Nel giro di poche ore McAfee Avert Labs ha ricevuto un esempio di un worm mass-mailing che si comporta come un attacco smishing : <VBS/Eliles.A.>.
Di seguito le pincipali caratteristiche di questo nuovo tipo di attacco mobile:

• Inizia come un semplice worm di mass mailing prima di trasformarsi in vero e proprio attacco smishing
• La minaccia è rivolta contro due importanti operatori di telefonia mobile spagnoli, mandando messaggi smish gratuiti tramite i Gateway SMS degli operatori
• Il messaggio smishing attacca in modo specifico i telefoni Nokia Serie 60
• Cerca di truffare la vittima portandola scaricare software anti-virus gratuito dal sito dell’operatore. Gli utenti che effettuano il download e installano il software dal link si troveranno così infettati da malware
• Le prove indicano che questa minaccia è stata creata utilizzando un codice già esistente attinto da una varietà di fonti disparate. La maggior parte del codice è in spagnolo con qualche commento in tedesco.

Gli elementi principali e più e interessanti di questa minaccia sono i seguenti:

• Questo è il primo esempio di una minaccia che si sposta da un ambiente PC verso lo spazio mobile – un attacco smishing che diventa un worm mass mailing
• E’ il primo esempio di attacco smishing creato da script kiddie utilizzando un codice assemblato da una varietà di fonti disponibili su Internet. La facilità con cui questa minaccia è stata assemblata suggerisce il fatto che vedremo una crescita degli attacchi smishing nei prossimi mesi.
• Mirare ai Gateway SMS di un operatore di telefonia mobile permette ai messaggi di smishing di essere inviati gratuitamente. Informazioni su come accedere ai gateway SMS di un operatore sono disponibili su Internet in modalità gratuita: http://hiptools.net/sms/
• La minaccia colpisce i dispositivi con Sistema Operano Symbian (ovvero Nokia Series 60)

Descrizione dettagliata della minaccia

Un Mass Worm Mailing

<VBS/Eliles.A.> è un worm VBS standard che omette il caricamento di un trojan backdoor e apre semplicemente una backdoor sul sistema della vittima. E’ stato programmato in Visual Basic Script e arriva sui computer sotto forma di messaggi email con un oggetto in Spagnolo "Curriculum Vitae para posible vacante" e il seguente corpo testo (sempre in Spagnolo):
"Adjunto Currilum Vitae, por estar interesado en algún puesto vacante en su empresa,me encantaria que lo tuviera en cuenta, ya que estoy buscando trabajo por esa zona. Sin más, reciba un cordial Saludo."
Una volta installatosi sul PC della vittima, il worm si copia sul computer con il nome C.Vitae.zip, e si auto-invia a tutti gli indirizzi email che trova sul sistema. Inoltre disattiva alcuni programmi antivirus che potrebbero essere installati sul computer e inserire annotazioni in Windows Registry per far sì che venga eseguito ad ogni avvio del sistema.

L’elemento Mobile

Infine, il worm cerca di inviare messaggi agli utenti di due operatori di telefonia mobile in Spagna. Invece di elaborare indirizzi IP casuali a cui inviare i messaggi, questo worm genera numeri di telefono come quelli utilizzati per i telefoni cellulari. <Eliles> invia il suo messaggio “smish “ gratuitamente attraverso i gateway SMS-email degli operatori di telefonia mobile.
A differenza del precedente episodio di smishing, <Eliles> non utilizza lo stratagemma dell’errore di fatturazione. Invece, questo worm cerca di essere d’aiuto offrendo alla vittima un software "antivirus" gratuito per il suo telefono, presumibilmente dal suo operatore di telefonia mobile. Il messaggio di smishing colpisce in particolare i telefoni Nokia delle Serie 60. Gli utenti che scaricano e installano il software dal link contenuto nell’SMS vengono infettati dal malware. Fortunatamente, il link di download ora non è più attivo.

L’SMS presenta le seguenti caratteristiche:
Mittente: l’indirizzo email dell’utente colpito.
Destinatario: il numero di telefono del destinatario e uno dei seguenti domini:
@[operatorname].es
@[operatorname].es
Oggetto: "Msj Operador: Proteja su movil"
Messaggio: "Descarguese gratis el Antivirus para Nokias Series 60. (6630,6680,7610,7650,N70,N90), totalmente gratuito. http://f1.grp.ya<blocked>r8GMzmLAO7taS5yJIVcWx2F_
6NWlo_LBonXVhAfgMBbxzzC4LoS8XSwl_-YO7ZMH01Sw/Antivirus.sis

Dettagli sulla fonte

La maggior parte del codice è in Spagnolo, con pochi commenti in Tedesco. Tale incongruenza insieme ad alcune variazioni nello stile di codifica delle varie funzioni interne implica che questo worm composto da fonti diverse e quindi che è stato creato da un cosiddetto “script kiddie”.
E’ piuttosto raro vedere un attacco di smishing trasformarsi in un semplice worm mass mailing. Un autore di malware che passa del tempo a ricercare un nuovo attacco solitamente scrive codice personalizzato piuttosto che riutilizzare quello di qualcun altro. Nel tempo, l’attacco viene confezionato in routine standard e alla fine incluso nel toolbox degli script kiddie. Il passaggio da nuovo attacco a utilizzo da parte di uno script kiddie di solito richiede vari mesi.
Ora che sono stati coinvolti gli script kiddie, siamo destinati ad assistere a un aumento nei numeri di tentativi di smishing nei mesi a venire.