Масштабная кампания по заражению смартфонов банковским трояном добралась и до Новгорода. Как предотвратить беду?
На днях я получила странное SMS. В нём некий Ростислав обращался ко мне по имени, правда, называл меня не Ольгой, а по фамилии с инициалами, и предлагал перейти на некое фото по ссылке. Естественно, я этого делать не стала, а сегодня оказалось, что десятки тысяч россиян ежедневно ведутся на подобные сообщения и попадают в беду.
О том, что же происходит, рассказали в Лаборатории Касперского.
Масштабная компания по заражению Android-устройств банковским трояном Asacub наблюдается в России с августа.
Схема, которую используют злоумышленники, проста и на редкость эффективна. Количество пользователей, к которым на телефон постучался этот троян, достигает 40 тысяч в день!
Схема следующая. Допустим, пользователя зовут Сергей, и в один прекрасный момент Сергей получает SMS со знакомого номера с текстом в духе:
Сергей, посмотри фотографию по ссылке: (ссылка)
Серега, тебе пришло MMS-сообщение от Васи: (ссылка)
Сергей, интересует обмен Авито? (ссылка)
Сережа, и тебе не стыдно после этого?! (ссылка)
«Откуда троян знает имя этого пользователя? Все просто: сообщения рассылаются с телефона предыдущей жертвы трояна, и в них автоматически подставляются те имена, под которыми номера записаны в телефонной книге на зараженном смартфоне», — поясняют эксперты. Ещё вариант: контакты берутся с сайтов объявлений.
Если человек перейдет по ссылке, ему откроется страница загрузки трояна с инструкциями по его установке. Эта страница может выглядеть по-разному, вот пара вариантов ее дизайна:
Загружаемое приложение, как правило, пытается изо всех сил делать вид, что оно как-то связано с фотографиями или MMS: сайты, с которых загружается троян, носят названия вроде m.fotoyo,me, m.fotoip,mobi, mmsjs,ru, fotoan,pro, а сам скачиваемый файл называется photo_15747_img.apk, mms_photo_obmen_70404.apk, avito-foto.apk и так далее.
Если пользователь послушается, разрешит установку приложения из неизвестного источника и запустит собственно процесс установки, далее троян запросит права администратора устройства или разрешение использовать службу специальных возможностей.
Когда жертва согласится и на это, зловред назначит сам себя приложением для обработки SMS-сообщений по умолчанию и далее сможет делать то, ради чего его авторы все это и затевали.
Вот основные функции трояна Asacub:
Отправлять злоумышленникам информацию о зараженном устройстве и список контактов.
Звонить на номера, которые пришлет командный сервер.
Закрывать приложения с именами, которые пришлет командный сервер (как правило, это антивирусные и банковские приложения).
Отправлять SMS-сообщения с указанным текстом на номера из адресной книги устройства с подстановкой в сообщение имени, под которым записан контакт, — эта функция как раз и используется для распространения.
Читать входящие SMS и отсылать их содержимое злоумышленникам.
Отправлять SMS-сообщения с указанным текстом на указанный номер.
Возможность перехватывать и отправлять SMS-сообщения позволяет авторам трояна переводить деньги с банковской карты жертвы, если эта карта привязана к ее номеру телефона. При этом у самого пользователя не получится даже открыть приложение банка, чтобы проверить баланс или изменить настройки, — троян не позволяет его открывать.
Также мошенники могут разослать сообщения со ссылкой на троян всем контактам жертвы, что они и делают. Именно это обстоятельство объясняет столь значительный рост числа пользователей, столкнувшихся с этой угрозой. Для владельца зараженного телефона это может привести к дополнительному ущербу в виде списания существенной суммы с его мобильного счета за массовую рассылку SMS.
Несмотря на устрашающую функциональность этого трояна, защититься от его действий не так уж сложно. Операционная система Android при попытке установить подозрительное приложение не раз уточнит у пользователя, уверен ли он в своих действиях.
Чтобы не стать жертвой злоумышленников, Лаборатория Касперского рекомендует:
Скачивать приложения только из официальных магазинов.
Запретить в настройках смартфона установку приложений из сторонних источников.
Не переходить по подозрительным ссылкам от неизвестных отправителей.
Внимательно проверять, какие права запрашивает приложение при установке и в ходе работы.
Установить надежный мобильный антивирус для защиты смартфона.
Что делать, если троян уже поселился на устройстве?
Для избавления от него можно запустить устройство в безопасном режиме с предварительно извлеченной SIM-картой, отключить права администратора для всех приложений и удалить зловред — так же, как если бы вы удаляли любую другую программу на Android.
Иллюстрации: Лаборатория Касперского
