Россияне приобрели в онлайн-магазинах зараженные смартфоны

Эксперты АО "Лаборатория Касперского" обнаружили модифицированную версию троянца Triada. Зловредом оказались заражены новые Android-устройства - подделки под разные популярные модели смартфонов, которые поступили в продажу в онлайн-магазины по сниженным ценам. С новой версией Triada столкнулись больше 2,6 тыс. пользователей в разных странах, большинство - в России.

Новая версия вируса распространяется в прошивках зараженных Android-устройств. Она находится в системном фреймворке. Это означает, что копия Triada попадает в каждый процесс на смартфоне. Зловред обладает широкой функциональностью и дает злоумышленникам почти неограниченные возможности по контролю над гаджетом. Например, он может совершать следующие действия:

• красть аккаунты пользователей в мессенджерах и социальных сетях;
• скрытно отправлять сообщения якобы от лица жертвы в мессенджерах, а также удалять их для затирания следов;
• красть криптовалюту, подменяя адреса криптокошельков в нужных приложениях;
• следить за активностью жертвы в браузерах и подменять ссылки;
• подменять номера во время звонков, чтобы перенаправлять абонента на нужный злоумышленникам контакт;
• контролировать SMS: перехватывать, отправлять и удалять сообщения;
• разрешать отправку премиум-SMS для получения платных услуг;
• скачивать и запускать другие программы на зараженном смартфоне;
• блокировать сетевые соединения, чтобы мешать работе антифрод-систем.

"Троянец Triada известен давно, он до сих пор остается одной из наиболее сложных и опасных угроз для Android. Его новая версия проникает в прошивки смартфонов еще до того, как гаджеты попадают в руки пользователей. Вероятно, на одном из этапов цепочка поставок оказывается скомпрометированной, поэтому в магазинах могут даже не подозревать, что продают смартфоны с Triada. При этом авторы новой версии Triada активно монетизируют усилия. Судя по анализу транзакций, они смогли перевести около $270 тыс. в разной криптовалюте на криптокошельки. Однако в реальности эта сумма может быть больше, злоумышленники также были нацелены на Monero - криптовалюту, которую невозможно отследить", - рассказал эксперт по кибербезопасности "Лаборатории Касперского" Дмитрий Калинин.

В случае, если пользователь приобрел зараженное устройство, важно понимать, что гарантировать полное удаление вредоносной программы, особенно встроенной на системном уровне, довольно сложно. Все зависит от того, как именно вирус оказался в прошивке и какие механизмы используют злоумышленники. Минимально необходимый шаг - установить антивирусную защиту от проверенного вендора. Это поможет выявить и заблокировать активные вредоносные процессы. Нужно оптимально выполнить рутинг устройства, полностью перепрошить его с установкой "чистой" официальной версии прошивки от производителя и только после этого снова установить антивирус. Однако даже при этих действиях гарантий защиты нет, особенно если вирус прописан глубоко в прошивке или загрузчике. Поэтому лучшее решение - профилактика, то есть покупка устройств только у официальных и проверенных продавцов", - отметила руководитель дивизиона корпоративных средств защиты информации ГК Softline Алина Нагибова.

Также Алина Нагибова рассказала, что вариации вируса под iOS не зафиксированы: "На текущий момент вредонос Triada известен только для Android-устройств. Однако это не значит, что подобные угрозы невозможны в будущем для iOS. Теоретически создание аналогичного вредоносного ПО под iOS - вопрос времени и усилий злоумышленников. Важно помнить, что устройства с джейлбрейком (взломом) особенно уязвимы, если пользователь вручную устанавливает приложения из непроверенных источников. В этом случае защита системы существенно ослабевает".