Trojan Boxer atakuje użytkowników smartfonów z Androidem

Zainfekowany tym zagrożeniem telefon rozsyła bez wiedzy i zgody użytkownika wiadomości SMS na numery o podwyższonej opłacie. Posiadacz telefonu orientuje się, że padł ofiarą wspomnianego zagrożenia, dopiero po otrzymaniu zawyżonego rachunku, na którym wyszczególniono usługę premium, której nigdy nie zamawiał.

Koń trojański Boxer.AA pojawił się jakiś czas temu i nadal aktywnie atakuje w 63 krajach świata. 60% wszystkich infekcji stanowią te zarejestrowane na terenie Europy. Zagrożenie bierze na cel również polskich użytkowników smartfonów z systemem Android.

W jaki sposób Boxer.AA przenika do telefonu? Zarażone trojanem aplikacje można pobrać np. z wielu stron internetowych, które wabią nieświadomych zagrożenia użytkowników, obiecując im darmowy dostęp do nielegalnych kopii płatnych i popularnych gier dla smartfonów z Androidem, m.in. Sim City Deluxe Free, Need for Speed Shift Free czy Assassin Creed. Początkowo zainfekowane aplikacje były dostępne również w oficjalnym sklepie Google Play, skąd jednak szybko je usunięto.

Infekcję inicjuje zwykle sam użytkownik, pobierając z sieci nielegalną kopię gry. Zbyt szybka akceptacja warunków, na jakich dana aplikacja jest udostępniana, naraża użytkownika na nieoczekiwane koszty. W treści umowy licencyjnej przeczytać można bowiem, że za uzyskanie dostępu do danej zawartości zostanie pobrana opłata, uiszczona za pośrednictwem wiadomości SMS o podwyższonej opłacie. W umowie jest również fragment informujący o tym, że twórca aplikacji nie bierze żadnej odpowiedzialności za szkody wyrządzone przez program, w tym za straty finansowe użytkownika.

Po zagnieżdżeniu się w pamięci telefonu trojan Boxer.AA identyfikuje kody MCC (Mobile Country Code) oraz MNC (Mobile Network Code), dzięki którym wie, w jakim kraju i z jakiej sieci korzysta jego ofiara. Następnie Boxer.AA koreluje wspomniane kody z numerem telefonicznym, na który przesyła wiadomość SMS premium. Trojan zaciera wszelkie ślady swojej aktywności, ukrywając przed użytkownikiem m.in. wiadomości potwierdzające aktywację usługi dla danego numeru premium. Boxer.AA próbuje również wykorzystać połączenie z internetem, aby dotrzeć do jednego z dwóch adresów WWW, dzięki którym trojan może zapisać swoją ofiarę do kolejnej usługi premium.

W Polsce trojan Boxer.AA rozsyła wiadomości premium na numer 92505. Za każdy taki SMS rachunek użytkownika jest obciążany kwotą 25 zł netto. W sieci można znaleźć wpisy zaniepokojonych internautów, którzy nigdy nie wysyłali żadnych wiadomości SMS premium, a mimo to na ich rachunku widnieje taka pozycja i związana z nią niemała opłata.

Firma Eset radzi posiadaczom smartfonów z Androidem, którzy chcą ustrzec się przed koniem trojańskim Boxer.AA, aby pobierali aplikacje wyłącznie z oficjalnego sklepu Google Play, zainstalowali na swoim smartfonie aplikację antywirusową, a także jeśli to możliwe zablokowali u swojego operatora możliwość wysyłania ze swojego telefonu wiadomości SMS premium.