Во время облавы китайские власти задержали 1530 человек, причастных к рассылке спамерских сообщений через фальшивые базовые станции (БС). Закрыто 24 подпольные фабрики по производству нелегального коммуникационного оборудования, конфисковано 2600 незаконных устройств для связи. Правоохранительные органы зафиксировали 3540 случаев рассылки спама, их вменят в вину обвиняемым.
Через спам рассылали фишинговые URL для кражи персональных данных, а также для установки на телефоны пользователей троянов и SMS-форвардеры. Последние перехватывают коды подтверждения операций и другую информацию из текстовых сообщений в адрес платежных сервисов. Трояны отправляют SMS на платные номера. Пользователям Apple спам отправляется через сервис iMessage (каждый мобильный номер проверялся на наличие привязки к Apple ID).
Рассылка спама через фальшивые станции — очень развитая индустрия в Китае. Подробнее об этом рынке, в том числе об используемом оборудовании, см. в отчете TrendMicro “The Mobile Cybercriminal Underground Market in China”(зеркало).
Для рассылки спама китайцы используют три основных устройства.
1. GSM-модем. Устройство для отправки и получения текстовых сообщений. Работает как нормальный телефон, подключаясь к мобильной сети с авторизацией через SIM-карту. Модем можно соединить с компьютером по USB, чтобы управлять его работой из компьютерной программы. 16-слотовый модемный GSM-пул рассылает до 9600 сообщений в час.
2. Интернет-шлюз для обработки SMS. Такие устройства операторы сотовой связи передают компаниям, предоставляющим соответствующие услуги. Они рассылают SMS на гораздо большей скорости, чем GSM-модемы.
3. SMS-сервер. Недорогой радиопередатчик, который модулирует GSM-сигнал через программно-определяемую радиосистему на компьютере. SMS-сервер способен объявить себя Базовой станцией, сгенерировав сигнал высокой мощности. После этого окружающие мобильные телефоны отключаются от настоящих БС и подключаются к SMS-серверу, а он доставляет им спам. Злоумышленник может использовать любой номер в качестве идентификатора вредоносного сообщения, например, номер настоящего банка или другой авторитетной организации.