Вирус для смартфонов с интеллектом

В том смысле, что с неплохим интеллектом оказался трояно-вирус, а не смартфоны. Серьёзная, многофункциональная угроза, устроившая полноценную эпидемию. Антивирусы оказались бессильны, а пользователей на этот раз трудно обвинить в небрежности. Последствия для кошельков печальны, и число пострадавших исчисляется сотнями тысяч.

Судя по отзывам, универсального и эффективного лечения пока нет. Или как минимум не было на момент написания этого обзора. Антивирусы для смартфонов Android этот троян не распознают и его действиям не препятствуют. Вероятно, ситуация в скором времени исправится, однако уповать на антивирусы нет смысла в любом случае. Не потому, что антивирусы плохие или, наоборот, хорошие, а потому, что пользуются ими сравнительно немногие. Дополнительные «тормоза», необходимость каких-то телодвижений и т. п. И самое главное — психология: мы можем сколько угодно читать про всякие неприятности, но подсознательно уверены в том, что всё это не про нас, а про какого-то абстрактного Васю Пупкина, уж с нами-то ничего подобного не произойдёт. Однако же происходит. В данном случае происходит и с тем, кто антивирусом пользуется.

Что зловред делает

Формально поведение трояна ничем не отличается от его многочисленных «коллег». Пытается украсть деньги со счёта в Сбербанке, привязанного к телефону, рассылает спам со ссылкой на «себя любимого». Подлость в том, что делает он всё это виртуозно и эффективнее других образцов этой индустрии, что и позволило данному зловреду феноменально быстро распространиться. И «поставить на уши» не только антивирусные компании, но и сотовых операторов. На моей памяти это первый случай, когда троянская программа для смартфона вызвала такой резонанс среди «широкой общественности узких кругов».

Название и «серийный номер» трояна мне неизвестен. Могу предположить, что это одна из продвинутых модификаций известного зловреда Asacub, про которого подробнее можно почитать на сайте Anti-Malware здесь. Пишут, что в день происходит приблизительно 40 тысяч заражений, из которых основная часть (98% случаев) приходится на Россию, также среди пострадавших стран есть Украина, Турция, Германия, Белоруссия, Польша, Армения, Казахстан, США и другие. Судя по темпам распространения, приведённые данные о количестве зараженных устройств за прошедшие несколько дней стали уже неактуальны, пострадавших стало намного больше.

Есть мнение, что эта массированная атака на кошельки пользователей готовилась очень заранее и тщательно. Постепенно накапливалась «критическая масса» заражённых смартфонов, и в какой-то момент эта сеть по команде одновременно активизировалась, застав всех врасплох. Этакий блицкриг. Не постепенное, как это обычно бывает, распространение заразы, а резкий всплеск. Авторы трояна не разменивались на всякие мелочи вроде подгрузки рекламы или подписок на контент. Похоже, что основная и единственная цель — снять деньги с привязанного к номеру сбербанковского счета и обеспечить распространение заразы на другие номера телефонов. Причём выполнить всё это максимально быстро. Отправка сообщения с указанием суммы пополнения на номер 900 — приём известный, а вот в части распространения всё выполнено на высоком уровне и, я бы сказал, талантливо.

Как зловред это делает

Каждый заражённый смартфон одновременно выступает в роли распространителя вируса. Сперва троян выполняет свою основную задачу по воровству денег, которые переводятся на баланс телефона отправкой SMS с искомой суммой пополнения на сбербанковский номер 900. При получении отказа троян отправляет повторные запросы, ступенчато уменьшая суммы. Затем деньги перебрасываются на «транзитные» телефонные балансы других номеров, на момент подготовки материала было известно только об использовании для этого номеров «Билайн». Дальнейший маршрут украденных денег мне неведом. Затем после получения ответа о невозможности дальнейших операций или в случае отсутствия привязанной карты Сберанка троян приступает к распространению себя на другие номера телефонов. По-видимому, для этого троян полностью берет под свой контроль программу получения и отправки сообщений смартфона, входящие SMS пользователь не видит и остаётся в полном неведении о происходящем.

Троян рассылает SMS со ссылкой по всем номерам, найденным в адресбуке. Каждая СМС начинается с обращения по имени, взятому, судя по всему, из того же адресбука хозяина зараженного смартфона. Если верить рассказанному, текст сообщения представляет собой не обычное в таких случаях что-то вроде «посмотри на меня голенькую!», а вполне осмысленное обращение, позаимствованное из исходящих сообщений SMS-переписки хозяина номера. То есть получатель видит не только обращение к нему по имени, но и с большой долей вероятности то вводное обращение, которого он мог бы ожидать от этого автора. Если номер отправителя занесён в адресбук получателя, то на экране ещё и имя отправителя высветится. Если номер не занесён, то всё равно такое «личное» сообщение со ссылкой вряд ли вызовет подозрения и ссылка будет благополучно открыта, что от получателя и требовалось. Ещё, похоже, троян бережно обращается с «ресурсом», отправляя исходящее SMS в пределах 70 знаков (одно сообщение). Естественно, это не забота о балансе телефонного счёта жертвы, а рациональный подход: антифрод оператора блокирует массовые SMS-рассылки с номера абонента, а понятие «массовости», скорее всего, определяется количеством отправленных подряд SMS. Да и баланс телефона не безграничен. Поэтому отправлять два сообщения в склейке — расточительство, лучше успеть за это же время «окучить» большее число номеров.

