Недавно владельцы Android-смартфонов в России столкнулись с крайне неприятным сюрпризом: получив — чаще всего от кого-то из знакомых — СМС со ссылкой на интересное приложение, скачав и запустив его, вместо обещанного сервиса знакомств, радар-детектора или мода они обнаруживали на экране очень убедительное предложение заплатить выкуп, чтобы предотвратить рассылку по списку контактов и публикацию в Интернете их персональных данных.
Злоумышленники сообщали, что получили контроль над устройством и перехватили все данные на нем — контакты, СМС, переписки в мессенджерах и социальных сетях, фотографии и иные файлы — и ровно через неделю разошлют их семье, друзьям и просто незнакомым людям, а также сольют в Сеть. Но всего за пять тысяч рублей они удалят украденную информацию и забудут о неудачливом владельце смартфона навсегда.
Сообщение, густо напичканное приемами социальной инженерии, сопровождалось наглядным доказательством — полным списком контактов из записной книжки смартфона жертвы — и заканчивалось ехидным предложением «не утруждать себя удалением переписок и файлов», потому что они уже утекли в Сеть.
Насколько правдивыми были эти утверждения? Увы, наш анализ подтвердил истинность большинства этих заявлений: злоумышленники действительно получали доступ к фотографиям, видео и документам, а также к СМС и контактам жертвы. Единственное, про что они врали, чтобы запугать посильнее, — это про слитые переписки в мессенджерах и соцсетях. Доступа к ним троян получить не смог, но, согласитесь, это довольно слабое утешение для тех, чьи данные были украдены.
А таких, очевидно, немало. Мы обнаружили этот вирус в мае, и меньше чем за две недели Kaspersky для Android, согласно нашей анонимизированной статистике, предотвратил несколько сотен атак этого зловреда, получившего имя Rasket. А сколько владельцев незащищенных смартфонов столкнулись с вымогательством и предпочли тихо заплатить деньги — даже представить страшно.
Но давайте обо всем по порядку.
Никакой полезной нагрузки
Новый троян мимикрирует под приложения для знакомств или чаты для взрослых, программы с функцией радар-детектора, а также под моды (дополнения) и лотерейные приложения. В отличие от многих троянских программ, действительно предоставляющих заявленную функциональность (а в нагрузку ворующих в фоновом режиме данные и аккаунты со смартфона жертвы или тайком подписывающих жертву на платный контент), Rasket не делает ровным счетом ничего полезного — даже фонарика в нем нет.
При первом запуске он запрашивает разрешение на отправку СМС, а затем, получив доступ к содержимому смартфона, собирает все возможные данные и отправляет их в Telegram-чаты злоумышленников с помощью чат-бота, пока ничего не подозревающая жертва ждет загрузки приложения. Затем зловред выводит на экран сообщение с требованием перевести выкуп пять тысяч рублей на указанный номер банковской карты. В примечании к переводу вымогатели требуют указать номер телефона, чтобы идентифицировать отправителя платежа.
Проанализировав приложение, мы обнаружили, что в установочный APK-файл зашит зашифрованный файл конфигурации, расшифровываемый при запуске. В нем указаны токен чат-бота и ID Telegram-чатов, в которые отправляются разные категории украденных данных — история звонков, контакты, сообщения, фотографии, скриншоты и так далее. Для каждого вида данных — свой отдельный чат.
Кроме того, в конфиге хранится еще много любопытного — например, один текст для сообщений, которые троян рассылает в СМС от имени жертвы всем ее контактам, и совсем другой — для СМС, которые будут разосланы по случайным номерам. Так, через спамерские СМС-рассылки зловред распространяет себя дальше.
И тут разработчики трояна опять показывают неплохое знание человеческой психологии: очевидно, что сообщению со ссылкой, пришедшей со знакомого номера, доверяют больше, чем анонимному. Поэтому по записной книжке рассылаются сообщения личного характера — например, «Салам брат, я сегодня нашел девушку в приложении. Зайди там много девушек (ссылка)», а рандомно — более рекламные: «Бесплатная ежедневная лотерея для граждан РФ. Главный приз — 4 000 000 рублей. Проверь свою удачу в приложении! (ссылка)».
