Каждый заражённый смартфон одновременно выступает в роли распространителя вируса. Сперва троян выполняет свою основную задачу по воровству денег, которые переводятся на баланс телефона отправкой SMS с искомой суммой пополнения на сбербанковский номер 900. При получении отказа троян отправляет повторные запросы, ступенчато уменьшая суммы. Затем деньги перебрасываются на «транзитные» телефонные балансы других номеров, на момент подготовки материала было известно только об использовании для этого номеров «Билайн». Дальнейший маршрут украденных денег мне неведом. Затем после получения ответа о невозможности дальнейших операций или в случае отсутствия привязанной карты Сберанка троян приступает к распространению себя на другие номера телефонов. По-видимому, для этого троян полностью берет под свой контроль программу получения и отправки сообщений смартфона, входящие SMS пользователь не видит и остаётся в полном неведении о происходящем.
Троян рассылает SMS со ссылкой по всем номерам, найденным в адресбуке. Каждая СМС начинается с обращения по имени, взятому, судя по всему, из того же адресбука хозяина зараженного смартфона. Если верить рассказанному, текст сообщения представляет собой не обычное в таких случаях что-то вроде «посмотри на меня голенькую!», а вполне осмысленное обращение, позаимствованное из исходящих сообщений SMS-переписки хозяина номера. То есть получатель видит не только обращение к нему по имени, но и с большой долей вероятности то вводное обращение, которого он мог бы ожидать от этого автора. Если номер отправителя занесён в адресбук получателя, то на экране ещё и имя отправителя высветится. Если номер не занесён, то всё равно такое «личное» сообщение со ссылкой вряд ли вызовет подозрения и ссылка будет благополучно открыта, что от получателя и требовалось. Ещё, похоже, троян бережно обращается с «ресурсом», отправляя исходящее SMS в пределах 70 знаков (одно сообщение). Естественно, это не забота о балансе телефонного счёта жертвы, а рациональный подход: антифрод оператора блокирует массовые SMS-рассылки с номера абонента, а понятие «массовости», скорее всего, определяется количеством отправленных подряд SMS. Да и баланс телефона не безграничен. Поэтому отправлять два сообщения в склейке — расточительство, лучше успеть за это же время «окучить» большее число номеров.
Исчерпав список номеров из адресбука, троян продолжает рассылку SMS по списку случайных номеров, которые он получает, скорее всего, с сервера злоумышленника при заражении смартфона. Надо полагать, список генерируется на сервере в виде индивидуального пакета для каждого экземпляра трояна и номера не повторяются. Процедура для владельца смартфона недешевая: в списке много номеров разных регионов, при цене междугородних SMS в МТС 3.85 руб. троян успевает «облегчить» баланс на пару-тройку тысяч рублей. Деньги списываются в том числе в минус. Тарификация SMS происходит офлайн, хоть и с очень небольшой задержкой, но троян «работает» со скоростью более 100 сообщений в минуту. После 5 минут рассылки на сети срабатывает антифрод, и отправка SMS с этого телефона блокируется, хотя к тому времени номер обычно бывает уже заблокирован из-за отрицательного баланса на сумму около трёх тысяч рублей.
Судя по сообщению ниже, троян ещё ухитряется подключить автоплатёж и через него выводить деньги с баланса, пополняя его автоплатежом с привязанной к счёту банковской карты. Не знаю, насколько эти процессы автоматизированы.
Скриншот к вопросу о том, как именно происходит заражение. Ссылка в пришедшей мне SMS оказалась уже на следующий день нерабочей, так что посмотреть с компьютера не смог. По информации «с полей» (см. скриншот выше), после клика по ссылке экран смартфона становится белым, затем аппарат перезагружается. По рассказам специалиста, общавшегося с большим числом пострадавших, среди них было достаточно большое количество людей, абсолютно не пользующихся настройками смартфона. В том числе и тех, кто использует смартфон как простую «звонилку». Я уже молчу про всякие руты, умеет человек регулировать громкость, и ладно. Вероятность того, что смартфон с какого-то перепугу самостоятельно включил возможность
устанавливать программы из посторонних источников почти нулевая. То есть, скорее всего, троян умеет это делать, либо замаскированная под что-нибудь программа присутствует в Google Play, либо там работает какой-то сложный механизм с последующей дозагрузкой вредоносной части. Что-то на эту тему читал, но я не специалист, да и новинки в этой области появляются быстро, а подробности не афишируются и не публикуются по понятным причинам. Для нас с вами важно то, что с очень большой вероятностью отключенное разрешение на установку из сторонних источников не препятствует заражению этим трояном.
