«Мегафон» начал сообщать своим абонентам о заражении смартфонов троянами

Телеком Безопасность Мобильная связь Стратегия безопасности
мобильная версия
, Текст: Игорь Королев
«Мегафон» научился обнаруживать абонентов, чьи Android-смартфоны заражены троянами: таким пользователям высылаются предупреждающие SMS. Кроме того оператор начал ставить заглушки при попытке обращения с пользовательских устройств к центрам управления бот-сетями.

«Мегафон» внедрил решения для отслеживания заражений его абонентов вредоносным ПО, рассказал CNews директор по предотвращению мошенничества оператора Сергей Хренов. В последнее время троянские программы для ОС Android стали большой проблемой: попадая на смартфон абонента, они пытаются украсть деньги с его счета у сотового оператора или с привязанной банковской карты. По данным источника на телекоммуникационном рынке, около 20% российских пользователей Android-смартфонов могут быть заражены.

Обнаружить факт заражения таким трояном можно различными путями, говорит Хренов. Так, у абонента возникает аномальный SMS-трафик к коротким номерам, связанным с сервисами мобильной коммерции, платежной системы Qiwi или крупнейшими банками. Путем SMS-запросов троян определяет баланс абонента, факт привязки банковских карт и кошельков Qiwi, а затем переводит денежные средства на подконтрольные мошенникам сотовые номера с целью их дальнейшего вывода.

У CNews есть восстановленный код одного из троянов: он перехватывает SMS-сообщения от «Мегафона», МТС (включая сервисы MTS Pay, AutoPay MTS и лотерею «Стань миллионером»), Qiwi (включая Qiwi Wallet), номеров «900» и «2268» (закреплены за «Сбербанком» и «Альфа-банком» соответственно) и номера "balance”. Также перехватываются сообщения со словами “Visa”, “code”, “kod” и “virus”.

Ранее CNews описывал работу Android-трояна, ворующего средства с карт «Сбербанка».

Другой признак присутствия в системе такого трояна - это обращения смартфона к центрам управления бот-сетями (C&C). «Мегафон» вместе с антивирусными компаниями выявляет такие центры (в 2014 г. было обнаружено около 1 тыс. их адресов), а частые обращения к ним со стороны абонентов могут свидетельствовать о факте заражения.

Выявив заражение, «Мегафон» присылает абоненту SMS-сообщение с предупреждением и предложением установить бесплатный антивирус. Таким образом, в 2014 г. было выявлено 850 тыс. зараженных абонентов, а с начала 2015 г. – еще 150 тыс.


Восстановленный код трояна - перехватчика SMS с комментариями

Другой способ борьбы с вредоносным ПО состоит в частичной блокировке доступа к центрам управления бот-сетями и сайтам, зараженными вирусами. Когда с телефона абонента осуществляется обращение к таким ресурсам, в браузере возникает страница-«заглушка», предупреждающая абонентам об опасности захода на такой сайт. Полностью заблокировать доступ к таким ресурсам «Мегафон» не может, так как это будет нарушением законодательства, отмечает Хренов.

Наконец, после вступления в силу осенью 2014 г. закона о запрете SMS-спама, «Мегафон» получил возможность блокировать SMS-рассылки со ссылками на вредоносное ПО. Обычно в таких сообщениях абонента просят загрузить некое фото под каким-нибудь интригующим предлогом. Примеры сообщений: «Ты такое уе на фото ВК http://vk.cc/3ESCdQ ! удаляй срочно))» или «Это ты с Аней на фото? Неожиданно. http://fotoym.com/avt». Используемая «Мегафоном» система «Антиспам» заблокировала более 1 млн таких сообщений.

В МТС и «Вымпелкоме» сообщили CNews, что также используют системы, обнаруживающие заражение их абонентов вредоносным ПО. Для этого анализируется интернет-трафик, отправленные SMS-сообщения и другие параметры. В МТС также отметили, что считают неэффективным информирование абонента о факте заражения через SMS: на такие сообщения реагирует лишь 1% пользователей. К тому же трояны могут перехватывать такие сообщения по ключевым словам.

Сейчас МТС предупреждает о факте заражения при выходе его в интернет путем перенаправления на специальную страницу. Тестирование такого сервиса в рамках пилотной зоны показало, что 32% проинформированных абонентов переходят на ссылку с установкой антивируса, при этом 40% из них подтвердили факт заражения вирусом.