Вирус для смартфонов с интеллектом

В том смысле, что с неплохим интеллектом оказался трояно-вирус, а не смартфоны. Серьёзная, многофункциональная угроза, устроившая полноценную эпидемию. Антивирусы оказались бессильны, а пользователей на этот раз трудно обвинить в небрежности. Последствия для кошельков печальны, и число пострадавших исчисляется сотнями тысяч.

Судя по отзывам, универсального и эффективного лечения пока нет. Или как минимум не было на момент написания этого обзора. Антивирусы для смартфонов Android этот троян не распознают и его действиям не препятствуют. Вероятно, ситуация в скором времени исправится, однако уповать на антивирусы нет смысла в любом случае. Не потому, что антивирусы плохие или, наоборот, хорошие, а потому, что пользуются ими сравнительно немногие. Дополнительные «тормоза», необходимость каких-то телодвижений и т. п. И самое главное — психология: мы можем сколько угодно читать про всякие неприятности, но подсознательно уверены в том, что всё это не про нас, а про какого-то абстрактного Васю Пупкина, уж с нами-то ничего подобного не произойдёт. Однако же происходит. В данном случае происходит и с тем, кто антивирусом пользуется.

Что зловред делает

Формально поведение трояна ничем не отличается от его многочисленных «коллег». Пытается украсть деньги со счёта в Сбербанке, привязанного к телефону, рассылает спам со ссылкой на «себя любимого». Подлость в том, что делает он всё это виртуозно и эффективнее других образцов этой индустрии, что и позволило данному зловреду феноменально быстро распространиться. И «поставить на уши» не только антивирусные компании, но и сотовых операторов. На моей памяти это первый случай, когда троянская программа для смартфона вызвала такой резонанс среди «широкой общественности узких кругов».

Название и «серийный номер» трояна мне неизвестен. Могу предположить, что это одна из продвинутых модификаций известного зловреда Asacub, про которого подробнее можно почитать на сайте Anti-Malware здесь. Пишут, что в день происходит приблизительно 40 тысяч заражений, из которых основная часть (98% случаев) приходится на Россию, также среди пострадавших стран есть Украина, Турция, Германия, Белоруссия, Польша, Армения, Казахстан, США и другие. Судя по темпам распространения, приведённые данные о количестве зараженных устройств за прошедшие несколько дней стали уже неактуальны, пострадавших стало намного больше.

Есть мнение, что эта массированная атака на кошельки пользователей готовилась очень заранее и тщательно. Постепенно накапливалась «критическая масса» заражённых смартфонов, и в какой-то момент эта сеть по команде одновременно активизировалась, застав всех врасплох. Этакий блицкриг. Не постепенное, как это обычно бывает, распространение заразы, а резкий всплеск. Авторы трояна не разменивались на всякие мелочи вроде подгрузки рекламы или подписок на контент. Похоже, что основная и единственная цель — снять деньги с привязанного к номеру сбербанковского счета и обеспечить распространение заразы на другие номера телефонов. Причём выполнить всё это максимально быстро. Отправка сообщения с указанием суммы пополнения на номер 900 — приём известный, а вот в части распространения всё выполнено на высоком уровне и, я бы сказал, талантливо.

Как зловред это делает

Каждый заражённый смартфон одновременно выступает в роли распространителя вируса. Сперва троян выполняет свою основную задачу по воровству денег, которые переводятся на баланс телефона отправкой SMS с искомой суммой пополнения на сбербанковский номер 900. При получении отказа троян отправляет повторные запросы, ступенчато уменьшая суммы. Затем деньги перебрасываются на «транзитные» телефонные балансы других номеров, на момент подготовки материала было известно только об использовании для этого номеров «Билайн». Дальнейший маршрут украденных денег мне неведом. Затем после получения ответа о невозможности дальнейших операций или в случае отсутствия привязанной карты Сберанка троян приступает к распространению себя на другие номера телефонов. По-видимому, для этого троян полностью берет под свой контроль программу получения и отправки сообщений смартфона, входящие SMS пользователь не видит и остаётся в полном неведении о происходящем.