Ознакомьтесь с подробным «отчётом», написанным одним из наших читателей. Должен сказать, что всё изложенное соответствует тому, что я слышал от людей, которым полностью доверяю.
«...несколько человек на днях влипли в одно и то же (при наличии андроида и МТС): намотали где-то вирус затейливый. Который, мало того, что всеми силами искал, как в сбербанк-онлайн ворваться, так и в мтс-пэй подключил автоплатеж, каждый вечер пополняя билайны разных регионов. Всё это, есс-но, бесшумно, упрятав все СМС.
А ещё - красиво разослал себя всей телефонной книге (очень грамотными СМС, надо сказать), что, при наличии кучи контактов, и поштучной оплате, само по себе увело баланс в глубокий минус. И насчет минуса - тоже вопрос. Вполне вероятно, что подключенный кредитный лимит (на полном доверии) - тоже его рук дело.)) И, как говорят, три разных антивируса его не обнаружили...
В итоге, даже сброс телефона к заводским настройкам в комплексе со скандальным походом в МТС почти не дали результата. На следующий день - опять минус 1000 на счету.) Красиво, чо. Не контент, не подписки. В итоге - отключили абонентам кредитный лимит и автоплатежи, подключили "запрет возврата части аванса". Чего дальше ждать — непонятно.)
Тут вижу две новости, как говорится.
- 1-я - сей вирус - очень хитрая тварь, однако. И неизвестно, можно ли его выкорчевать без рута...
- 2-я - в сбербанк-онлайн он-таки не пробрался. Неизвестно, почему: то ли от того, что у абонов не было его полной версии, то ли сберовский антивирь так хорош...».
Рецепт мне неизвестен. Антивирусы пока бессильны, и, как пишут, даже сброс смартфона до заводских настроек не помогает. По отзывам, помогает обращение в сервисный центр. Возможно, там аппарат просто перепрошивают. Разумеется, приводят смартфон в чувство за деньги, заражение вирусом не является гарантийным случаем.
В качестве резюме. Как правило, к любому заражению смартфона в той или иной мере применимо заключение «сам дурак». Не пользовался антивирусом, ходил по ссылкам из непонятных сообщений, бездумно кликал в браузере и так далее. В данном случае упрекать в чём-то пользователя трудно. Качественная социальная инженерия в сочетании с хорошим техническим исполнением, не перезванивать же каждому коллеге или знакомому, отправившему вам SMS? Хотя невредно бы и перезвонить, а то ведь человек может не подозревать о произошедшей с ним неприятности. Что касается рекомендаций, то можно посоветовать только дополнительно уточнять у автора пришедшей SMS. При всей раздражающей заморочности такого способа. А если сообщение с незнакомого номера, то не идти по ссылке в любом случае. Даже несмотря на обращение к вам по имени. Мало ли кто мог внести вас в свой адресбук просто для того, чтобы записать ваш номер и email.
P.S.
Ещё в тему рассылок по списку контактов. Подсмотрел на форуме свеженькое описание новой (для меня) хитрости, цитата:
«Знакомый ребёнка прислал ему фото из личного кабинета МТС, где было заглавие: "Восстановление номера через друзей и близких ПАО МТС" и поля для ввода логина и пароля, и просил сообщить их. Что это может быть? В сети я на свой вопрос не нашел».
Да-да, пришли другу свои логин/пароль, а то вдруг его сам забудешь? В итоге сообщение оказалось присланным со взломанного аккаунта «ВКонтакте». Красиво и вполне может сработать с человеком, который в личный кабинет не ходит вообще или бывает там очень эпизодически, особо не вникая в его возможности. Сделать в фотошопе фейковый скриншот не 5 секунд, но минут за 20-30 запросто можно соорудить нечто правдоподобное. Опять-таки это же не индивидуальный «набег», наверняка картинка массово рассылается. Подход традиционный: в случае таких «ковровых бомбардировок» даже небольшой процент бездумно отреагировавших приносит мошеннику неплохой улов.
Отвечать автору такого сообщения ругательным письмом смысла нет. Отправитель ответ не прочитает, а если даже прочитает, то ваша ругань ему до лампочки.
