Привет, я – MMS-троян!

В последнее время наблюдается большое количество заражений Android-устройств банковским трояном Asacub. Схема мошенничества не менялась уже очень давно, но продолжает оставаться одной из самых эффективных: количество пользователей, к которым на смартфон прокралось это зловредное приложение, достигает 40 тысяч в день.

Схема следующая. Допустим, пользователя зовут Сергей, и в один прекрасный момент Сергей получает SMS со знакомого номера с текстом в духе:

– Сергей, посмотри фотографию по ссылке (ссылка).
– Сергей, интересует обмен на Авито? (ссылка).
– Сережа, и тебе не стыдно после этого?! (ссылка).

Откуда троян знает имя этого пользователя? Все просто: сообщения рассылаются с телефона предыдущей жертвы программы, и в них автоматически подставляются те имена, под которыми номера записаны в телефонной книге на заражённом смартфоне. Сообщение не всегда приходит со знакомого номера – иногда контакты берутся с сайтов объявлений. Но в большинстве случаев достаточно уже того, что в SMS есть обращение по имени.

Если пользователя заинтересует, на какой же такой фотографии он засветился или на что же ему предлагают поменяться на Avito, и он перейдёт по ссылке, то ему откроется страница загрузки трояна с инструкциями по его установке.

Загружаемое приложение, как правило, пытается изо всех сил делать вид, что оно как-то связано с фотографиями или MMS. Если пользователь послушается, разрешит установку приложения из неизвестного источника и запустит собственно процесс установки, далее вредоносная программа запросит права администратора устройства или разрешение использовать службу специальных возможностей. Когда жертва согласится и на это, зловред назначит сам себя приложением для обработки SMS-сообщений по умолчанию и далее сможет делать то, ради чего его авторы всё это и затевали:

• отправлять злоумышленникам информацию о заражённом устройстве и список контактов;
• звонить на номера, которые пришлёт командный сервер;
• закрывать приложения с именами, которые пришлёт командный сервер (как правило, это антивирусные и банковские приложения);
• отправлять SMS-сообщения с указанным текстом на номера из адресной книги – эта функция как раз и используется для распространения;
• читать входящие SMS и отсылать их содержимое злоумышленникам.

Возможность перехватывать и отправлять SMS-сообщения позволяет авторам вируса переводить деньги с банковской карты жертвы, если эта карта привязана к её номеру телефона. При этом программа категорично не позволит самому пользователю открыть приложение банка, чтобы проверить баланс.

Несмотря на устрашающую функциональность этого трояна, защититься от его действий не так уж сложно. Операционная система Android при попытке установить подозрительное приложение не раз уточнит у пользователя, уверен ли он в своих действиях.

Чтобы не стать жертвой вредоносной программы, следует:

• скачивать приложения только из официальных магазинов;
• запретить смартфону установку приложений из сторонних источников;
• не переходить по подозрительным ссылкам;
• внимательно проверять, какие права запрашивает приложение при установке и в ходе работы;
• установить надёжный мобильный антивирус.

Если троян уже поселился на устройстве, для избавления от него можно запустить устройство в безопасном режиме с предварительно извлечённой SIM-картой, отключить права администратора для всех приложений и удалить зловред – так же, как если бы вы удаляли любую другую программу на Android.