Мобильники на Android обычно продаются с кучей предустановленного софта: мессенджеров, клиентов социальных сетей, игр, а порой даже троянов. Наши коллеги из компании
провели большое исследование ряда случаев распространения вредоносных программ в заводских прошивках смартфонов и поделились предварительными итогами с нами. В этой статье я подробно расскажу о результатах исследования — они очень интересны.
Для начала несколько слов о том, как трояны вообще попадают в прошивку мобильных устройств. Этот канал распространения вредоносного ПО носит название supply chain attack, то есть «атака в процессе производства». В различных источниках высказывалось множество предположений о том, какое именно звено разработки Android-девайсов можно условно назвать «злоумышленником», однако для понимания источника проблемы нужно вспомнить историю эволюции современных китайских смартфонов.
Если есть «хард», будет и «софт». На поток «смартфонного сырья» китайский рынок отреагировал появлением тысяч контор, под заказ выпускающих прошивки для таких телефонов. Подобные фирмы в Китае называются , и это отдельный, очень емкий сектор бизнеса. Шуацзи создают прошивки с разным набором софта, с разными лаунчерами и прочими «нескучными обоями» для разных категорий заказчиков — магазинов, оптовиков, иностранных контор, которые продают такие телефоны под своим лейблом. Порой доходило до того, что по пути от завода до конечного пользователя смартфон менял прошивку несколько раз.
Несмотря на высокий спрос, конкуренция на этом рынке тоже была очень высокой. Разработчикам и «прошивальщикам» приходилось демпинговать. Чтобы хоть как‑то окупить затраты на создание прошивок и немного подзаработать, шуацзи придумали альтернативный канал монетизации: они стали брать с производителей софта комиссию за предустановку приложений на смартфоны — стоимость такой услуги составляет в среднем от 5 до 10 юаней за каждую инсталляцию программы на клиентском устройстве.
Следующий шаг был вполне очевиден: если добавить в прошивку смартфона приложение‑загрузчик, который сможет скачивать и устанавливать на телефон другие программы по команде с управляющего сервера, то на этом можно заработать еще больше. Вокруг компаний‑шуацзи стали создаваться отдельные агентства, специализирующиеся на продаже мобильной рекламы, услуг по массовой предустановке и загрузке софта. В погоне за дополнительной прибылью в прошивку некоторых телефонов «с завода» добавляли приложения с рекламной «партнеркой».
В последние годы этот рынок стал чуть более цивилизованным: значительную его долю теперь занимают разработчики OEM-девайсов на производственных мощностях в Шэньчжэне, а также компании, предлагающие так называемый white labeling — выпуск тиража мобильных телефонов одной из существующих китайских моделей, но под торговой маркой заказчика.
Всем этим устройствам также нужны прошивки, локализация, лаунчеры и механизмы обновления «по воздуху». При этом китайские производители и сборщики железа не разрабатывают прошивки сами, а делегируют эти задачи на субподряд тем самым шуацзи. Что субподрядчик добавит в прошивку очередного девайса, порой известно только ему самому. Так на «Алиэкспрессе» и в рознице время от времени появляются смартфоны «с сюрпризами».
Порой, помимо загрузчиков и рекламной мишуры, в прошивку попадает и кое‑что посерьезнее: приложения для перехвата конфиденциальных данных и для удаленного управления смартфоном. Некоторые инфицированные устройства (китайцы называют их 肉雞 — «бройлер») способны объединяться в ботнеты, которые злоумышленники используют, например, для DDoS-атак.
Другие способы монетизации — автоматическая накрутка счетчиков на сайтах, «скликивание» рекламы, подписка абонента на платные сервисы и даже получение скриншотов или фотографий владельца девайса с целью дальнейшего вымогательства.
Помимо этого, данные об инфицированных телефонах продаются на китайских форумах практически в открытую: программы для обнаружения подключенных к интернету протрояненных смартфонов и удаленного управления ими стоят порядка 300 юаней. Это тоже очень развитый бизнес: кроме покупки подобных программ, продажи загрузок приложений и аренды C&C-серверов для собственных ботнетов, на китайских форумах активно рекламируются услуги по обучению всех желающих «хакерству», под которым понимается в основном массовое использование чужих мобильных устройств с троянами в прошивках.
Таких скрипткидди в Китае называют «сяобай» (小白), что можно перевести как «нуб» или «чайник». Обучение сяобаев основам использования готового ПО для взлома смартфонов — значительный источник дохода для завсегдатаев подобных «подпольных» площадок.
Иногда зараженные телефоны пополняют базы сервисов для приема и отправки SMS (для регистрации на сайтах с обязательным подтверждением номера абонента). При этом владелец китайского аппарата даже не подозревает о том, что его номер кто‑то втихаря сдает в аренду. С помощью подобных сервисов, действующих не только в Китае, но и по всему миру, можно организовать массовую регистрацию «одноразовых» аккаунтов. Эта услуга активно используется в широко распространенной мошеннической схеме, которую в Поднебесной называют 薅羊毛 («стрижка шерсти»). Заключается она в следующем.
