Троян на смартфоне. Как вирус попадает на устройство

Привет.

Обожаю страшилки, которые нон-стоп создают в информационном пространстве. Зачастую это делают производители «решений», которые спасают нас от потенциальных угроз. Недавно общался с большим PR-агентством, обсуждали целый ряд их клиентов, которых можно отнести к сегменту технологических компаний, мельком прозвучало имя зарубежной компании, создающей приложение-антивирус для Android. А дальше прозвучали следующие слова: «Для них ничего делать не нужно, мы собираем всю информацию о взломе Android, утечках персональных данных, размещаем инфоповоды в СМИ, наша задача — подсветить опасность современных смартфонов и необходимость защитить свое устройство. Без прямого или косвенного упоминания компании».

Работает схема очень просто. В PR постоянно создают информационные поводы об угрозах, некоторые реальны, большинство высосаны из пальца, задача — создать у человека потребность загрузить антивирусный пакет. Никто не подсовывает услужливо ссылку на конкретное приложение, но вероятность, что человек выберет именно его, высока в силу размера компании, активности в других каналах, подсвечивания в различных подборках (например, топах антивирусов для Android и тому подобных сборных материалах). Представить, что кто-то создает антивирусы, если нет реальной угрозы, крайне сложно. И, конечно, я не отрицаю наличия троянов, вирусов, существующих для Android или iOS, их много, и периодически они приносят реальный вред пользователям. Но вот столкнуться с ними в обычной жизни при соблюдении минимальных правил цифровой гигиены практически невозможно.

Давайте посмотрим на то, как вирус любой природы может попасть на ваше устройство и насколько вероятна такая опасность.

Предустановлен на заводе. Троянский конь

В 2019 году впервые заговорили о трояне Triada, злоумышленники ставили его на Android-смартфоны на уровне производства, зараженные устройства затем продавались в разных странах мира. Никакой защиты от этого вируса не существовало, так как он «прописывался» на уровне системы, перехватывал все действия пользователя и мог украсть данные для доступа не только к социальным сетям и мессенджерам, но и криптокошелькам.

В «Лаборатории Касперского» говорят о том, что с июня 2024 года по март 2025 года в разных странах от Triada пострадало 2.6 тысячи человек, большая их часть в России. Было украдено около 270 тысяч долларов в разных вариантах криптовалют. Создатели защитных решений не описывают способ заражения устройств, оставляют его за кадром, но советуют пользоваться антивирусами.

Давайте попробуем объяснить, как именно происходит заражение устройства и почему число зараженных устройств настолько мало. Начну с того, что трояны появились не вчера, и даже кнопочные телефоны двадцать лет назад могли иметь встроенный троян, правда, он не крал ваши данные, их на кнопочном телефоне было немного. Вместо этого такие зараженные аппараты исправно отправляли платные SMS-сообщения в ту или иную страну, списывали рублей по сто-двести ежемесячно, пока пользователь не обнаруживал недостачу. Мошенники были ограничены в своих стратегиях, но самой выигрышной оказалось списание небольших сумм ежемесячно. Некоторые пользователи зараженных устройств годами платили свою дань мошенникам и даже не догадывались об этом.

С появлением смартфонов возможности мошенников выросли на порядки, вирусы получили модульную структуру, их стало возможно обновлять по мере выхода новых версий. Но остался актуальным вопрос первоначального заражения устройства. На фабриках крупных компаний контроль программного обеспечения таков, что поставить там какой-либо вирус невозможно. На конвейере каждый смартфон проверяется от и до, в том числе учитываются контрольные суммы для софта, его размер до последнего байта. Подменить прошивку на зараженную версию в теории можно, но человека, который это сделает, найдут моментально и не просто уволят, а отправят в тюрьму, чтобы другим было неповадно заниматься такими вещами. За последние лет десять ни одной истории со взломом производственных линий в разных странах мира не было. Причем не только в публичном, но и в непубличном поле.

