Наша взаимовыгодная связь https://banwar.org/
В тому сенсі, що з непоганим інтелектом виявився Трояно-вірус, а не смартфони. Серйозна, багатофункціональна загроза, яка влаштувала повноцінну епідемію. Антивіруси виявилися безсилі, а користувачів на цей раз важко звинуватити в недбалості. Наслідки для гаманців сумні, і число постраждалих обчислюється сотнями тисяч.
Судячи з відгуків, універсального і ефективного лікування поки немає. Або як мінімум не було на момент написання цього огляду. Антивіруси для смартфонів Android цей троян не розпізнає і його діям не перешкоджають. Ймовірно, ситуація незабаром виправиться, однак сподіватися на антивіруси немає сенсу в будь-якому випадку. Чи не тому, що антивіруси погані або, навпаки, хороші, а тому, що користуються ними порівняно небагато. Додаткові «гальма», необхідність якихось рухів тіла і т. П. І найголовніше - психологія: ми можемо скільки завгодно читати про всякі неприємності, але підсвідомо впевнені в тому, що все це не про нас, а про якогось абстрактного Васю Пупкіна, вже з нами щось нічого подібного не відбудеться. Однак ж відбувається. В даному випадку відбувається і з тим, хто антивірусом користується.
Що зловредів робить
Формально поведінка трояна нічим не відрізняється від його численних «колег». Намагалась викрасти гроші з рахунку в Ощадбанку, прив'язаного до телефону, розсилає спам з посиланням на «себе коханого». Підлість в тому, що робить він все це віртуозно і ефективніше інших зразків цієї індустрії, що і дозволило даному зловредів феноменально швидко поширитися. І «поставити на вуха» не лише антивірусні компанії, але і стільникових операторів. На моїй пам'яті це перший випадок, коли троянська програма для смартфона викликала такий резонанс серед «широкої громадськості вузьких кіл».
Назва і «серійний номер» трояна мені невідомий. Можу припустити, що це одна з просунутих модифікацій відомого зловреда Asacub, про якого докладніше можна почитати на сайті Anti-Malware тут . Пишуть, що в день відбувається приблизно 40 тисяч заражень, з яких основна частина (98% випадків) припадає на Росію, також серед постраждалих країн є Україна, Туреччина, Німеччина, Білорусь, Польща, Вірменія, Казахстан, США та інші. Судячи з темпів поширення, наведені дані про кількість заражених пристроїв за минулі кілька днів стали вже неактуальні, постраждалих стало набагато більше.
Є думка, що ця масована атака на гаманці користувачів готувалася дуже заздалегідь і ретельно. Поступово накопичувалася «критична маса» заражених смартфонів, і в якийсь момент ця мережа по команді одночасно активізувалася, застав всіх зненацька. Такий собі бліцкриг. Чи не поступове, як це зазвичай буває, поширення зарази, а різкий сплеск. Автори трояна не розмінюватися на всякі дрібниці на зразок подгрузки реклами або підписок на контент. Схоже, що основна і єдина мета - зняти гроші з прив'язаного до номера ощадбанківського рахунки і забезпечити поширення зарази на інші номери телефонів. Причому виконати все це максимально швидко. Відправлення повідомлення із зазначенням суми поповнення на номер 900 - прийом відомий, а ось в частині поширення все виконано на високому рівні і, я б сказав, талановито.
Як зловредів це робить
Кожен заражений смартфон одночасно виступає в ролі розповсюджувача вірусу. Спершу троян виконує своє основне завдання по розкраданню грошей, які переводяться на баланс телефону відправкою SMS з шуканої сумою поповнення на ощадбанківських номер 900. При отриманні відмови троян відправляє повторні запити, поступово зменшуючи суми. Потім гроші перекидаються на «транзитні» телефонні баланси інших номерів, на момент підготовки матеріалу було відомо тільки про використання для цього номерів «Білайн». Подальший маршрут вкрадених грошей мені невідомий. Потім після отримання відповіді про неможливість подальших операцій або в разі відсутності прив'язаною карти Сберанка троян приступає до поширення себе на інші номери телефонів. Мабуть, для цього троян повністю бере під свій контроль програму отримання і відправки повідомлень смартфона, що входять SMS користувач не бачить і залишається в повному невіданні про те, що відбувається.