В Чайнете очень популярна схема раскрутки онлайновых сервисов, когда каждому новому пользователю при регистрации начисляют определенное количество бонусных баллов на небольшую сумму. Баллы можно потратить, например, для покупки товаров на «Таобао». При этом в случае оплаты бонусными баллами иногда можно получить еще и дополнительную скидку на товар. С помощью сервиса подтверждения по SMS жулики регистрируют кучу новых аккаунтов, а потом продают всем желающим накопленные бонусные баллы по сниженному курсу.
Так, в 2018 году китайское подразделение Starbucks запустило промоакцию: каждому зарегистрировавшемуся пользователю мобильного приложения предлагали купон на бесплатную порцию кофе стоимостью около 30 юаней (352 рубля по текущему курсу). В первый же день с помощью платформ для массовой регистрации аккаунтов китайцы создали более 400 тысяч фейковых учеток, чтобы получить халявный кофе. Убытки Starbucks несложно подсчитать.
Подобную схему фрода начали расследовать наши коллеги из компании Trend Micro, однако проблема оказалась намного глубже, чем представлялось сначала.
Инфицированные смартфоны используются, чтобы получать, анализировать и передавать SMS-коды подтверждения без ведома и согласия их владельцев. Эксперты выяснили, что вредоносное ПО было либо изначально предустановлено в прошивке смартфона, либо скачано на телефон спрятанным в прошивке загрузчиком.
Организация такого сервиса не связана со значительными затратами. Его владельцам не нужно тратиться на покупку дорогого оборудования, большого количества SIM-карт и оплату оператору мобильной связи. Все, что необходимо, — доступ к базе инфицированных смартфонов, которые позволяют отправлять, получать и пересылать злоумышленникам сообщения, а также получать данные геолокации (с ее помощью сервис определяет географическое местоположение телефона). Таким образом заказчики услуги могут выбрать регион, в котором они желают принять SMS и зарегистрировать свой аккаунт.
Один из сервисов SMS PVA (на самом деле мы не знаем, откуда именно этот конкретный сервис берет SMS, он использован просто в качестве примера)
Эта реклама привлекла внимание специалистов
Сервис предлагал услуги по регистрации с помощью SMS на таких площадках, как Facebook, Instagram, Google, Hotmail, Yahoo, «Вконтакте», TikTok, Amazon, Alibaba, Uber, Twitter, YouTube и LinkedIn. При этом на выбор предоставлялись телефонные номера более чем в 100 странах мира. Желающие могли попробовать эту услугу бесплатно на сайте receivecode.com.
Здесь можно было протестировать сервис бесплатно
Для «оптовых покупателей» по адресу smspva.net был создан отдельный сайт с полноценным API. На сайте можно было арендовать пул телефонных номеров из выбранной страны или региона, управлять им и настроить передачу полученных на эти номера SMS в приложения или онлайн‑сервисы. Среди поддерживаемых приложений значились Amazon, Twitter, Facebook, QQ (популярный в Китае мессенджер), TikTok и другие. При этом клиенты могли связаться с поддержкой сервиса и попросить ее добавить в список другие приложения, для которых требовалось предоставить образец SMS.
Когда клиент выбирал для себя телефонный номер из пула, этот номер закреплялся за ним на определенное время, по умолчанию равное пяти минутам, после чего номер становился доступен для других заказчиков. После освобождения с этим номером уже нельзя будет зарегистрироваться в том же самом приложении (например, Facebook или TikTok), но его можно использовать для других приложений.
Все это навело специалистов по кибербезопасности на нехорошие подозрения. Прежде всего, сервис ограничивал многократное использование одного и того же телефонного номера, чтобы скрыть от его владельца вредоносную активность. Кроме того, он работал только с ограниченным набором приложений и в основном — для регистрации новых аккаунтов, то есть с его помощью нельзя было организовать двухфакторную аутентификацию. Но самое главное — он не «отдавал» клиентам платформы SMS целиком, а парсил сообщения по специальному шаблону, извлекал оттуда одноразовый код и передавал заказчику только его. Если SMS получено легальным путем, почему бы не транслировать его клиенту сервиса целиком? Наконец, предлагаемое платформой количество телефонных номеров в разных странах мира просто не соответствовало стоимости предоставляемых услуг, ведь официальное обслуживание и поддержка такого числа SIM-карт недешевы.
Хорошенько изучив эту платформу, специалисты Trend Micro обнаружили практически идентичный сервис, расположенный в китайской доменной зоне .cn по адресу enjoynut.cn. Этот сервис использовал такой же логотип, аналогичную страницу авторизации, почти неотличимый API и при этом, что самое главное, был связан с несколькими известными доменами, засветившимися при исследовании троянов для Android.
