podcast quotes-left quotes-right search menu arrow-up arrow-up2 google-plus3 facebook2 instagram telegram twitter vk youtube android rss2

Вирус для смартфонов с интеллектом

В том смысле, что с неплохим интеллектом оказался трояно-вирус, а не смартфоны. Серьёзная, многофункциональная угроза, устроившая полноценную эпидемию. Антивирусы оказались бессильны, а пользователей на этот раз трудно обвинить в небрежности. Последствия для кошельков печальны, и число пострадавших исчисляется сотнями тысяч.

Судя по отзывам, универсального и эффективного лечения пока нет. Или как минимум не было на момент написания этого обзора. Антивирусы для смартфонов Android этот троян не распознают и его действиям не препятствуют. Вероятно, ситуация в скором времени исправится, однако уповать на антивирусы нет смысла в любом случае. Не потому, что антивирусы плохие или, наоборот, хорошие, а потому, что пользуются ими сравнительно немногие. Дополнительные «тормоза», необходимость каких-то телодвижений и т. п. И самое главное — психология: мы можем сколько угодно читать про всякие неприятности, но подсознательно уверены в том, что всё это не про нас, а про какого-то абстрактного Васю Пупкина, уж с нами-то ничего подобного не произойдёт. Однако же происходит. В данном случае происходит и с тем, кто антивирусом пользуется.

Что зловред делает

Формально поведение трояна ничем не отличается от его многочисленных «коллег». Пытается украсть деньги со счёта в Сбербанке, привязанного к телефону, рассылает спам со ссылкой на «себя любимого». Подлость в том, что делает он всё это виртуозно и эффективнее других образцов этой индустрии, что и позволило данному зловреду феноменально быстро распространиться. И «поставить на уши» не только антивирусные компании, но и сотовых операторов. На моей памяти это первый случай, когда троянская программа для смартфона вызвала такой резонанс среди «широкой общественности узких кругов».

Название и «серийный номер» трояна мне неизвестен. Могу предположить, что это одна из продвинутых модификаций известного зловреда Asacub, про которого подробнее можно почитать на сайте Anti-Malware здесь. Пишут, что в день происходит приблизительно 40 тысяч заражений, из которых основная часть (98% случаев) приходится на Россию, также среди пострадавших стран есть Украина, Турция, Германия, Белоруссия, Польша, Армения, Казахстан, США и другие. Судя по темпам распространения, приведённые данные о количестве зараженных устройств за прошедшие несколько дней стали уже неактуальны, пострадавших стало намного больше.

Есть мнение, что эта массированная атака на кошельки пользователей готовилась очень заранее и тщательно. Постепенно накапливалась «критическая масса» заражённых смартфонов, и в какой-то момент эта сеть по команде одновременно активизировалась, застав всех врасплох. Этакий блицкриг. Не постепенное, как это обычно бывает, распространение заразы, а резкий всплеск. Авторы трояна не разменивались на всякие мелочи вроде подгрузки рекламы или подписок на контент. Похоже, что основная и единственная цель — снять деньги с привязанного к номеру сбербанковского счета и обеспечить распространение заразы на другие номера телефонов. Причём выполнить всё это максимально быстро. Отправка сообщения с указанием суммы пополнения на номер 900 — приём известный, а вот в части распространения всё выполнено на высоком уровне и, я бы сказал, талантливо.

Как зловред это делает

Каждый заражённый смартфон одновременно выступает в роли распространителя вируса. Сперва троян выполняет свою основную задачу по воровству денег, которые переводятся на баланс телефона отправкой SMS с искомой суммой пополнения на сбербанковский номер 900. При получении отказа троян отправляет повторные запросы, ступенчато уменьшая суммы. Затем деньги перебрасываются на «транзитные» телефонные балансы других номеров, на момент подготовки материала было известно только об использовании для этого номеров «Билайн». Дальнейший маршрут украденных денег мне неведом. Затем после получения ответа о невозможности дальнейших операций или в случае отсутствия привязанной карты Сберанка троян приступает к распространению себя на другие номера телефонов. По-видимому, для этого троян полностью берет под свой контроль программу получения и отправки сообщений смартфона, входящие SMS пользователь не видит и остаётся в полном неведении о происходящем.

