Цивилизация
Новый тренд мобильных угроз – не просьбы о помощи («кинь мне 200 р на номер …») с незнакомых номеров, а SMS от человека из вашего собственного контакт-листа. Мошенники научились подделывать имя отправителя. Современные SMS-шлюзы позволяют за небольшую плату отправить сообщение с любым значением в поле «отправитель». С помощью таких трюков можно обмануть даже самых осторожных пользователей, так как они будут уверены, что получили SMS именно от знакомого человека или организации.
Про эту технологию рассказали эксперты компании Group IB. Подобные атаки можно проводить, если, например, у мошенников оказался список имен, записанных в телефоне получателя. Учитывая, что современные трояны умеют воровать контакт-листы, атаки теоретически можно проводить массово. Второй вариант – мошенники запросто могут использовать общепринятые обозначения типа «мама», «папа», «сын», «босс», «брат» и проч.
Что касается троянов, то за последние несколько лет вирусописатели вооружили свои приложения обширным функционалом, который позволяет монетизировать зараженный телефон разными методами.
Программы могут не только грабить мобильные счета, но и воровать информацию, показывать рекламу на экране, использовать ресурсы смартфонов в интересах мошенников и задействовать аппараты в ботнетах. Хотя, как и в истории с ПК, все начиналось с хулиганских экспериментов.
Например, в 2005 году главной угрозой для смартфонов на базе мобильной ОС Symbian был пренеприятный вирус под названием Caribe.sys. Он передавался через Bluetooth, с подписью, скажем, «blondinka» или «julia», и мог стереть все данные с карты памяти.
Но первые примитивные вирусы-убийцы уступили место многофункциональным мобильным троянам. Сегодня вредоносное ПО создается для всех мобильных платформ, при этом на ОС Android приходится более половины всех вредоносных программ. Количественные оценки разнятся, но антивирусные компании говорят, что существует уже более 5 тыс. образцов мобильных вирусов.
«В данный момент идет активный рост рынка мобильного вредоносного ПО. Пользователю под любым предлогом предлагается установить приложение, которое либо само является вредоносным, либо закачивает вредоносное приложение, — рассказал «Газете.Ru» ведущий специалист по компьютерной криминалистике Group IB Сергей Никитин.
— При этом большинство пользователей не обращает внимания на выводимые системой сообщения о том, чем является устанавливаемое ПО. А ведь при внимательном отношении было бы очевидно, что «обоям для рабочего стола» вашего смартфона не нужны права на отсылку платных SMS».
Недавно, в конце апреля, антивирусные специалисты немецкой компании G Data обнаружили мошенническое приложение для Android под названием Windows Media Player. Программа рассчитана на неопытных пользователей, которые не знают, что с этой платформой популярный проигрыватель не работает. Приложение заменяет гудки в мобильном назойливой аудио-рекламой, которая, кстати, не умолкает даже когда вызываемый абонент отвечает на звонок. Кроме того программа выводит на экран многочисленные рекламные баннеры. В G Data утверждают, что эта программу мошенники неоднократно загрузили в Google Play и по крайней мере одну из таких «раздач» скачало более 10 тысяч пользователей.
<1>
А в конце феврaля в Google Play были найдены трояны, замаскированные под бесхитростные программки бытового назначения. Например, приложение «Рог» (Airhorn), которое имитирует звук музыкального рога при нажатии на иконку. Другое приложение - «Фонарик» (FlashLight) – позволяет сделать из экрана настоящий фонарь. А «Распылитель против комаров» (Mosquito Repellent) имитирует специальный «отпугивающий» насекомых звук. Эти программы выводят на экран рекламные баннеры с рекламой других якобы «полезных» приложений. А непосредственно вредоносная опция этих приложений заключается в том, что они собирют и отправляют всю найденную в телефоне информацию на удаленный сервер злоумышленников.
«Мобильные «зловреды» становятся сложнее, однако среди них все еще преобладают менее изощренные поделки русских и китайских вирусописателей, — отметил ведущий антивирусный эксперт «Лаборатории Касперского» Денис Масленников. — В России по-прежнему актуальна проблема SMS-троянцев. Кроме того, немало проблем теперь доставляет и шпионское ПО».
Шпионскими возможностями сегодня обладают очень многие мошеннические приложения. С телефона они могут воровать любые данные – IMEI (идентификационный номер вашего аппарата), список контактов, SMS, электронные письма, журналы вызовов и данные о вашем местоположении. В массовом масштабе эти данные едва ли кому-то пригодятся, но для проведения адресных атак — вполне подойдут.