Троян рассылает SMS со ссылкой по всем номерам, найденным в адресбуке. Каждая СМС начинается с обращения по имени, взятому, судя по всему, из того же адресбука хозяина зараженного смартфона. Если верить рассказанному, текст сообщения представляет собой не обычное в таких случаях что-то вроде «посмотри на меня голенькую!», а вполне осмысленное обращение, позаимствованное из исходящих сообщений SMS-переписки хозяина номера. То есть получатель видит не только обращение к нему по имени, но и с большой долей вероятности то вводное обращение, которого он мог бы ожидать от этого автора. Если номер отправителя занесён в адресбук получателя, то на экране ещё и имя отправителя высветится. Если номер не занесён, то всё равно такое «личное» сообщение со ссылкой вряд ли вызовет подозрения и ссылка будет благополучно открыта, что от получателя и требовалось. Ещё, похоже, троян бережно обращается с «ресурсом», отправляя исходящее SMS в пределах 70 знаков (одно сообщение). Естественно, это не забота о балансе телефонного счёта жертвы, а рациональный подход: антифрод оператора блокирует массовые SMS-рассылки с номера абонента, а понятие «массовости», скорее всего, определяется количеством отправленных подряд SMS. Да и баланс телефона не безграничен. Поэтому отправлять два сообщения в склейке — расточительство, лучше успеть за это же время «окучить» большее число номеров.

Исчерпав список номеров из адресбука, троян продолжает рассылку SMS по списку случайных номеров, которые он получает, скорее всего, с сервера злоумышленника при заражении смартфона. Надо полагать, список генерируется на сервере в виде индивидуального пакета для каждого экземпляра трояна и номера не повторяются. Процедура для владельца смартфона недешевая: в списке много номеров разных регионов, при цене междугородних SMS в МТС 3.85 руб. троян успевает «облегчить» баланс на пару-тройку тысяч рублей. Деньги списываются в том числе в минус. Тарификация SMS происходит офлайн, хоть и с очень небольшой задержкой, но троян «работает» со скоростью более 100 сообщений в минуту. После 5 минут рассылки на сети срабатывает антифрод, и отправка SMS с этого телефона блокируется, хотя к тому времени номер обычно бывает уже заблокирован из-за отрицательного баланса на сумму около трёх тысяч рублей.

Судя по сообщению ниже, троян ещё ухитряется подключить автоплатёж и через него выводить деньги с баланса, пополняя его автоплатежом с привязанной к счёту банковской карты. Не знаю, насколько эти процессы автоматизированы.

Скриншот к вопросу о том, как именно происходит заражение. Ссылка в пришедшей мне SMS оказалась уже на следующий день нерабочей, так что посмотреть с компьютера не смог. По информации «с полей» (см. скриншот выше), после клика по ссылке экран смартфона становится белым, затем аппарат перезагружается. По рассказам специалиста, общавшегося с большим числом пострадавших, среди них было достаточно большое количество людей, абсолютно не пользующихся настройками смартфона. В том числе и тех, кто использует смартфон как простую «звонилку». Я уже молчу про всякие руты, умеет человек регулировать громкость, и ладно. Вероятность того, что смартфон с какого-то перепугу самостоятельно включил возможность устанавливать программы из посторонних источников почти нулевая. То есть, скорее всего, троян умеет это делать, либо замаскированная под что-нибудь программа присутствует в Google Play, либо там работает какой-то сложный механизм с последующей дозагрузкой вредоносной части. Что-то на эту тему читал, но я не специалист, да и новинки в этой области появляются быстро, а подробности не афишируются и не публикуются по понятным причинам. Для нас с вами важно то, что с очень большой вероятностью отключенное разрешение на установку из сторонних источников не препятствует заражению этим трояном.