Троян розсилає SMS з посиланням по всіх номерах, знайденим в адресної книги. Кожна СМС починається зі звернення на ім'я, взятому, судячи з усього, з того ж адресної книги господаря зараженого смартфона. Якщо вірити розказаного, текст повідомлення являє собою не звичайне в таких випадках щось на кшталт «подивися на мене голеньку!», А цілком осмислене звернення, запозичене з вихідних повідомлень SMS-листування господаря номера. Тобто одержувач бачить не тільки звернення до нього по імені, але і з великою часткою ймовірності то вступне звернення, якого він міг би очікувати від цього автора. Якщо номер відправника занесений в адресної книги отримувача, то на екрані ще й ім'я відправника висвітиться. Якщо номер не занесений, то все одно таке «особисте» по електронній пошті посилання навряд чи викличе підозри і посилання буде благополучно відкрита, що від одержувача і було потрібно. Ще, схоже, троян дбайливо поводиться з «ресурсом», відправляючи вихідне SMS в межах 70 знаків (одне повідомлення). Природно, це не турбота про баланс телефонного рахунку жертви, а раціональний підхід: антіфрод оператора блокує масові SMS-розсилки з номера абонента, а поняття «масовості», швидше за все, визначається кількістю відправлених поспіль SMS. Та й баланс телефону не безмежний. Тому відправляти два повідомлення в склейці - марнотратство, краще встигнути за цей же час «підгорнути» більше число номерів.
Вичерпавши список номерів з адресної книги, троян продовжує розсилати SMS за списком випадкових номерів, які він отримує, швидше за все, з сервера зловмисника при зараженні смартфона. Треба думати, список генерується на сервері у вигляді індивідуального пакета для кожного екземпляра трояна і номера не повторюються. Процедура для власника смартфона недешева: в списку багато номерів різних регіонів, при ціні міжміських SMS в МТС 3.85 руб. троян встигає «полегшити» баланс на пару-трійку тисяч рублів. Гроші списуються в тому числі в мінус. Тарифікація SMS відбувається офлайн, хоч і з дуже невеликою затримкою, але троян «працює» зі швидкістю понад 100 повідомлень за хвилину. Після 5 хвилин розсилки на мережі спрацьовує антіфрод, і відправка SMS з цього телефону блокується, хоча на той час номер зазвичай буває вже заблокований через негативного балансу на суму близько трьох тисяч рублів.
Судячи з повідомлення нижче, троян ще примудряється підключити автоплатёж і через нього виводити гроші з балансу, поповнюючи його Автоплатеж з прив'язаною до рахунку банківської карти. Не знаю, наскільки ці процеси автоматизовані.
Скріншот до питання про те, як саме відбувається зараження. Посилання в прийшла мені SMS виявилася вже на наступний день неробочий, так що подивитися з комп'ютера не зміг. За інформацією «з полів» (див. Скріншот вище), після кліка по посиланню екран смартфона стає білим, потім апарат перезавантажується. За розповідями фахівця, який спілкувався з великим числом потерпілих, серед них було досить велика кількість людей, абсолютно не користуються настройками смартфона. У тому числі і тих, хто використовує смартфон як просту «звонилку». Я вже мовчу про всякі рути, вміє людина регулювати гучність, і ладно. Імовірність того, що смартфон з якогось переляку самостійно включив можливість встановлювати програми зі сторонніх джерел майже нульова. Тобто, швидше за все, троян вміє це робити, або замаскована під що-небудь програма присутня в Google Play, або там працює якийсь складний механізм з подальшою дозавантаження шкідливої частини. Щось на цю тему читав, але я не фахівець, та й новинки в цій галузі з'являються швидко, а подробиці не афішуються і не публікуються зі зрозумілих причин. Для нас з вами важливо те, що з дуже великою ймовірністю відключене дозвіл на установку зі сторонніх джерел не перешкоджає зараженню цим трояном.
Ознайомтеся з докладним «звітом», написаним одним з наших читачів. Повинен сказати, що все викладене відповідає тому, що я чув від людей, яким повністю довіряю.