Исчерпав список номеров из адресбука, троян продолжает рассылку SMS по списку случайных номеров, которые он получает, скорее всего, с сервера злоумышленника при заражении смартфона. Надо полагать, список генерируется на сервере в виде индивидуального пакета для каждого экземпляра трояна и номера не повторяются. Процедура для владельца смартфона недешевая: в списке много номеров разных регионов, при цене междугородних SMS в МТС 3.85 руб. троян успевает «облегчить» баланс на пару-тройку тысяч рублей. Деньги списываются в том числе в минус. Тарификация SMS происходит офлайн, хоть и с очень небольшой задержкой, но троян «работает» со скоростью более 100 сообщений в минуту. После 5 минут рассылки на сети срабатывает антифрод, и отправка SMS с этого телефона блокируется, хотя к тому времени номер обычно бывает уже заблокирован из-за отрицательного баланса на сумму около трёх тысяч рублей.

Судя по сообщению ниже, троян ещё ухитряется подключить автоплатёж и через него выводить деньги с баланса, пополняя его автоплатежом с привязанной к счёту банковской карты. Не знаю, насколько эти процессы автоматизированы.

Скриншот к вопросу о том, как именно происходит заражение. Ссылка в пришедшей мне SMS оказалась уже на следующий день нерабочей, так что посмотреть с компьютера не смог. По информации «с полей» (см. скриншот выше), после клика по ссылке экран смартфона становится белым, затем аппарат перезагружается. По рассказам специалиста, общавшегося с большим числом пострадавших, среди них было достаточно большое количество людей, абсолютно не пользующихся настройками смартфона. В том числе и тех, кто использует смартфон как простую «звонилку». Я уже молчу про всякие руты, умеет человек регулировать громкость, и ладно. Вероятность того, что смартфон с какого-то перепугу самостоятельно включил возможность устанавливать программы из посторонних источников почти нулевая. То есть, скорее всего, троян умеет это делать, либо замаскированная под что-нибудь программа присутствует в Google Play, либо там работает какой-то сложный механизм с последующей дозагрузкой вредоносной части. Что-то на эту тему читал, но я не специалист, да и новинки в этой области появляются быстро, а подробности не афишируются и не публикуются по понятным причинам. Для нас с вами важно то, что с очень большой вероятностью отключенное разрешение на установку из сторонних источников не препятствует заражению этим трояном.

Ознакомьтесь с подробным «отчётом», написанным одним из наших читателей. Должен сказать, что всё изложенное соответствует тому, что я слышал от людей, которым полностью доверяю.

«...несколько человек на днях влипли в одно и то же (при наличии андроида и МТС): намотали где-то вирус затейливый. Который, мало того, что всеми силами искал, как в сбербанк-онлайн ворваться, так и в мтс-пэй подключил автоплатеж, каждый вечер пополняя билайны разных регионов. Всё это, есс-но, бесшумно, упрятав все СМС.

А ещё - красиво разослал себя всей телефонной книге (очень грамотными СМС, надо сказать), что, при наличии кучи контактов, и поштучной оплате, само по себе увело баланс в глубокий минус. И насчет минуса - тоже вопрос. Вполне вероятно, что подключенный кредитный лимит (на полном доверии) - тоже его рук дело.)) И, как говорят, три разных антивируса его не обнаружили...

В итоге, даже сброс телефона к заводским настройкам в комплексе со скандальным походом в МТС почти не дали результата. На следующий день - опять минус 1000 на счету.) Красиво, чо. Не контент, не подписки. В итоге - отключили абонентам кредитный лимит и автоплатежи, подключили "запрет возврата части аванса". Чего дальше ждать — непонятно.)

Тут вижу две новости, как говорится.

  • 1-я - сей вирус - очень хитрая тварь, однако. И неизвестно, можно ли его выкорчевать без рута...
  • 2-я - в сбербанк-онлайн он-таки не пробрался. Неизвестно, почему: то ли от того, что у абонов не было его полной версии, то ли сберовский антивирь так хорош...».

Что делать и как лечиться

Рецепт мне неизвестен. Антивирусы пока бессильны, и, как пишут, даже сброс смартфона до заводских настроек не помогает. По отзывам, помогает обращение в сервисный центр. Возможно, там аппарат просто перепрошивают. Разумеется, приводят смартфон в чувство за деньги, заражение вирусом не является гарантийным случаем.

