Для вас MMS от банковского трояна

В России началась эпидемия заражений Android-трояном, который ворует деньги с карты и рассылается друзьям жертвы через SMS.

С конца августа в России наблюдается масштабная кампания по заражению Android-устройств банковским трояном Asacub, подробный технический разбор которого мы опубликовали на Securelist. Схема, используемая злоумышленниками, проста — она не менялась на протяжении нескольких лет, но остается на редкость эффективной: количество пользователей, к которым на телефон постучался этот троян, достигает 40 тысяч в день:

Схема следующая. Допустим, пользователя зовут Сергей, и в один прекрасный момент Сергей получает SMS со знакомого номера с текстом в духе:

  • Сергей, посмотри фотографию по ссылке: (ссылка)
  • Серега, тебе пришло MMS-сообщение от Васи: (ссылка)
  • Сергей, интересует обмен Авито? (ссылка)
  • Сережа, и тебе не стыдно после этого?! (ссылка)

Откуда троян знает имя этого пользователя? Все просто: сообщения рассылаются с телефона предыдущей жертвы трояна, и в них автоматически подставляются те имена, под которыми номера записаны в телефонной книге на зараженном смартфоне.

Сообщение не всегда приходит со знакомого номера — иногда контакты берутся с сайтов объявлений. Также возможны ситуации, когда у отправителя в телефоне записан номер получателя, а у получателя номера отправителя нет. Но в большинстве случаев достаточно уже того, что в SMS есть обращение по имени.

Если пользователя заинтересует, на какой же такой фотографии он засветился или на что же ему предлагают поменяться на Avito, и он перейдёт по ссылке, то ему откроется страница загрузки трояна с инструкциями по его установке. Эта страница может выглядеть по-разному, вот пара вариантов ее дизайна:

Загружаемое приложение, как правило, пытается изо всех сил делать вид, что оно как-то связано с фотографиями или MMS: сайты, с которых загружается троян, носят названия вроде m.fotoyo,me, m.fotoip,mobi, mmsjs,ru, fotoan,pro, а сам скачиваемый файл называется photo_15747_img.apk, mms_photo_obmen_70404.apk, avito-foto.apk и так далее.

Если пользователь послушается, разрешит установку приложения из неизвестного источника и запустит собственно процесс установки, далее троян запросит права администратора устройства или разрешение использовать службу специальных возможностей.

Когда жертва согласится и на это, зловред назначит сам себя приложением для обработки SMS-сообщений по умолчанию и далее сможет делать то, ради чего его авторы все это и затевали. Вот основные функции трояна Asacub:

  • Отправлять злоумышленникам информацию о зараженном устройстве и список контактов.
  • Звонить на номера, которые пришлет командный сервер.
  • Закрывать приложения с именами, которые пришлет командный сервер (как правило, это антивирусные и банковские приложения).
  • Отправлять SMS-сообщения с указанным текстом на номера из адресной книги устройства с подстановкой в сообщение имени, под которым записан контакт, — эта функция как раз и используется для распространения.
  • Читать входящие SMS и отсылать их содержимое злоумышленникам.
  • Отправлять SMS-сообщения с указанным текстом на указанный номер.

Возможность перехватывать и отправлять SMS-сообщения позволяет авторам трояна переводить деньги с банковской карты жертвы, если эта карта привязана к ее номеру телефона. При этом у самого пользователя не получится даже открыть приложение банка, чтобы проверить баланс или изменить настройки, — троян не позволяет его открывать.

Также мошенники могут разослать сообщения со ссылкой на троян всем контактам жертвы, что они и делают. Именно это обстоятельство объясняет столь значительный рост числа пользователей, столкнувшихся с этой угрозой. Для владельца зараженного телефона это может привести к дополнительному ущербу в виде списания существенной суммы с его мобильного счета за массовую рассылку SMS.

Несмотря на устрашающую функциональность этого трояна, защититься от его действий не так уж сложно. Операционная система Android при попытке установить подозрительное приложение не раз уточнит у пользователя, уверен ли он в своих действиях.

Asacub запрашивает у пользователя очень много опасных разрешений: ему нужны права администратора, возможность стать приложением для SMS по умолчанию и получить доступ к «Специальным возможностям» (Accessibility). Зловред использует приемы социальной инженерии, чтобы заставить пользователя дать нужные разрешения

Проблема в том, что предупреждения Android очень технические и могут содержать элементы социальный инженерии там, где текст сообщений системе передает зловред. Поэтому не всем будет просто определить, что случилось что-то действительно опасное — для этого пользователю надо понимать, что именно происходит с устройством. Как можно видеть по количеству жертв, многих людей эти предупреждения не останавливают.

Чтобы не стать жертвой злоумышленников, мы рекомендуем:

  • Скачивать приложения только из официальных магазинов.
  • Запретить в настройках смартфона установку приложений из сторонних источников.
  • Не переходить по подозрительным ссылкам от неизвестных отправителей.
  • Внимательно проверять, какие права запрашивает приложение при установке и в ходе работы.
  • Установить надежный мобильный антивирус для защиты своего смартфона.

Если троян уже поселился на устройстве, для избавления от него можно запустить устройство в безопасном режиме с предварительно извлеченной SIM-картой, отключить права администратора для всех приложений и удалить зловред — так же, как если бы вы удаляли любую другую программу на Android.

Советы