«... кілька людей днями влипли в один і той же (при наявності андроїда і МТС): намотали десь вірус вигадливий. Який, мало того, що всіма силами шукав, як в ощадбанк-онлайн увірватися, так і в мтс-пей підключив Автоплатеж, щовечора поповнюючи Білайн різних регіонів. Все це, ЕСС-но, безшумно, заховавши все СМС.
А ще - красиво розіслав себе всій телефонній книзі (дуже грамотними СМС, треба сказати), що, при наявності купи контактів, і поштучного оплаті, саме по собі відвело баланс в глибокий мінус. І щодо мінуса - теж питання. Цілком ймовірно, що підключений кредитний ліміт (на повній довірі) - теж його рук справа.)) І, як кажуть, три різних антивіруса його не виявлено ...
У підсумку, навіть скидання телефону до заводських налаштувань в комплексі зі скандальним походом в МТС майже не дали результату. На наступний день - знову мінус 1000 Перейти до рахунку.) Красиво, чо. Чи не контент, не підписки. У підсумку - відключили абонентам кредитний ліміт і Автоплатеж, підключили "заборона повернення частини авансу". Чого далі чекати - незрозуміло.)
Тут бачу дві новини, як то кажуть.
- 1-я - цей вірус - дуже хитра тварина, однако. І невідомо, чи можна його викорчувати без рута ...
- 2-я - в ощадбанк-онлайн он-таки не пробрався. Невідомо, чому: чи то від того, що у абон не було його повної версії, то чи сберовскій антивирь такий хороший ... ».
Що робити і як лікуватися
Рецепт мені невідомий. Антивіруси поки що безсилі, і, як пишуть, навіть скидання смартфона до заводських налаштувань не допомагає. За відгуками, допомагає звернення до сервісного центру. Можливо, там апарат просто перепрошивати. Зрозуміло, призводять смартфон до тями за гроші, зараження вірусом не є гарантійним випадком.
Як резюме. Як правило, до будь-якого зараження смартфона в тій чи іншій мірі може бути застосовано висновок «сам дурень». Чи не користувався антивірусом, ходив по посиланнях з незрозумілих повідомлень, бездумно кликав в браузері і так далі. В даному випадку дорікати в чомусь користувача важко. Якісна соціальна інженерія в поєднанні з хорошим технічним виконанням, чи не передзвонювати ж кожному колезі чи знайомому, який відправив вам SMS? Хоча нешкідливо б і передзвонити, а то адже людина може не підозрювати про що сталася з ним неприємності. Що стосується рекомендацій, то можна порадити тільки додатково уточнювати у автора прийшла SMS. При всій дратівливою заморочно такого способу. А якщо повідомлення з незнайомого номера, то не йти за посиланням в будь-якому випадку. Навіть незважаючи на звернення до вас по імені. Мало хто міг внести вас в свій адресної книги просто для того, щоб записати свій номер і email.
Ще в тему розсилок по списку контактів. Підглянув на форумі свіженьке опис нової (для мене) хитрощі, цитата:
Так-так, прийшли одному свої логін / пароль, а то раптом його сам забудеш? В результаті повідомлення виявилося надісланим з зламаного облікового запису «ВКонтакте». Красиво і цілком може спрацювати з людиною, який в особистий кабінет не ходить взагалі або буває там дуже епізодично, особливо не вникаючи в його можливості. Зробити в фотошопі фейковий скріншот не 5 секунд, але хвилин за 20-30 запросто можна спорудити щось правдоподібне. Знову-таки це ж не індивідуальний «набіг», напевно картинка масово розсилається. Підхід традиційний: в разі таких «килимових бомбардувань» навіть невеликий відсоток бездумно відреагували приносить шахраєві непоганий улов.
Відповідати автору такого повідомлення лайливим листом сенсу немає. Відправник відповідь не прочитає, а якщо навіть прочитає, то ваша лайка йому до лампочки.
Якісна соціальна інженерія в поєднанні з хорошим технічним виконанням, чи не передзвонювати ж кожному колезі чи знайомому, який відправив вам SMS?
Наша взаимовыгодная связь https://banwar.org/. Запустив новый сайт, "Пари Матч" обещает своим клиентам незабываемый опыт и возможность выиграть крупные суммы.
