Смартфоны украинцев заражает вирус, который обнуляет баланс и блокирует входящие вызовы
За последние несколько дней смартфоны многих абонентов мобильной связи Украины оказались заражены вирусом, который обнуляет баланс мобильного телефона, блокирует входящие вызовы и рассылает ссылки на вредоносную программу по всем контактам пользователя. Абонент получает SMS сообщение вида «Привет 🙂 Тебе фото https://www.soloboro.ru/gayn/????????????» где вместо знаков вопросов указан телефон пользователя, которому адресовано сообщение. Если нажать на ссылку, то на телефон загружается вирус и запускается установка троянского приложения. Эксперты из лаборатории Zillya! исследовали вирус и рассказали AIN.UA, как можно удалить вредоносную программу.
После установки, троян получает доступ к адресной книге устройства и начинает рассылку вирусных SMS всем адресатам, кроме тех, чьи номера начинаются на 1 (международный телефонный код США +1). Данная процедура повторяется троянской программой регулярно, поэтому пользователи получают по несколько вирусных SMS с одного и того же зараженного телефона. Рассылка SMS прекращается только когда на счету абонента заканчиваются деньги. Вирус опасен только для смартфонов на базе Android, на других мобильных ОС он не работает.
Затем троян передает базовую информацию об устройстве пользователя на свой сервер: номер телефона, IMEI, IMSI, страну, версию операционной системы, модель аппарата, состояние мобильного счета и прочие данные. При этом троян способен анализировать сообщения от оператора о пополнении счет на конкретную сумму, где анализируются русскоязычные сообщения, содержащие слова «баланс» и «пополнено», как русскими, так и латинскими символами.
Одной из функций программы является перехват входящих звонков и входящих SMS. Входящие звонки абоненту автоматически сбрасываются, лишая возможности других пользователей дозвониться к зараженному абоненту и предупредить его о рассылающихся с его телефона сообщениях.
Троян также умеет загружать из интернета другие компоненты и «самообновляться». Загружаемая программа сохраняется с именем /mnt/sdcard/download/update.apk и запускается на установку автоматически. При этом, приложение может установиться на устройство только в том случае, если в его настройках безопасности включен параметр «Разрешить установку приложений из неизвестных источников». По умолчанию этот параметр выключен на всех устройствах, и включают его, как правило, для того что бы установить приложения из каких либо источников помимо “GooglePlay Market” (например с SD карты или другого сайта). Таким образом, основной метод защиты – это выключение параметра «Разрешить установку приложений из неизвестных источников» в настройках смартфона.
Если ваш телефон оказался заражен вирусом, то для его удаления необходимо сначала остановить работу приложения «Google Play» (воспользоваться «Диспетчером задач» или «Диспетчером приложений») и затем выполнить его удаление обычным способом. Инструкция по удалению на официальном сайте Google. Также необходимо удалить инсталляционный файл вируса, который загружается на телефон под именем FOTO_ALBOM.apk.
Недавно специалисты Kaspersky Lab обнаружили вирус под Android и Windows, который блокировал устройства любителей бесплатного порно. Жертвы вируса переходили по ссылкам, обещавшим бесплатное порно, однако в большинстве случаев подвергались риску заражения программой-блокером. На экране заблокированного устройства отображалось якобы официальное требование полиции заплатить «штраф» от 100 до 300 долларов за просмотр порнографических материалов.
Комментарии | 19
Почему нигде не написано, что смартфоны Android уязвимы?
если юзер идиот, то это навсегда. плюс, по умолчанию блокируется утановка приложений из сторонних источников. так что статья ниочём.
Статья была бы ни о чём, если бы в Украине не было массовой эпидемии на этого трояна. Да, настройка безопасности очевидна, но как оказалось у нас многие готовы ставить приложения из неизвестных источников.
Свiдомiй и не идиот?!!!
Чё пердануть-то хотел? 11.80 заработать?
А шо? У вас в Канаде за это платят?!
я на марсе
Автозагрузка и автоустановка происходит?
В любом случае требуется подтверждение пользователя. Беда в том, что пользователи подтверждают не читая и не вникая 🙁
Урок жизни будет
Эксперты из лаборатории Zillya! — дальше уже не читал 🙂
А дальше и не надо.
тем более , что сами они сидят ещё без детектирования данной заразы:
https://www.virustotal.com/ru/file/56288697de96f08a697e6824a09a204ef78174fb50875db2ee1ee702a1dc18e2/analysis/
У нас нет продуктов под android. Поэтому мы, как и AVG, McAfee и многие другие антивирусы не реагируем на вирус для смартфонов. Тем не менее, этот факт не мешает нашим специалистам заниматься данными проблемами.
На самом деле у тех вендоров есть продукты для Android, а один из них детектирует вопреки вашим словам.
Итого: вам нечего предложить украинцам для защиты их устройств!
А «эксперты» пускай лучше изучают, чем вирус отличается от троянца.
«Итого: вам нечего предложить украинцам для защиты их устройств!» — браво, Шерлок! Как вам удалось? Неужели вы раскрыли эту чудовищную тайну только по этой недвусмысленной фразе «У нас нет продуктов под android»?
движки на вирустотале есть разные, и не все вендоры предоставляют движки для мобильных устройств.
Заголовок должен быть «Очередной троян для ведра»…
А в России пока тихо…
Видимо провайдеры России подключены к серверам СГА через шлюз с антивирусником, а укрофиопские подключены напрямую..
про андроид надо бы в заголовок вынести. чтобы юзеры айфонов не теряли время))