КЕЙС В 2019 г. сотрудники израильской компании Check Point обнаружили
[300] в Android-смартфонах уязвимость, позволившую злоумышленникам перенаправлять трафик с мобильных устройств на собственные серверы. Преступники, представлявшиеся операторами сотовой связи, отсылали потенциальным жертвам сообщения с настройками для устройства, которые меняли пути передачи трафика, используя уязвимость в стандарте Open Mobile Alliance Client Provisioning (OMA CP). Суть уязвимости в том, что подлинность сообщений не проверяется. После применения пользователем фишинговых параметров весь трафик с его устройства начинал передаваться через прокси-сервер злоумышленников. Проблема была замечена на устройствах компаний Samsung, Huawei, LG и Sony, которые (кроме Sony) впоследствии выпустили патчи безопасности, тем не менее угроза актуальна для моделей, срок поддержки которых истек
[301].
Нередки случаи, когда, чтобы усыпить бдительность получателя, в SMS-сообщение со ссылкой на вредоносное приложение вставляют имя владельца устройства, например: «Антон, посмотрите фотографии по (ссылка)», «Антон, получено MMS (ссылка) от Владимира», «Антон, обмен с моей доплатой рассмотрите? (ссылка)», «Антон, и тебе не стыдно после этого?! (ссылка)». Дело в том, что сообщения рассылаются трояном с телефона предыдущей жертвы, и в них автоматически вставляются имена из телефонной книги на зараженном устройстве. В других случаях связки «имя плюс номер телефона» берутся с сайтов электронных объявлений, знакомств и из прочих баз данных
[302].
Примером мобильного вредоносного программного обеспечения, который предлагается скачать в SMS-сообщениях, может служить банковский троян Rotexy. Эта программа, скачиваемая на устройство в виде файла с именем AvitoPay.apk или похожим на него, в процессе установки запрашивает права администратора, пока пользователь не согласится их дать; если тот соглашается, то сообщает, что приложение загрузить не удалось, и скрывает свой значок из системы. Передав информацию об устройстве злоумышленникам (напрямую на сервер или посредством SMS-сообщения), Rotexy получает набор соответствующих инструкций и, переведя смартфон в беззвучный режим, начинает перехватывать сообщения и пересылать их хакерам. Кроме того, выводя на экран устройства фишинговую страницу, Rotexy провоцирует пользователя на ввод данных о банковской карте и при этом сверяет вводимый номер карты с ранее перехваченным в SMS-сообщении
[303].
Примечание. Обратите внимание: вредоносные файлы могут распространяться и в мессенджерах. Нельзя открывать никакие файлы, полученные из неизвестного источника
[304] (если файл получен от пользователя из вашего списка контактов, позвоните ему и уточните, действительно ли он отправил вам файл).
Помимо прочего, вредоносное программное обеспечение способно обходить системы защиты, использующие одноразовые SMS-пароли. Когда пользователь запускает оригинальное приложение, например банковское, троян определяет его и перекрывает экран собственным, фишинговым интерфейсом, имитируя подлинный. Пользователь вводит логин и пароль, которые отправляются злоумышленникам, и те входят в аккаунт жертвы на своем устройстве. Пробуя перевести некоторую сумму, злоумышленники инициируют отправку на телефон жертвы SMS-сообщения с одноразовым кодом, который троян скрывает, перехватывает и отправляет мошенникам. А те, подтвердив транзакцию, получают деньги на свой счет
[305]. Другие вредоносные приложения (например, Hesperbot) способны автоматически, без участия злоумышленников, производить транзакции с перехватом SMS-кодов и даже после удаления со смартфона сохранять доступ преступников к устройству
[306]. Причем при заражении блокируется доступ к оригинальным банковским приложениями, и пользователь не может проверить баланс или заблокировать свои карты
[307].
Перехват текстового трафика
SMS-трафик в сотовых сетях часто не шифруется, особенно это касается сетей ранних поколений
[308]. Это означает, что мошенники, спецслужбы и любые другие заинтересованные субъекты при желании могут перехватить ваши текстовые сообщения.
При передаче сообщений и голосовых вызовов интернет-трафик мессенджеров шифруется, но он может быть перехвачен, как и в случае голосовых вызовов. Прежде всего это касается мессенджеров, не поддерживающих сквозное шифрование, например Discord
[309].
Примечание. Перехвату противодействуют мессенджеры
[310], поддерживающие сквозное шифрование, например Signal и Wire
[311], не требующий привязки к телефонному номеру. О таких мессенджерах речь пойдет в разделе, посвященном защите от перехвата сообщений.
В целом способы перехвата текстового трафика (это касается как технологии SMS, так и мессенджеров) и прослушивания телефонных звонков идентичны. Ниже перечислены эти способы и субъекты, перехватывающие трафик.
■ СОРМ. С помощью таких систем государственные организации могут перехватывать телефонные звонки, SMS-сообщения, а также незашифрованную
[312] переписку в мессенджере любого пользователя, за которым ведется слежка. Обратите внимание: в соответствии с действующим законодательством все текстовые сообщения (как SMS, так и в мессенджерах) до полугода должны храниться на серверах оператора/провайдера интернета, а метаданные (сведения о том, кому и когда каждый пользователь что-то писал) – до 3 лет.
