Un paio di anni fa nasceva mosqit un trojan basato sulle piattaforme mobile symbian l’8 aprile 2010 invece è nato TERDIAL, ma la storia ha inizio molto tempo prima tutto accade il 22 marzo quando un signore inglese viene svegliato alle tre di notte da un sms ricevuto sul proprio smarthphone che lo informava di una “international dialling is not currently permitted from this device” ( chiamata internazionale attualmente non consentita da questo dispositivo.) Ovviamente preoccupato di cio questo signore si mette a controllare il registro delle chiamate e scopre sei numeri con prefisso internazionale:
+88213213214 alle 02.44
+88213212314 alle 02.36
+1(767)503-3611 alle 02.36
+1(767)503-3611 alle 02.36
+1(767)503-3611 alle 02.36
+8823460777 alle 02.35
la mattina dopo decide di chiedere aiuto a XDA-developers dove vengono discussi temi riguardanti la telefonia mobile esposto il suo problema capisce subito d’essere rimasto vittima di un malware il problema era capire , visto che neanche una scansione con kaspersky mobile security installato sul telefono non aveva evidenziato nessuna infezione.
La discussione rimane ferma fino al 6 aprile quando un utente risponde lamentando che ha ricevuto lo stesso problema con gli stessi numeri internazionali,subito dopo un terzo ungherese ed un quarto scozzese rispondono dicendo di avere lo stesso problema con malfunzionamento del proprio smarthphone a questo punto l’8 aprile viene deciso di andare ad esclusione di fare un elenco di tutte le applicazioni installate sui 4 dispositivi e scoprono che entrambi anno un programma che li accomuna ed è Anti terrorist 3d 1.0 un gioco di guerra freeware scaricabile da diversi siti internet peccato pero che non abbia nulla a che fare con il gioco originale 3d anti terrorist action sviluppato dalla cinese bejing huike technology co.ltd.
I gestori del XDA-developers decidono quindi di inviare il file al laboratorio di sicurezza kaspersky che solo dopo poche ore identificano il trojan e lo chiamano Terdial rilasciando le impronte virali necessarie per rimuoverlo.
IL SUO COMPORTAMENTO:
Il comportamento del virus e uguale a quello di un dialer dopo essersi avviato usando la fuinzione CeRunAppAtTime di windows mobile il malware effettua chiamate a numeri internazionali ogni 50 secondi a pagamento e per non dare nell occhio il trojan si attiva durante le ore notturne. E in poche ore si scopre anche che 32 anti terrorist non è l’unico gioco infetto distribuito dalla software house Makar da alcuni siti internet infatti è possibile scaricare un’altra variante del worm nascosta nel file codecpack.cab in grado di effetuare chiamate a numeri internazionali con una frequenza superiore ai 50 secondi.
Come si attiva il trojan
Il trojan si attiva appena l’utente esegue il file antiterrorist3d.cab per avviare l’installazione del presunto gioco il programma crea una cartella nella cartella programmi e copia un file in windows chiamato reg.exe e dopo aver avviato l’applicazione il file cambia nome e diventa smart32.exe e vengono create altre due copie con nomi diversi una PYVLE~1.EXE e PYMODBOB.EXE sempre nella directory windows e sempre in windows viene creata la libreria 1.dll che sarebbe la copia del file Microsoft.WindowsMobile.Telephony.dll (utilizzata dal cellulare per gestire le chiamate effetuate) solo che la 1.dll è infetta ed infine crea una chiave nel registo di sistema HKEY_CURRENT_USER\Alpha\Status rimuovete tutti i file infetti descritti ed il vostro credito telefonico sara cosi al sicuro.
