Защита мобильных устройств

  • Сообщения

    • demkd
      uVS - Тестирование

      От demkd · Опубликовано

      прогресс теперь графически отображается на плашке окна, проценты в заголовке больше не нужны, убрано все лишнее что влияло на производительность. Если нет реестра это проблема и с ней надо разбираться, а если есть то он подключен и анализируется.
        что значит поиском по эцп? по имени подписавшего файл или по сертификату или по хэшу сертификата.
        В прошлых версиях оно выводилось в 2х кодировках последовательно, что просто забивало лог мусором,  причем в разных системах правильная кодировка своя я опрометчиво решил, что нашел способ выбирать правильную, но оказывается в 7ке все не так как в младших и старших системах, придется для нее прописывать кодировку отдельно.
    • PR55.RP55
      uVS - Тестирование

      От PR55.RP55 · Опубликовано

      + uVS v4.99.0v x64 [http://dsrt.dyndns.org:8888]: Windows 7 Home Basic x64 (NT v6.1 SP1) build 7601 Service Pack 1 [C:\WINDOWS] В прошлых версиях - всё читается нормально.
    • PR55.RP55
      uVS - Тестирование

      От PR55.RP55 · Опубликовано

      1. По поводу реестра - важнее, что было найдено. Если реестра\копии нет... 2. Проценты те, что были в прошлых версиях при массовой проверке на V.T. https://forum.esetnod32.ru/bitrix/components/bitrix/forum.interface/show_file.php?fid=129963&width=500&height=500 3. Например есть файл подписанный некой ЭЦП. но... данного файла пока нет на V.T. т.е. o В контекстное меню добавлен поиск по имени объекта на Яндекс и Google. искать не только по имени объекта -  но открывать сразу две страницы - одну с точным поиском по имени. другую с точным поиском по ЭЦП.  
    • demkd
      uVS - Тестирование

      От demkd · Опубликовано

      Это нормально, реестр для псевдопользователя "All users" бывает редко, для чего системе он нужен, я не разбирался еще, но он бывает, теперь при отсутствии пользовательского реестра выдается такое сообщение, как и в случае если реестр поврежден.
      Т.е. в этом случае сообщение можно смело игнорировать.
        о каких % речь?
        Подробнее, что именно искать и зачем?
    • PR55.RP55
      uVS - Тестирование

      От PR55.RP55 · Опубликовано

      + Я не вижу % при массовой проверке файлов на V.T. o В контекстное меню добавлен поиск по имени объекта на Яндекс и Google. Я бы добавил поиск по ЭЦП
×