У небольших, подвальных компаний история совсем другая, они не могут работать как большие производители. И тут возможны всяческие модели взлома. Но естественным барьером становится то, что такие смартфоны и планшеты вы не найдете в крупных розничных сетях, да и в небольших их тоже не продают. Обычно это трансграничная торговля, когда из Китая заказывают «Супер-Пупер смарт» с непроизносимым названием, лучшими на планете характеристиками и за три копейки. Отсюда небольшое число пострадавших, так как доля таких устройств крайне невелика.

Защитить себя от проблем проще простого: не нужно покупать непонятные устройства от неизвестных производителей. Выбор моделей на рынке настолько широк, что вы точно не столкнетесь с проблемами такого рода, их нужно специально выискивать. В рамках подготовки к этому материалу пытался купить зараженные устройства, приобрел несколько потенциально зараженных смартфонов из Китая, но каждый оказался девственно-чист, никаких троянов внутри не было. Так что размер угрозы сильно преувеличен.

Установка трояна до продажи устройства

Вы любите получать подарки? Думаю, что большинство людей обожают получать подарки, ведь это приятно. А если в качестве подарка выступает дорогой смартфон, то нет никаких сомнений в том, что он подарит вам эмоции. Если подарок не от самых близких людей, то он может оказаться с сюрпризом, вы никогда не будете знать, что именно находится в вашем телефоне и с кем он делится всеми вашими данными. Причем это могут быть как программные закладки, так и аппаратные, вторые никакой антивирус не определит. В группе риска любая операционная система, тут нет исключений. Разницы между iPhone и Android при таких целевых атаках не существует. Безусловно, Васе Пупкину, живущему где-то на задворках большой политики или бизнеса, бояться такой атаки не стоит, слишком хлопотно и дорого взламывать его коммуникации этим путем, овчинка не стоит выделки. В среднем цена такого устройства с сюрпризом составляет от 5 до 20 тысяч долларов, рынок сформирован, и в год только в России мы видим порядка 100-120 целевых атак. Цифры минимальные, так как этот теневой рынок абсолютно непрозрачен и про него стараются нигде не говорить.

Совсем другое дело, когда взлом устройства не является адресным, его осуществляют наобум в надежде найти сокровища и поживиться за ваш счет. Как правило, взлом осуществляют не хакеры высокого класса, а обычные продавцы, которые в какой-то момент решаются на криминал в поисках легкой наживы. Инструкций по взлому устройств в сети полным-полно, трояны можно с легкостью найти в свободном доступе и, получив первые деньги, купить их продвинутые версии, которые сложно обнаружить.

Анатомия взлома тут выглядит еще проще. До продажи на устройство сгружают все необходимые приложения и ждут, когда покупатель начнет его обустраивать. Расчет на то, что человек невнимателен, не заметит, что софт от производителя видоизменен (часто это объясняют лучшими характеристиками, тюнингом системы и так далее). Важно понимать, что никто не просит у покупателя пароли от разных приложений, не пытается выведать информацию. Все это не нужно, троян уже в системе и ждет своего часа. Злоумышленника тут легко поймать, сложнее доказать его вину и то, что он проделал все эти операции с телефоном. Поэтому желающих рискнуть своей головой не так много.

Способ защиты от такого взлома банален до невозможности. Вы проверяете упаковку телефона, не приобретаете модель, которую вскрывали до вас, включали без вашего ведома. У вас должен быть девственно-чистый аппарат, который никто не трогал. К сожалению, многие люди считают, что это не так уж важно, и приобретают в том числе витринные образцы.

Существует стереотип, что пытаются взломать только дорогие устройства, флагманы. Это не так! В основном взламывают модели среднего сегмента, их пользователи зачастую не имеют достаточных знаний для защиты, не видят подвоха. Плюс, если это пожилые люди, у них есть похоронные деньги, которые мошенники делают своей целью.