Троян рассылает SMS со ссылкой по всем номерам, найденным в адресбуке. Каждая СМС начинается с обращения по имени, взятому, судя по всему, из того же адресбука хозяина зараженного смартфона. Если верить рассказанному, текст сообщения представляет собой не обычное в таких случаях что-то вроде «посмотри на меня голенькую!», а вполне осмысленное обращение, позаимствованное из исходящих сообщений SMS-переписки хозяина номера. То есть получатель видит не только обращение к нему по имени, но и с большой долей вероятности то вводное обращение, которого он мог бы ожидать от этого автора. Если номер отправителя занесён в адресбук получателя, то на экране ещё и имя отправителя высветится. Если номер не занесён, то всё равно такое «личное» сообщение со ссылкой вряд ли вызовет подозрения и ссылка будет благополучно открыта, что от получателя и требовалось. Ещё, похоже, троян бережно обращается с «ресурсом», отправляя исходящее SMS в пределах 70 знаков (одно сообщение). Естественно, это не забота о балансе телефонного счёта жертвы, а рациональный подход: антифрод оператора блокирует массовые SMS-рассылки с номера абонента, а понятие «массовости», скорее всего, определяется количеством отправленных подряд SMS. Да и баланс телефона не безграничен. Поэтому отправлять два сообщения в склейке — расточительство, лучше успеть за это же время «окучить» большее число номеров.

Исчерпав список номеров из адресбука, троян продолжает рассылку SMS по списку случайных номеров, которые он получает, скорее всего, с сервера злоумышленника при заражении смартфона. Надо полагать, список генерируется на сервере в виде индивидуального пакета для каждого экземпляра трояна и номера не повторяются. Процедура для владельца смартфона недешевая: в списке много номеров разных регионов, при цене междугородних SMS в МТС 3.85 руб. троян успевает «облегчить» баланс на пару-тройку тысяч рублей. Деньги списываются в том числе в минус. Тарификация SMS происходит офлайн, хоть и с очень небольшой задержкой, но троян «работает» со скоростью более 100 сообщений в минуту. После 5 минут рассылки на сети срабатывает антифрод, и отправка SMS с этого телефона блокируется, хотя к тому времени номер обычно бывает уже заблокирован из-за отрицательного баланса на сумму около трёх тысяч рублей.

Судя по сообщению ниже, троян ещё ухитряется подключить автоплатёж и через него выводить деньги с баланса, пополняя его автоплатежом с привязанной к счёту банковской карты. Не знаю, насколько эти процессы автоматизированы.

Скриншот к вопросу о том, как именно происходит заражение. Ссылка в пришедшей мне SMS оказалась уже на следующий день нерабочей, так что посмотреть с компьютера не смог. По информации «с полей» (см. скриншот выше), после клика по ссылке экран смартфона становится белым, затем аппарат перезагружается. По рассказам специалиста, общавшегося с большим числом пострадавших, среди них было достаточно большое количество людей, абсолютно не пользующихся настройками смартфона. В том числе и тех, кто использует смартфон как простую «звонилку». Я уже молчу про всякие руты, умеет человек регулировать громкость, и ладно. Вероятность того, что смартфон с какого-то перепугу самостоятельно включил возможность устанавливать программы из посторонних источников почти нулевая. То есть, скорее всего, троян умеет это делать, либо замаскированная под что-нибудь программа присутствует в Google Play, либо там работает какой-то сложный механизм с последующей дозагрузкой вредоносной части. Что-то на эту тему читал, но я не специалист, да и новинки в этой области появляются быстро, а подробности не афишируются и не публикуются по понятным причинам. Для нас с вами важно то, что с очень большой вероятностью отключенное разрешение на установку из сторонних источников не препятствует заражению этим трояном.

Ознакомьтесь с подробным «отчётом», написанным одним из наших читателей. Должен сказать, что всё изложенное соответствует тому, что я слышал от людей, которым полностью доверяю.

«...несколько человек на днях влипли в одно и то же (при наличии андроида и МТС): намотали где-то вирус затейливый. Который, мало того, что всеми силами искал, как в сбербанк-онлайн ворваться, так и в мтс-пэй подключил автоплатеж, каждый вечер пополняя билайны разных регионов. Всё это, есс-но, бесшумно, упрятав все СМС.

А ещё - красиво разослал себя всей телефонной книге (очень грамотными СМС, надо сказать), что, при наличии кучи контактов, и поштучной оплате, само по себе увело баланс в глубокий минус. И насчет минуса - тоже вопрос. Вполне вероятно, что подключенный кредитный лимит (на полном доверии) - тоже его рук дело.)) И, как говорят, три разных антивируса его не обнаружили...

В итоге, даже сброс телефона к заводским настройкам в комплексе со скандальным походом в МТС почти не дали результата. На следующий день - опять минус 1000 на счету.) Красиво, чо. Не контент, не подписки. В итоге - отключили абонентам кредитный лимит и автоплатежи, подключили "запрет возврата части аванса". Чего дальше ждать — непонятно.)

Тут вижу две новости, как говорится.

  • 1-я - сей вирус - очень хитрая тварь, однако. И неизвестно, можно ли его выкорчевать без рута...
  • 2-я - в сбербанк-онлайн он-таки не пробрался. Неизвестно, почему: то ли от того, что у абонов не было его полной версии, то ли сберовский антивирь так хорош...».

Что делать и как лечиться

Рецепт мне неизвестен. Антивирусы пока бессильны, и, как пишут, даже сброс смартфона до заводских настроек не помогает. По отзывам, помогает обращение в сервисный центр. Возможно, там аппарат просто перепрошивают. Разумеется, приводят смартфон в чувство за деньги, заражение вирусом не является гарантийным случаем.

