Dr.Web: «В день появляется несколько тысяч вирусов»

Появился новый Android-вирус, который, работая незаметно, отправляет на сервер записи телефонных разговоров жертв и рассылает нежелательные SMS. Мы поговорили с компанией Dr.Web о том, кто и зачем создает вирусы и как защититься от киберпреступников.

Совершенствование мобильных технологий порождает изощренные вредоносные программы. Одним из последних приложений, угрожающих мобильным устройствам, стал Android.Titan.1 – троянский вирус, поражающий устройства с операционной системой Android, и который из-за технических особенностей крайне сложно обнаружить.

Программа распространяется посредством SMS, в которых содержится информация о задержке некой посылки, а также ссылка на веб-страницу, якобы предоставляющую об этом подробные сведения. Переход по нежелательной ссылке приводит на страницу с данными вируса – apk-файлом вредоносного приложения, который загружается автоматически. Однако, для функционирования вируса, пользователь должен его установить и запустить (при инсталляции ярлык размещается на рабочем столе).

Android.Titan.1 функционирует при помощи нескольких вредоносных сервисов, один из которых загружает на управляющий сервер все сведения о телефоне-жертве и его контактах. В процессе вирус может получать от злоумышленника различные команды: подменить номера в книге контактов, отрегулировать параметры звука устройства, разослать заданные SMS-сообщения и заблокировать те, которые приходят на устройство, отклонить, удалить и даже совершить телефонный звонок. Одна из наиболее опасных особенностей вирусного приложения – скрытая запись телефонных разговоров в amr-файлы, который потом также отправляется на сервер.

Сейчас вирус обезврежен компанией Dr.Web: веб-страница с доступом к нему удалена. Однако можно ждать появления новой, более совершенной версии вредоносного приложения: аналитики «Доктор Веб» нашли Android.Titan.1 недоработанным, так как в работе вируса есть ошибки, а часть его функционала вообще не задействована.

Ситуацию с развитием мобильных вирусов порталу Digital Report прокомментировали представители компании Dr.Web.

DR: Как новый андроид-троянец заставляет пользователя установить неизвестный файл?

Dr.Web: Существуют различные уловки, основанные на использовании методов социальной инженерии, например, запугивание, обман, игра на важных для пользователя темах. В данном случае злоумышленники делают ставку на то, что определенный процент потенциальных жертв действительно ожидает посылку (атака направлена на южнокорейских пользователей), а сообщение о возникших проблемах с ее доставкой заставляет их нервничать и пытаться узнать, в чем же дело. В подобных случаях пользователи зачастую не обращают внимания на странности или нестыковки, и вполне способны без малейших опасений поставить скачанную программу, приняв ее, например, за официальное приложение почтового сервиса.

DR: Цель злоумышленников заработать связана с деятельностью вируса: рассылкой SMS и звонками?

Dr.Web: Когда отправляется SMS или совершается звонок на платный сервис, в большинстве случаев пользователь каким-либо образом уведомляется об этом самим сервисом, например, у него запрашивается подтверждение на использование подобной услуги. В данном случае троянец может подавить этот защитный механизм, перехватив SMS с кодом подтверждения или блокировав звонок платного сервиса, в результате жертва будет определенное время оставаться в неведении совершаемого действия, что, в свою очередь, даст злоумышленникам больше времени для получения нелегального заработка.

DR: Вы считаете, что вирус имеет программные изъяны и может быть усовершенствован создателями?

Dr.Web: Можем отметить, например, то, что протокол обмена данными с сервером недоработан, в результате чего возможны аварийные завершения троянца. Отчасти эта ошибка возникла из-за того, что весь вредоносный функционал троянца реализован в нативном коде: вирусописатели здесь несколько «перемудрили», не до конца разобравшись в вопросе.

DR: Можно ли вычислить по вирусу, кто его создал?

Dr.Web: Иногда можно, но это очень редкие и единичные случаи. Например, если при изложении троянца в исполняемом файле сохранилась отладочная информация, скажем, путь к исходникам, содержащий имя пользователя, что-то вроде: C:\Users\Ivan Ivanov\Project\…  (Таким образом в 2013 Dr.Web обнаружили вредоносное ПО для добычи электронной криптовалюты Bitcoin, созданное широко известной вредоносной партнерской программой installmonster.ru – прим.ред.)

DR: Рост интернет-грамотности пользователей не снижает количество людей, реагирующих на подобный спам?

Dr.Web: Подобной статистики в «Доктор Веб», к сожалению, нет. Однако нам известны отдельные случаи, когда тысячи или даже десятки тысяч пользователей откликаются на уловки злоумышленников. Это показывает, что, несмотря на рост грамотности пользователей, о полном иммунитете владельцев мобильных устройств к подобным атакам говорить еще рано. Кроме того, новые сценарии атак изобретаются практически ежедневно.

DR: Как часто создаются новые вирусы?

Dr.Web: Еженедельно в базы добавляются несколько десятков тысяч записей образцов вредоносного ПО для различных операционных систем (несколько тысяч в день), правда, не все из этих угроз являются новыми: значительная часть – это варианты хорошо известного старого, в основном, переупакованные.

DR: Какая мобильная платформа наиболее подвержена атакам?

Google Android — безусловный рекордсмен с огромным отрывом от конкурентов.

DR: Кроме установки антивирусных программ, есть ли еще какие-то пути, чтобы избежать заражения своего устройства?

«Доктор Веб»:

• Не рутовать устройство; (root или суперпользователь — спецаккаунт в UNIX-подобных системах, владелец которого имеет право на выполнение всех без исключения операций – прим.ред.);
• Не загружать и не устанавливать ПО из сомнительных источников;
• Не переходить по ссылкам, полученным по электронной почте и в SMS-сообщениях от неизвестных отправителей;
• Не устанавливать “кастомные” (неофициальные, «самодельные» — прим. Ред) прошивки, созданные неизвестными/частными/сомнительными производителями;
• По возможности вовремя устанавливать обновления ОС и используемого ПО.