Вредоносные приложения
Основные вредоносные объекты мы уже рассматривали в главе, посвященной компьютерам. В этом разделе остановимся на зловредах, характерных для мобильных устройств:
■ Банковские трояны. Они особенно популярны среди злоумышленников и воруют данные банковских карт и приложений. Такие зловреды могут перехватывать SMS-сообщения с одноразовыми кодами или перекрывать интерфейс банковского приложения собственным фишинговым интерфейсом.
■ Блокировщики и шифровальщики. Эти зловреды, относящиеся к вымогательскому ПО, либо шифруют файлы, либо блокируют доступ к устройству, требуя за расшифровку или разблокировку некоторую сумму денег.
■ Вайперы. Они попросту стирают все файлы с устройства. Так как с финансовой стороны мошенникам, пытающимся заработать на пользователе, вайперы невыгодны, их используют в основном в целевых атаках в ходе корпоративной и политической борьбы.
Что делать, если смартфон заражен вирусом
Дальнейшие действия зависят от наличия резервной копии данных. Все действия, кроме установки антивирусного ПО, следует производить, отключив интернет и сотовую связь, чтобы вирус не мог списать деньги со счета.
Примечание. Если в устройстве используется съемная карта памяти, ее следует вытащить для сохранения/восстановления информации. Карту памяти можно подключить к компьютеру и провести антивирусное сканирование. Кроме того, некоторые устройства при полном сбросе к заводским настройкам удаляют данные не только из встроенной памяти, но и с подключенных SD-карт.
■ Если резервная копия данных есть и интерфейс операционной системы не заблокирован, можно попробовать удалить вирус, установив антивирусное ПО.
■ Если резервная копия есть, а интерфейс ОС заблокирован, можно попытаться найти информацию о вымогателе в интернете. Многие антивирусные компании публикуют на своих сайтах инструкции, где описаны действия, которые необходимо предпринять в случае заражения. Если нельзя удалить вирус без потери информации, следует сбросить все настройки телефона (соответствующий пункт меню может называться «Общий сброс», «Стереть все данные» и т. д.), а затем восстановить информацию из резервной копии (потребуется знание логина/пароля учетной записи Google/Apple и/или код блокировки экрана).
■ Если резервной копии нет и интерфейс ОС не заблокирован, первым делом следует сделать резервную копию (и после сброса настроек попытаться извлечь полезные данные из нее), а затем попробовать удалить вирус, установив антивирусное ПО. Кроме того, надо удалить незнакомые и подозрительные приложения, а также программы и обновления, установленные незадолго до появления признаков заражения (если есть возможность отката системы).
■ Если резервной копии нет и интерфейс заблокирован, нужно подключить устройство к компьютеру и попробовать сделать резервную копию.
Затем можно просканировать подключенное устройство антивирусной программой. Часто настольные версии антивирусов имеют в базе данных сигнатуры мобильных вирусов и способны справиться с заражением. Кроме того, может помочь поиск инструкций по борьбе против заражения конкретным вирусом.
Если это не помогает, можно попробовать перезагрузить смартфон: есть вероятность, что вымогатель-блокировщик не загрузится.
Также может помочь безопасный режим. В этом режиме на смартфоне загружаются только системные приложения. Способ загрузки в безопасном режиме различен для устройств разных производителей, например на смартфонах Samsung после перезагрузки при появлении надписи «Samsung» нужно нажать и удерживать кнопку «Громкость вниз», пока устройство не включится полностью
[990]. Для устройств других производителей см. инструкции в прилагаемых руководствах и на официальных сайтах. В этом режиме можно удалить потенциально вредоносные приложения.
Если на устройстве активирован root-доступ или джейлбрейк, можно попробовать перепрошить девайс. Это под силу только опытным пользователям, так как в случае неправильных действий существует риск не только потерять данные, но и превратить само устройство в «кирпич».
Если ничего не помогло, следует сбросить настройки до заводских. Данные будут утеряны, но само устройство можно будет использовать дальше (потребуется знание логина/пароля учетной записи Google/Apple)
[991].
■ Инструменты удаленного администрирования (RAT-трояны). Они позволяют перехватить управление мобильным устройством. Хакер может не только видеть изображение на экране, но и полноценно управлять устройством: перехватывать любые данные, устанавливать вредоносное ПО, подключаться к камере/микрофону для слежки за владельцем или копировать снимки для дальнейшего шантажа.
■ Майнеры. Эти программы генерируют криптовалюту в пользу хакеров, из-за чего устройство греется, медленнее работает и быстро разряжается. Майнеры, как и другие зловреды, могут маскироваться под «добропорядочные» приложения или даже обновления операционной системы
[992].
КЕЙС В 2017 г. специалисты компании-разработчика антивирусных решений Dr.Web обнаружили, что свыше 40 моделей смартфонов под управлением операционной системы Android, Leagoo M8, Doogee X5 Max, Vertex Impress InTouch 4G, Cherry Mobile Flare S5, Prestigio Grace M5 LTE и др. заражены трояном на уровне исходного кода, т. е. на этапе производства. Данная инъекция позволяет красть персональные данные владельцев и выполнять разные другие вредоносные действия. Проблема характерна для бюджетных китайских смартфонов малоизвестных разработчиков
[993]. Устройства крупных производителей, таких как ZTE, Archos, Prestigio, myPhone, OnePlus и BLU, также могут содержать вредоносный код в системных областях. Владельцы инфицированных моделей могут столкнуться как с выводом несанкционированной рекламы поверх интерфейса приложений, так и с кражей персональных данных
[994].
■ Модульные трояны. Они умеют совершать различные вредоносные действия в зависимости от ситуации, например отображать рекламу, подписывать жертву на платный контент, совершать DDoS-атаки на другие устройства или на веб-ресурсы, скрывать или пересылать злоумышленникам SMS-сообщения, майнить криптовалюту и т. п.
■ Подписчики. Эти программы занимаются кражей финансовых средств, подписывая пользователя на платные WAP– и SMS-рассылки или совершая вызовы на платные номера.