В качестве резюме. Как правило, к любому заражению смартфона в той или иной мере применимо заключение «сам дурак». Не пользовался антивирусом, ходил по ссылкам из непонятных сообщений, бездумно кликал в браузере и так далее. В данном случае упрекать в чём-то пользователя трудно. Качественная социальная инженерия в сочетании с хорошим техническим исполнением, не перезванивать же каждому коллеге или знакомому, отправившему вам SMS? Хотя невредно бы и перезвонить, а то ведь человек может не подозревать о произошедшей с ним неприятности. Что касается рекомендаций, то можно посоветовать только дополнительно уточнять у автора пришедшей SMS. При всей раздражающей заморочности такого способа. А если сообщение с незнакомого номера, то не идти по ссылке в любом случае. Даже несмотря на обращение к вам по имени. Мало ли кто мог внести вас в свой адресбук просто для того, чтобы записать ваш номер и email.

P.S.

Ещё в тему рассылок по списку контактов. Подсмотрел на форуме свеженькое описание новой (для меня) хитрости, цитата:

«Знакомый ребёнка прислал ему фото из личного кабинета МТС, где было заглавие: "Восстановление номера через друзей и близких ПАО МТС" и поля для ввода логина и пароля, и просил сообщить их. Что это может быть? В сети я на свой вопрос не нашел».

Да-да, пришли другу свои логин/пароль, а то вдруг его сам забудешь? В итоге сообщение оказалось присланным со взломанного аккаунта «ВКонтакте». Красиво и вполне может сработать с человеком, который в личный кабинет не ходит вообще или бывает там очень эпизодически, особо не вникая в его возможности. Сделать в фотошопе фейковый скриншот не 5 секунд, но минут за 20-30 запросто можно соорудить нечто правдоподобное. Опять-таки это же не индивидуальный «набег», наверняка картинка массово рассылается. Подход традиционный: в случае таких «ковровых бомбардировок» даже небольшой процент бездумно отреагировавших приносит мошеннику неплохой улов.

Отвечать автору такого сообщения ругательным письмом смысла нет. Отправитель ответ не прочитает, а если даже прочитает, то ваша ругань ему до лампочки.

Сергей Потресов (sergey.potresov@mobile-review.com)
Twitter

Опубликовано — 18 сентября 2018 г.

Мы в социальных сетях:

Есть, что добавить?! Пишите... eldar@mobile-review.com

 

Новости:

23.10.2018 На AliExpress появятся товары из Европы

23.10.2018 Samsung представила новый шлем смешанной реальности – HMD Odyssey+

23.10.2018 Qualcomm представила очередной процессор среднего уровня – Snapdragon 675

22.10.2018 Версии Samsung Galaxy S10 на Exynos и Snapdragon получат больше различий

22.10.2018 Oppo R15X появился на официальном сайте компании

22.10.2018 Индийский оператор войдет в топ-10 смартфонных брендов

22.10.2018 Раскрыты технические характеристики нового флагмана Honor

Hit

22.10.2018 Видео на канале: Обзор ZTE Axon 9 Pro

22.10.2018 В Samsung Pay появился каталог финансовых сервисов

22.10.2018 AliExpress впервые раскрыл количество покупателей из России

22.10.2018 Слайдер Honor Magic 2 на официальных фото

22.10.2018 Шведский магазин предлагает приобрести OnePlus 6T Ultimate Limited Edition до анонса производителем

19.10.2018 Xiaomi показала качественные фото своего нового флагманского фаблета Mi MIX 3

19.10.2018 BQ-6200L Aurora – флагманский смартфон от российской компании

19.10.2018 Apple назначила презентацию новых продуктов на конец этого месяца

19.10.2018 Samsung Galaxy Book2 – устройство 2-в-1 на Windows 10 и процессоре Qualcomm Snapdragon 850

19.10.2018 Сбербанк хочет стать крупнейшим акционером «Яндекса»

18.10.2018 Vertu возвращается, но пока только в Китае

Hit

18.10.2018 Видео на канале: Обзор Vertex Impress Cube

18.10.2018 Xiaomi представит второе поколение игровых смартфонов на следующей неделе

18.10.2018 Lenovo S5 Pro и К5 Pro представлены официально

18.10.2018 Xiaomi показала работу слайдера в предстоящем к выходу смартфоне Mi MIX 3

18.10.2018 VIVO Y81i – доступный смартфон с FullView дисплеем и не анонсированным процессором от MediaTek

Hit

18.10.2018 Видео на канале: Первый взгляд на Samsung Galaxy A9 (2018)

18.10.2018 AQUOS Keitai SH-02L – многофункциональный телефон-раскладушка от Sharp

Подписка
 
© Mobile-review.com, 2002-2018. All rights reserved.