Foi detetada nova variante de envio de SMS para levar clientes de redes móveis a instalar software no seu PC (Windows) para desativar um suposto serviço de valor acrescentado “ANEDOTAS”.

Exemplo SMS (enviado de nº anónimo):

A sequência de pedidos do malware é :

  hxxp://www.waa.ai/mobilm - Shorter enviado nas mensagens SMS - IP: 104.24.113.128 (beda beda - USA)                                 

hxxp://vales10.wix.com/mobilm - IP: 216.185.152.145 (Wix.com, Inc - USA)

hxxps://dropfile.to/uYS03 - IP: 94.229.35.241 (datanetworks - SK). Os URL's para o dominio dropfile.to mudam a cada 24 horas.

Numa análise em laboratório, o software pede para colocar um número de telemóvel para remover esse mesmo número de uma suposta subscrição de serviço:

Após o reboot do PC o acesso aos dados do mesmo é inibido e visualiza-se a seguinte informação: de ter acesso ao dados no portátil aparecendo a seguinte informação: