Вирус для смартфонов с интеллектом

В том смысле, что с неплохим интеллектом оказался трояно-вирус, а не смартфоны. Серьёзная, многофункциональная угроза, устроившая полноценную эпидемию. Антивирусы оказались бессильны, а пользователей на этот раз трудно обвинить в небрежности. Последствия для кошельков печальны, и число пострадавших исчисляется сотнями тысяч.

Судя по отзывам, универсального и эффективного лечения пока нет. Или как минимум не было на момент написания этого обзора. Антивирусы для смартфонов Android этот троян не распознают и его действиям не препятствуют. Вероятно, ситуация в скором времени исправится, однако уповать на антивирусы нет смысла в любом случае. Не потому, что антивирусы плохие или, наоборот, хорошие, а потому, что пользуются ими сравнительно немногие. Дополнительные «тормоза», необходимость каких-то телодвижений и т. п. И самое главное — психология: мы можем сколько угодно читать про всякие неприятности, но подсознательно уверены в том, что всё это не про нас, а про какого-то абстрактного Васю Пупкина, уж с нами-то ничего подобного не произойдёт. Однако же происходит. В данном случае происходит и с тем, кто антивирусом пользуется.

Что зловред делает

Формально поведение трояна ничем не отличается от его многочисленных «коллег». Пытается украсть деньги со счёта в Сбербанке, привязанного к телефону, рассылает спам со ссылкой на «себя любимого». Подлость в том, что делает он всё это виртуозно и эффективнее других образцов этой индустрии, что и позволило данному зловреду феноменально быстро распространиться. И «поставить на уши» не только антивирусные компании, но и сотовых операторов. На моей памяти это первый случай, когда троянская программа для смартфона вызвала такой резонанс среди «широкой общественности узких кругов».

Название и «серийный номер» трояна мне неизвестен. Могу предположить, что это одна из продвинутых модификаций известного зловреда Asacub, про которого подробнее можно почитать на сайте Anti-Malware здесь. Пишут, что в день происходит приблизительно 40 тысяч заражений, из которых основная часть (98% случаев) приходится на Россию, также среди пострадавших стран есть Украина, Турция, Германия, Белоруссия, Польша, Армения, Казахстан, США и другие. Судя по темпам распространения, приведённые данные о количестве зараженных устройств за прошедшие несколько дней стали уже неактуальны, пострадавших стало намного больше.

Есть мнение, что эта массированная атака на кошельки пользователей готовилась очень заранее и тщательно. Постепенно накапливалась «критическая масса» заражённых смартфонов, и в какой-то момент эта сеть по команде одновременно активизировалась, застав всех врасплох. Этакий блицкриг. Не постепенное, как это обычно бывает, распространение заразы, а резкий всплеск. Авторы трояна не разменивались на всякие мелочи вроде подгрузки рекламы или подписок на контент. Похоже, что основная и единственная цель — снять деньги с привязанного к номеру сбербанковского счета и обеспечить распространение заразы на другие номера телефонов. Причём выполнить всё это максимально быстро. Отправка сообщения с указанием суммы пополнения на номер 900 — приём известный, а вот в части распространения всё выполнено на высоком уровне и, я бы сказал, талантливо.

Как зловред это делает

Каждый заражённый смартфон одновременно выступает в роли распространителя вируса. Сперва троян выполняет свою основную задачу по воровству денег, которые переводятся на баланс телефона отправкой SMS с искомой суммой пополнения на сбербанковский номер 900. При получении отказа троян отправляет повторные запросы, ступенчато уменьшая суммы. Затем деньги перебрасываются на «транзитные» телефонные балансы других номеров, на момент подготовки материала было известно только об использовании для этого номеров «Билайн». Дальнейший маршрут украденных денег мне неведом. Затем после получения ответа о невозможности дальнейших операций или в случае отсутствия привязанной карты Сберанка троян приступает к распространению себя на другие номера телефонов. По-видимому, для этого троян полностью берет под свой контроль программу получения и отправки сообщений смартфона, входящие SMS пользователь не видит и остаётся в полном неведении о происходящем.

Троян рассылает SMS со ссылкой по всем номерам, найденным в адресбуке. Каждая СМС начинается с обращения по имени, взятому, судя по всему, из того же адресбука хозяина зараженного смартфона. Если верить рассказанному, текст сообщения представляет собой не обычное в таких случаях что-то вроде «посмотри на меня голенькую!», а вполне осмысленное обращение, позаимствованное из исходящих сообщений SMS-переписки хозяина номера. То есть получатель видит не только обращение к нему по имени, но и с большой долей вероятности то вводное обращение, которого он мог бы ожидать от этого автора. Если номер отправителя занесён в адресбук получателя, то на экране ещё и имя отправителя высветится. Если номер не занесён, то всё равно такое «личное» сообщение со ссылкой вряд ли вызовет подозрения и ссылка будет благополучно открыта, что от получателя и требовалось. Ещё, похоже, троян бережно обращается с «ресурсом», отправляя исходящее SMS в пределах 70 знаков (одно сообщение). Естественно, это не забота о балансе телефонного счёта жертвы, а рациональный подход: антифрод оператора блокирует массовые SMS-рассылки с номера абонента, а понятие «массовости», скорее всего, определяется количеством отправленных подряд SMS. Да и баланс телефона не безграничен. Поэтому отправлять два сообщения в склейке — расточительство, лучше успеть за это же время «окучить» большее число номеров.

Исчерпав список номеров из адресбука, троян продолжает рассылку SMS по списку случайных номеров, которые он получает, скорее всего, с сервера злоумышленника при заражении смартфона. Надо полагать, список генерируется на сервере в виде индивидуального пакета для каждого экземпляра трояна и номера не повторяются. Процедура для владельца смартфона недешевая: в списке много номеров разных регионов, при цене междугородних SMS в МТС 3.85 руб. троян успевает «облегчить» баланс на пару-тройку тысяч рублей. Деньги списываются в том числе в минус. Тарификация SMS происходит офлайн, хоть и с очень небольшой задержкой, но троян «работает» со скоростью более 100 сообщений в минуту. После 5 минут рассылки на сети срабатывает антифрод, и отправка SMS с этого телефона блокируется, хотя к тому времени номер обычно бывает уже заблокирован из-за отрицательного баланса на сумму около трёх тысяч рублей.

Судя по сообщению ниже, троян ещё ухитряется подключить автоплатёж и через него выводить деньги с баланса, пополняя его автоплатежом с привязанной к счёту банковской карты. Не знаю, насколько эти процессы автоматизированы.

Скриншот к вопросу о том, как именно происходит заражение. Ссылка в пришедшей мне SMS оказалась уже на следующий день нерабочей, так что посмотреть с компьютера не смог. По информации «с полей» (см. скриншот выше), после клика по ссылке экран смартфона становится белым, затем аппарат перезагружается. По рассказам специалиста, общавшегося с большим числом пострадавших, среди них было достаточно большое количество людей, абсолютно не пользующихся настройками смартфона. В том числе и тех, кто использует смартфон как простую «звонилку». Я уже молчу про всякие руты, умеет человек регулировать громкость, и ладно. Вероятность того, что смартфон с какого-то перепугу самостоятельно включил возможность устанавливать программы из посторонних источников почти нулевая. То есть, скорее всего, троян умеет это делать, либо замаскированная под что-нибудь программа присутствует в Google Play, либо там работает какой-то сложный механизм с последующей дозагрузкой вредоносной части. Что-то на эту тему читал, но я не специалист, да и новинки в этой области появляются быстро, а подробности не афишируются и не публикуются по понятным причинам. Для нас с вами важно то, что с очень большой вероятностью отключенное разрешение на установку из сторонних источников не препятствует заражению этим трояном.

Ознакомьтесь с подробным «отчётом», написанным одним из наших читателей. Должен сказать, что всё изложенное соответствует тому, что я слышал от людей, которым полностью доверяю.

«...несколько человек на днях влипли в одно и то же (при наличии андроида и МТС): намотали где-то вирус затейливый. Который, мало того, что всеми силами искал, как в сбербанк-онлайн ворваться, так и в мтс-пэй подключил автоплатеж, каждый вечер пополняя билайны разных регионов. Всё это, есс-но, бесшумно, упрятав все СМС.

А ещё - красиво разослал себя всей телефонной книге (очень грамотными СМС, надо сказать), что, при наличии кучи контактов, и поштучной оплате, само по себе увело баланс в глубокий минус. И насчет минуса - тоже вопрос. Вполне вероятно, что подключенный кредитный лимит (на полном доверии) - тоже его рук дело.)) И, как говорят, три разных антивируса его не обнаружили...

В итоге, даже сброс телефона к заводским настройкам в комплексе со скандальным походом в МТС почти не дали результата. На следующий день - опять минус 1000 на счету.) Красиво, чо. Не контент, не подписки. В итоге - отключили абонентам кредитный лимит и автоплатежи, подключили "запрет возврата части аванса". Чего дальше ждать — непонятно.)

Тут вижу две новости, как говорится.

  • 1-я - сей вирус - очень хитрая тварь, однако. И неизвестно, можно ли его выкорчевать без рута...
  • 2-я - в сбербанк-онлайн он-таки не пробрался. Неизвестно, почему: то ли от того, что у абонов не было его полной версии, то ли сберовский антивирь так хорош...».

Что делать и как лечиться

Рецепт мне неизвестен. Антивирусы пока бессильны, и, как пишут, даже сброс смартфона до заводских настроек не помогает. По отзывам, помогает обращение в сервисный центр. Возможно, там аппарат просто перепрошивают. Разумеется, приводят смартфон в чувство за деньги, заражение вирусом не является гарантийным случаем.

