вторник, 3 февраля 2015 г.

Троян avito.apk

После размещения объявления на сайте avito.ru пришло мошенническое SMS с номера +6768918437 следующего содержания:

"Я по вашему объявлению,предлагаю обменятся,вот фото http://mmsis.net"

Переходить по данной ссылке с телефона с операционной системой Android категорически нельзя - с сайта загружается файл avito.apk, в котором содержится троян. Данный троян манипулирует мобильным банком - отправляет деньги на пластиковые карты и мобильные телефоны.


WHOIS-информация о сайте:

IP     91.237.198.61
Хост:     91.237.198.61
Город:     Нижний Новгород
Страна:     Russian Federation
IP диапазон:     91.237.198.0 - 91.237.198.255
Название провайдера:     Atika ltd
Whois Server Version 2.0

Domain Name: MMSIS.NET
Registrar: GODADDY.COM, LLC
Sponsoring Registrar IANA ID: 146
Whois Server: whois.godaddy.com
Referral URL: http://registrar.godaddy.com
Name Server: NS57.DOMAINCONTROL.COM
Name Server: NS58.DOMAINCONTROL.COM
Status: ok http://www.icann.org/epp#OK
Updated Date: 03-feb-2015
Creation Date: 03-feb-2015
Expiration Date: 03-feb-2016

>>> Last update of whois database: Tue, 03 Feb 2015 20:05:01 GMT <<<

inetnum: 91.237.198.0 - 91.237.198.255
netname: ATIKA-NET
descr: Atika ltd
country: RU
org: ORG-Al232-RIPE
admin-c: PIG20-RIPE
tech-c: PIG20-RIPE
status: ASSIGNED PI
mnt-by: RIPE-NCC-END-MNT
mnt-lower: RIPE-NCC-END-MNT
mnt-by: MNT-ATIKA
mnt-routes: GA16974-MNT
mnt-domains: MNT-ATIKA
remarks: abuse@gigabyte-net.ru
source: RIPE # Filtered
sponsoring-org: ORG-PINl1-RIPE

organisation: ORG-Al232-RIPE
org-name: Atika ltd.
org-type: OTHER
address: Russia, Nizhny Novgorod, Meditsinkaya str., 1A, office 10A
abuse-c: AR26099-RIPE
mnt-ref: MNT-ATIKA
mnt-by: MNT-ATIKA
source: RIPE # Filtered

person: Perevozchikov Igor Gennadievich
address: Russia, Nizhny Novgorod, Meditsinkaya str., 1A, office 10A
phone: +78312592922
nic-hdl: PIG20-RIPE
mnt-by: MNT-ATIKA
source: RIPE # Filtered

route: 91.237.198.0/24
descr: ATIKA-NET
origin: AS198681
mnt-by: MNT-ATIKA
mnt-routes: GA16974-MNT
source: RIPE # Filtered

Продолжение от 05.02.2015 г.

Пришло очередное СМС с номера +456099286419:
"По объявлению обмен не интересен? фото: http://fotomf.net"
Троян, аналогично, как и выше, расположенный на хосте 91.237.198.61.