Благодаря архитектуре со вшитым конфигурационным файлом Rasket не нуждается в доступе к какому-либо централизованному серверу для загрузки данных — все необходимое уже зашифровано в его APK-файле. Но в этом кроется и его слабость: создатели вируса не могут «на лету» изменить номера банковских карт, на которые нужно переводить выкуп, если их заморозят, или скомпрометированные и заблокированные ссылки на скачивание трояна, которые Rasket рассылает в СМС с телефона жертвы. Поэтому разработчики зловреда создали много версий, отличающихся иконками приложения и конфигурационными файлами с номерами карт, текстами рассылок и ссылками на скачивание вируса.
Впрочем, об архитектуре этого трояна стоит поговорить подробнее: изучая его, мы нашли несколько интересных особенностей.
Rasket: три в одном
Во-первых, разработчики вредоноса позаботились о том, чтобы гарантированно получить незаконный доход: помимо вымогательства и спам-рассылок, троян также может совершать банковские переводы с аккаунта жертвы, отправляя и перехватывая банковские СМС, — а разрешение на это, как вы помните, жертва дает при установке приложения. В некоторых конфигурациях вирус, используя все те же методы социальной инженерии, может запрашивать номер банковской карты жертвы — например, якобы для возврата ошибочного списания. А имея возможность совершать переводы с банковского аккаунта жертвы, полученный номер карты злоумышленники могут использовать в других версиях вредоноса для вывода средств. Подобный функционал позволяет отнести Rasket к вымогателям, СМС-троянам и банковским вредоносам одновременно.
Во-вторых, злоумышленники используют сразу несколько тактик: некоторые версии этого трояна рассылали в СМС не линк на скачивание вируса, а ссылки на фишинговые сайты или сообщения с просьбой перевести деньги — например, якобы на лечение больной дочери.
В-третьих, этот троян сделан с помощью легитимного инструмента — плагина для популярного приложения, позволяющего создавать другие программы.
Что делать и как защититься
Авторы зловреда обещают, что после получения выкупа «все данные будут удалены, и мы забудем друг о друге». Но мы не советуем верить и платить атакующим: нет никакой гарантии, что данные не обнародуют, а человека не «вспомнят» и не атакуют в будущем снова.
К сожалению, если владелец смартфона установил и запустил этот вирус и получил показанное на первом скриншоте сообщение, его данные уже скомпрометированы: в отличие от многих поделок, просто пугающих жертву якобы произошедшей утечкой данных, разработчики этого трояна подошли к делу серьезно: данные и впрямь утекают.
Что же тогда предпринять? Первым делом удалить вредонос с устройства: вручную или с помощью нашего защитного решения — с этим справится и бесплатная версия.
После этого — проанализировать, какие данные могли попасть в руки злоумышленников, и действовать сообразно обстоятельствам:
- Если в телефоне хранились фото или реквизиты банковских карт, карты нужно немедленно заблокировать и перевыпустить.
- Постараться сменить как можно больше паролей, сохраненных на устройстве в том или ином виде (особенно если они хранились в простом текстовом формате — да, все знают, что этого делать нельзя, но кто не без греха?).
Но, разумеется, лучше подстелить соломку заранее и предотвратить саму возможность потенциального заражения. Для этого:
- Не переходите по подозрительным ссылкам из сообщений, полученных даже от родных и друзей, и уж тем более — пришедших в СМС! Позвоните или напишите им и поинтересуйтесь, действительно ли они решили внезапно поделиться с вами ссылкой на лотерею или чат знакомств — этим вы можете помочь им определить заражение.
- Не разрешайте установку неизвестных приложений.
- Проверьте разрешения для приложений, которые вы используете, и хорошо подумайте, прежде чем предоставлять новым приложениям разрешения, которые не нужны для выполнения их основных функций.
- Используйте надежное защитное решение, которое поможет обнаружить вредоносов до того, как они начнут хозяйничать на вашем устройстве. Включите в нем автоматическое сканирование системы или вручную просканируйте скачанные файлы перед тем, как запускать их.
- Не забывайте обновлять операционную систему вашего смартфона сразу, как только появляются свежие апдейты.
- Изучите новые функции, которые предлагает Kaspersky для Android, и выберите для себя и членов семьи оптимальную защиту — бесплатно или по подписке.