Ознакомьтесь с подробным «отчётом», написанным одним из наших читателей. Должен сказать, что всё изложенное соответствует тому, что я слышал от людей, которым полностью доверяю.

«...несколько человек на днях влипли в одно и то же (при наличии андроида и МТС): намотали где-то вирус затейливый. Который, мало того, что всеми силами искал, как в сбербанк-онлайн ворваться, так и в мтс-пэй подключил автоплатеж, каждый вечер пополняя билайны разных регионов. Всё это, есс-но, бесшумно, упрятав все СМС.

А ещё - красиво разослал себя всей телефонной книге (очень грамотными СМС, надо сказать), что, при наличии кучи контактов, и поштучной оплате, само по себе увело баланс в глубокий минус. И насчет минуса - тоже вопрос. Вполне вероятно, что подключенный кредитный лимит (на полном доверии) - тоже его рук дело.)) И, как говорят, три разных антивируса его не обнаружили...

В итоге, даже сброс телефона к заводским настройкам в комплексе со скандальным походом в МТС почти не дали результата. На следующий день - опять минус 1000 на счету.) Красиво, чо. Не контент, не подписки. В итоге - отключили абонентам кредитный лимит и автоплатежи, подключили "запрет возврата части аванса". Чего дальше ждать — непонятно.)

Тут вижу две новости, как говорится.

1-я - сей вирус - очень хитрая тварь, однако. И неизвестно, можно ли его выкорчевать без рута...

2-я - в сбербанк-онлайн он-таки не пробрался. Неизвестно, почему: то ли от того, что у абонов не было его полной версии, то ли сберовский антивирь так хорош...».

Что делать и как лечиться

Рецепт мне неизвестен. Антивирусы пока бессильны, и, как пишут, даже сброс смартфона до заводских настроек не помогает. По отзывам, помогает обращение в сервисный центр. Возможно, там аппарат просто перепрошивают. Разумеется, приводят смартфон в чувство за деньги, заражение вирусом не является гарантийным случаем.

В качестве резюме. Как правило, к любому заражению смартфона в той или иной мере применимо заключение «сам дурак». Не пользовался антивирусом, ходил по ссылкам из непонятных сообщений, бездумно кликал в браузере и так далее. В данном случае упрекать в чём-то пользователя трудно. Качественная социальная инженерия в сочетании с хорошим техническим исполнением, не перезванивать же каждому коллеге или знакомому, отправившему вам SMS? Хотя невредно бы и перезвонить, а то ведь человек может не подозревать о произошедшей с ним неприятности. Что касается рекомендаций, то можно посоветовать только дополнительно уточнять у автора пришедшей SMS. При всей раздражающей заморочности такого способа. А если сообщение с незнакомого номера, то не идти по ссылке в любом случае. Даже несмотря на обращение к вам по имени. Мало ли кто мог внести вас в свой адресбук просто для того, чтобы записать ваш номер и email.

P.S.

Ещё в тему рассылок по списку контактов. Подсмотрел на форуме свеженькое описание новой (для меня) хитрости, цитата:

Да-да, пришли другу свои логин/пароль, а то вдруг его сам забудешь? В итоге сообщение оказалось присланным со взломанного аккаунта «ВКонтакте». Красиво и вполне может сработать с человеком, который в личный кабинет не ходит вообще или бывает там очень эпизодически, особо не вникая в его возможности. Сделать в фотошопе фейковый скриншот не 5 секунд, но минут за 20-30 запросто можно соорудить нечто правдоподобное. Опять-таки это же не индивидуальный «набег», наверняка картинка массово рассылается. Подход традиционный: в случае таких «ковровых бомбардировок» даже небольшой процент бездумно отреагировавших приносит мошеннику неплохой улов.

Отвечать автору такого сообщения ругательным письмом смысла нет. Отправитель ответ не прочитает, а если даже прочитает, то ваша ругань ему до лампочки.