Самое незаурядное из известных вредоносных ПО — Android-троян Nickspy. Это приложение скрытно записывает все телефонные разговоры в аудио-файлы и отправляет их на удаленный сервер. Более того, Nickspy может подслушивать все, что происходит вокруг телефона, даже когда тот находится в режиме ожидания.
С этой целью троян незаметно принимает входящие звонки от хакеров и соответственно те могут услышать и записать все, что происходит рядом аппаратом. Эксперты соглашаются с тем, что такая программа может использоваться, к примеру, для бытового шпионажа.
Мобильные вирусописатели все более умело пользуются приемами социальной инженерии. Яркий пример из недавнего — поддельное приложение Instagram (владелец компания Meta признана в России экстремистской и запрещена) для Android. В апреле, сразу после выхода этой программы, ее скачали несколько миллионов пользователей. Популярностью фото-сервиса не преминули воспользоваться мошенники. Исследователи компании Sophos вскоре обнаружили в рунете троян, замаскированный под Instagram для Android. Функционал оказался банален: отправка платных SMS на премиум-номера.
Буквально на днях компания «Доктор Веб» обнаружила новую уловку - пользователям смартфонов демонстрируется баннер с предложением провести антивирусное сканирование. Перейдя по ссылке, жертва попадает на страницу, имитирующую интерфейс одного из продуктов Dr.Web, предупреждающую о том, что в телефоне обнаружены некие угрозы, например, программа Carberp (известный троян для настольной Windows, никак не предназначенный для Android). Далее мошеннический сайт предлагает вам «обезвредить» угрозу и загружает на смартфон троян для отправки платных SMS.
<2>
Иногда мошенники используют специальные веб-технологии на зараженных сайтах, которые выводят на экран смартфона незакрывающийся баннер. По сути, это аналог троянов для ПК, которые блокируют работу ОС.
В этом году преступники продолжают развивать и мобильные трояны для работы с системами онлайн-банкинга. В прошлом году телефонную версию «русского» банковского трояна Zeus адаптировали под все популярные мобильные платформы.
Основная функция Zeus-in-the-Mobile (ZitMo) – перехват SMS с одноразовыми паролями, приходящими от систем онлайн-банкинга. Программа работает в связке со «старшим Zeus» для ПК и позволяет воровать деньги при пользовании системами дистанционного банковского обслуживания (ДБО).
Не так давно, этой весной, «Лаборатория Касперского» обнаружила вредоносную программу, которая крадет не только SMS с банковскими паролями, но и логин/пароль для авторизации в онлайн-банкинге. Пользователь, запустив вредоносное приложение, видит окно, якобы предназначенное для генерации токенов для входа в систему ДБО. Для этого приложение просит ввести ключ, необходимый для первичной авторизации в системе онлайн-банкинга. После этого программа генерирует поддельный токен (случайное число), а данные, введенные пользователем, пересылаются на телефонный номер (кстати, российский) и на удаленный сервер злоумышленников, вместе с IMEI и IMSI. Специалисты выяснили, что все образцы программы нацелены на пользователей испанских банков.
Еще одна проблема, которая обрела реальные масштабы, – мобильные ботнеты.
«В этом году мы уже столкнулись с первой мобильной бот-сетью – творением рук китайских вирусописателей. Речь идет о ботнете RootSmart, в котором число активных устройств варьируется от 10 000 до 30 000, а общее число смартфонов, зараженных за все время существования ботнета, исчисляется сотнями тысяч», – рассказал «Газете.Ru» Денис Масленников.
RootSmart – это зомби-сеть, построенная из смартфонов на платформе Android. Эксперт пояснил, что операторы RootSmart для монетизации используют традиционную схему — отправку дорогих SMS.
Несмотря на поток вредоносных программ для Android, в зоне высокого риска находятся и телефоны на платформах J2ME (Java micro edition) и Symbian.
По некоторым данным, в Китае многофункциональный троян заразил более миллиона устройств Nokia. В Росси про него пока известно немного.
Помимо выше описанных способов заработка, инфицированные аппараты в ботнетах теоретически могут использоваться для искусственной раскрутки веб-ресурсов, для переходов по рекламным ссылкам и так далее.
В компании Group-IB уточняют, что пока еще DDoS-атаки и рассылка спама через мобильный интернет вряд ли осуществимы, но с ростом числа пользователей мобильного интернета и все возрастающей популярностью безлимитных интернет-тарифов такую возможность исключать нельзя.