В качестве резюме. Как правило, к любому заражению смартфона в той или иной мере применимо заключение «сам дурак». Не пользовался антивирусом, ходил по ссылкам из непонятных сообщений, бездумно кликал в браузере и так далее. В данном случае упрекать в чём-то пользователя трудно. Качественная социальная инженерия в сочетании с хорошим техническим исполнением, не перезванивать же каждому коллеге или знакомому, отправившему вам SMS? Хотя невредно бы и перезвонить, а то ведь человек может не подозревать о произошедшей с ним неприятности. Что касается рекомендаций, то можно посоветовать только дополнительно уточнять у автора пришедшей SMS. При всей раздражающей заморочности такого способа. А если сообщение с незнакомого номера, то не идти по ссылке в любом случае. Даже несмотря на обращение к вам по имени. Мало ли кто мог внести вас в свой адресбук просто для того, чтобы записать ваш номер и email.

P.S.

Ещё в тему рассылок по списку контактов. Подсмотрел на форуме свеженькое описание новой (для меня) хитрости, цитата:

«Знакомый ребёнка прислал ему фото из личного кабинета МТС, где было заглавие: "Восстановление номера через друзей и близких ПАО МТС" и поля для ввода логина и пароля, и просил сообщить их. Что это может быть? В сети я на свой вопрос не нашел».

Да-да, пришли другу свои логин/пароль, а то вдруг его сам забудешь? В итоге сообщение оказалось присланным со взломанного аккаунта «ВКонтакте». Красиво и вполне может сработать с человеком, который в личный кабинет не ходит вообще или бывает там очень эпизодически, особо не вникая в его возможности. Сделать в фотошопе фейковый скриншот не 5 секунд, но минут за 20-30 запросто можно соорудить нечто правдоподобное. Опять-таки это же не индивидуальный «набег», наверняка картинка массово рассылается. Подход традиционный: в случае таких «ковровых бомбардировок» даже небольшой процент бездумно отреагировавших приносит мошеннику неплохой улов.

Отвечать автору такого сообщения ругательным письмом смысла нет. Отправитель ответ не прочитает, а если даже прочитает, то ваша ругань ему до лампочки.

Сергей Потресов ([email protected])

Опубликовано — 18 сентября 2018 г.

Поделиться

Мы в социальных сетях:

Новости:

13.05.2021 MediaTek представила предфлагманский чипсет Dimensity 900 5G

13.05.2021 Cайты, имеющие 500 тысяч пользователей из России, должны будут открыть местные филиалы

13.05.2021 Amazon представила обновления своих умных дисплеев Echo Show 8 и Echo Show 5

13.05.2021 МТС ввел удобный тариф без абонентской платы - «МТС Нон-стоп»

13.05.2021 Zenfone 8 Flip – вариант Galaxy A80 от ASUS

13.05.2021 Поставки мониторов в этом году достигнут 150 млн

13.05.2021 Состоялся анонс модной версии «умных» часов Samsung Galaxy Watch3 TOUS

13.05.2021 Tele2 выходит на Яндекс.Маркет

13.05.2021 OPPO представила чехол для смартфона, позволяющий управлять устройствами умного дома

13.05.2021 TWS-наушники с активным шумоподавлением Xiaomi FlipBuds Pro

13.05.2021 В России до конца следующего года появится госстандарт для искусственного интеллекта

13.05.2021 ASUS Zenfone 8 – компактный флагман на Snapdragon 888

12.05.2021 Компания Genesis представила внешность своего первого универсала G70 Shooting Brake

12.05.2021 В России разработан высокоточный гироскоп для беспилотников

12.05.2021 В Россию привезли новую версию смарт-часов HUAWEI WATCH FIT, Elegant Edition

12.05.2021 Раскрыты ключевые особенности смартфона POCO M3 Pro 5G

12.05.2021 Honor 50: стали известны дизайн и другие подробности о смартфоне

12.05.2021 Чипсет Exynos 2200 от Samsung будет устанавливаться и в смартфоны, и в ноутбуки

12.05.2021 МТС начала подключать многоквартирные дома к интернету вещей

12.05.2021 iPhone 13 будет толще и получит более крупные камеры по сравнению с iPhone 12

12.05.2021 Xiaomi договорилась с властями США об исключении из чёрного списка

12.05.2021 Xiaomi выпустила обновлённую версию умного пульта Agara Cube T1 Pro

Hit

12.05.2021 Игровые ноутбуки с NVIDIA GeForce RTX 3050 Ti уже в России!

12.05.2021 Индийский завод Foxconn сократил производство в два раза

12.05.2021 Lenovo отказалась от очного участия в предстоящем в июне Mobile World Congress

Подписка
 
© Mobile-review.com, 2002-2021. All rights reserved.