Кража денег из банковского приложения. Миф на 99%

Большинство банковских приложений в России созданы с упором на безопасность пользователя, все действия подтверждаются несколько раз, плюс само приложение проверяет дополнительные параметры системы, чтобы гарантировать ее целостность, отсутствие взлома. Миф о том, что на взломанном смартфоне можно украсть все деньги из банковского приложения, устойчив, но это маловероятный сценарий. Почти всегда защита приложения достаточна для защиты средств клиента, конечно, если он сам не дает вирусу разрешение на совершение разных действий.

Современный смартфон устроен таким образом, что каждое приложение имеет свой набор разрешений. Сам пользователь должен разрешить приложению получать доступ к тем или иным функциям телефона, например, к чтению SMS-сообщений. И если вы не понимаете, зачем казуальной игрушке чтение SMS, то такое разрешение точно не стоит выдавать не глядя. Вот так выглядят разрешения для одного из моих приложений.

Укрепление безопасности ОС для мошенников стало своего рода проблемой, к которой они подобрали свой ключик. И в центре атаки снова человек. Потенциальной жертве предлагают выгодную работу, вложения денег или что-то еще. Задача — заставить человека поставить на свое устройство обычное приложение, например, Zoom. После того, как человек ставит приложение, проверяют его работоспособность, навязывают ему установку еще одного приложения, которое уже содержит вирус или возможности дистанционного управления устройством. Послушайте мой разговор о потенциальной работе с такими мошенниками.

Задача мошенников — убедить человека поставить приложение, чтобы получить доступ к устройству, уметь прочитать получаемые SMS-сообщения. И все эти разрешения человек дает приложению самостоятельно.

Ровно такая же проблема с установкой приложений из непонятных источников, когда вы загружаете APK-файл и ставите его сами. Никакая проверка от производителя или антивирус не могут утверждать, что в таком приложении нет сюрпризов. Поэтому ставить приложения можно только из магазинов приложений, которым вы доверяете. Либо с сайта компании, когда вы уверены, что там именно то, что вы ищете. Ни из присланных сообщений, ни по прямым ссылкам ничего ставить нельзя.

К сожалению, взлом некоторых приложений может происходить при открытии ссылок, тут даже не нужно ничего ставить (привет, WhatsApp). Поэтому не открывайте ссылки даже от знакомых, лучше уточните у них звонком, что именно вам прислали и почему. Та же история с файлами, не ставьте приложения, не смотрите архивы с фотографиями, когда поведение вашего собеседника выбивается за рамки привычного и до того он ничего такого вам не присылал.

Простые правила цифровой гигиены дают гарантированный результат. Вы не станете жертвой мошенников, не потеряете время и нервы, если не будете делать ничего выходящего за рамки привычного.

Любопытство прекрасно, но не экспериментируйте со своим устройством, где есть ваши банковские приложения, с номером, на который приходят извещения от финансовых организаций. Нас постоянно пугают тем, что мошенники могут взломать чуть ли не любое устройство. В теории это так при целевой атаке, но в реальности современные смартфоны защищены на отлично, и при правильном обращении вы не получите никаких проблем, главное — соблюдать элементарную осторожность.

Нужен ли антивирус на устройстве? Думаю, что нет. Опасность представляют всевозможные трекеры в приложениях, которые оцифровывают каждое ваше действие, превращают вас в цифровой продукт. Но антивирусы от них не спасают, а отказаться от такси, доставки еды, покупок онлайн никто из нас не может. Так что, получается, эта проблема пока не нашла своего решения, да и на уровне приложений этого сделать нельзя, тут нужен подход на уровне оператора (первая ласточка — тариф «Мембрана» от МТС, где вычищают трекеры сторонних приложений, статистика говорит сама за себя, их там очень много).

И последнее. Если вы ставите сторонние прошивки, получаете root-доступ для изменения тех или иных функций своего устройства, то вы открываете дорогу для потенциального взлома устройства. Нужно четко понимать, что вы делаете и на какие риски идете, чтобы потом не было больно и горько. В таких случаях лучше семь раз подумать до того, как вы начнете что-то бездумно делать по чужим инструкциям, не понимая конечного результата. Это примерно как ставить чужой софт по указкам «помощника» по телефону.