В качестве резюме. Как правило, к любому заражению смартфона в той или иной мере применимо заключение «сам дурак». Не пользовался антивирусом, ходил по ссылкам из непонятных сообщений, бездумно кликал в браузере и так далее. В данном случае упрекать в чём-то пользователя трудно. Качественная социальная инженерия в сочетании с хорошим техническим исполнением, не перезванивать же каждому коллеге или знакомому, отправившему вам SMS? Хотя невредно бы и перезвонить, а то ведь человек может не подозревать о произошедшей с ним неприятности. Что касается рекомендаций, то можно посоветовать только дополнительно уточнять у автора пришедшей SMS. При всей раздражающей заморочности такого способа. А если сообщение с незнакомого номера, то не идти по ссылке в любом случае. Даже несмотря на обращение к вам по имени. Мало ли кто мог внести вас в свой адресбук просто для того, чтобы записать ваш номер и email.

P.S.

Ещё в тему рассылок по списку контактов. Подсмотрел на форуме свеженькое описание новой (для меня) хитрости, цитата:

«Знакомый ребёнка прислал ему фото из личного кабинета МТС, где было заглавие: "Восстановление номера через друзей и близких ПАО МТС" и поля для ввода логина и пароля, и просил сообщить их. Что это может быть? В сети я на свой вопрос не нашел».

Да-да, пришли другу свои логин/пароль, а то вдруг его сам забудешь? В итоге сообщение оказалось присланным со взломанного аккаунта «ВКонтакте». Красиво и вполне может сработать с человеком, который в личный кабинет не ходит вообще или бывает там очень эпизодически, особо не вникая в его возможности. Сделать в фотошопе фейковый скриншот не 5 секунд, но минут за 20-30 запросто можно соорудить нечто правдоподобное. Опять-таки это же не индивидуальный «набег», наверняка картинка массово рассылается. Подход традиционный: в случае таких «ковровых бомбардировок» даже небольшой процент бездумно отреагировавших приносит мошеннику неплохой улов.

Отвечать автору такого сообщения ругательным письмом смысла нет. Отправитель ответ не прочитает, а если даже прочитает, то ваша ругань ему до лампочки.

Сергей Потресов (sergey.potresov@mobile-review.com)
Twitter

Опубликовано — 18 сентября 2018 г.

Поделиться

Мы в социальных сетях:

Есть, что добавить?! Пишите... eldar@mobile-review.com

 

Новости:

14.12.2018 Для приставки SHIELD TV вышло обновление ПО с новыми играми и возможностями

13.12.2018 Huawei готовит новый стандарт быстрой зарядки

13.12.2018 Apple получит более дешевые OLED экраны от Samsung

13.12.2018 Apple переходит на использование собственных модемов

13.12.2018 Honor 8A сертифицирован TENAA и ЕАЭС

13.12.2018 МТС представил специальный тариф для интернета вещей

13.12.2018 Игровые консоли последнего поколения выводят рынок на докризисный уровень по объёму продаж

13.12.2018 Opera выпускает первый Android-браузер с поддержкой Web 3

13.12.2018 MediaTek представил новый процессор – Helio P90 с поддержкой функций искусственного интеллекта

13.12.2018 Samsung представила новые модели ноутбуков-трансформеров 2-в-1 с сенсорными дисплеями и поддержкой стилуса S Pen

12.12.2018 Подробности о Huawei nova 4 появились в Сети

12.12.2018 Опубликованы официальные рендеры Honor V20

12.12.2018 Samsung сокращает производство в Китае

12.12.2018 IDC: рынок смартфонов в ближайшие годы ждет лишь незначительный рост

12.12.2018 Французский онлайн-ритейлер «засветил» новый смартфон Huawei P Smart 2019

12.12.2018 Роскомнадзор хочет заблокировать Google

12.12.2018 Финансовый директор Huawei вышел под залог в 7,5$ миллионов

12.12.2018 В Google Фото теперь некоторые типы файлов не будут попадать под категорию неограниченной загрузки

12.12.2018 Смартфон Vivo NEX Dual Display Edition с двумя дисплеями анонсирован официально

11.12.2018 Роскомнадзор оштрафовал Google на полмиллиона рублей

11.12.2018 Среди Redmi может появиться аппарат с прорезью в экране

11.12.2018 Xiaomi представит смартфоны Play 24 декабря

11.12.2018 Instagram Direct научили голосовой связи

11.12.2018 Специальная гоночная версия смартфона OnePlus 6T McLaren Edition представлена официально

11.12.2018 Билайн примет на обмен и разбитые смартфоны

Подписка
 
© Mobile-review.com, 2002-2018. All rights reserved.