Два сервиса SMS PVA — близнецы‑братья
Так, домен enjoynut.cn использовался в качестве C&C-сервера в одном из DEX-файлов трояна AndroidOS_Guerilla, который применяется кардерами для перехвата и парсинга SMS. В этом же трояне засветился и другой C&C — sublemontree.com.
Кусок DEX-файла AndroidOS_Guerilla с доменом
Используя эти фрагменты кода и трафик C&C в качестве образца, специалисты смогли идентифицировать еще два файла DEX с похожими функциями, что указывает на активный процесс разработки вредоноса. Эти трояны перехватывают не все SMS подряд, а только те, которые были отправлены определенными сервисами и соответствуют регулярному выражению, полученному от C&C. Иными словами, возможности троянов полностью соответствуют возможностям API enjoynut.cn и smspva.net.
Видимо, ограничения на пересылку сообщений введены вирусописателями с двумя целями: во‑первых, чтобы не мешать получению SMS, запрошенных самим пользователем телефона, а во‑вторых, чтобы исключить попытки двухфакторной аутентификации, которые могут привести к хищению у владельцев зараженных устройств денежных средств. Ведь тогда они наверняка поднимут тревогу и сервисы вроде SmsPVA лишатся своего самого главного актива — большого пула инфицированных смартфонов.
При этом реальный владелец телефона в некоторых случаях может утратить возможность зарегистрироваться на ряде сайтов, в мессенджерах и социальных сетях, поскольку его номером уже воспользовались злоумышленники. А вот с какой целью они это сделали — остается только догадываться. Это может быть спам, разные виды мошенничества, торговля наркотиками, незаконные покупки, отмывание денег, да что угодно! В частности, с помощью таких сервисов в службах каршеринга регистрируются фейковые аккаунты, которые могут использовать недобросовестные граждане, в том числе чтобы арендовать дорогостоящие автомобили.
Телеграм‑канал, в котором продают фейковые аккаунты каршеринга
При этом в случае проблем реальную личность киберпреступника установить будет практически невозможно, зато правоохранители легко и непринужденно выйдут на реального владельца скомпрометированного телефонного номера, на который зарегистрирован аккаунт. Если арендованная по поддельной учетке машина попадет в ДТП, претензии тоже предъявят реальному владельцу мобильного телефона.
Если верить статистике использования таких сервисов и количеству предлагаемых ими телефонных номеров, проблема имеет глобальные масштабы. В пулах подобных платформ насчитываются сотни тысяч телефонных номеров, которые используются на инфицированных троянами устройствах.
Большинство таких устройств, скорее всего, было протроянено еще на этапе заливки прошивки китайскими компаниями. Как правило, это купленные на маркетплейсах недорогие смартфоны нижнего и среднего ценового сегмента производства малоизвестных фирм. Вот, например, количество доступных телефонных номеров в одном из сервисов SMS PVA с распределением по географическому признаку.
Число доступных телефонных номеров в сервисе SMS PVA с распределением по странам, декабрь 2021 года
Как видим, здесь присутствуют самые разные по уровню достатка страны — от Индонезии и ЮАР до России и даже США.
Специалисты Trend Micro выяснили, на каких сервисах чаще всего регистрируются протрояненные мобильные телефоны через smspva.net.
Сервисы и приложения, на которые подписаны зараженные мобильные телефоны
На первом месте мессенджеры LINE, WeChat и WhatsApp. Чуть уступают им по популярности TikTok и платежная система PayPal. Среди социальных сетей замечены также Twitter и Facebook, среди платежных инструментов — Alipay и MoneyLion. Скорее всего, фейковые регистрации в мессенджерах используются для рассылки спама и мошенничества, а аккаунты в соцсетях — для накрутки фолловеров и лайков.
Что же касается основного источника проблемы — зараженных телефонов, то тут единственный действенный метод защиты — воздержаться от покупки дешевых устройств, произведенных неизвестно где и неизвестно кем.
Для начала несколько слов о том, как трояны вообще попадают в прошивку мобильных устройств. Этот канал распространения вредоносного ПО носит название supply chain attack, то есть «атака в процессе производства». В различных источниках высказывалось множество предположений о том, какое именно звено разработки Android-девайсов можно условно назвать «злоумышленником», однако для понимания источника проблемы нужно вспомнить историю эволюции современных китайских смартфонов.
ЗА ВЕЛИКОЙ СТЕНОЙ
Примерно в 2010 году в Китае несколько компаний, крупнейшей из которых является MediaTek, наладили серийный выпуск «систем на чипе» (SoC), представлявших собой фактически готовую основу для смартфона на Android. Разумеется, на рынке тут же появилось огромное количество маленьких заводов (концентрирующихся в основном в «электронной столице» Китая — Шэньчжэне), которые стали клепать на базе SoC собственные модели смартфонов. Рынок быстро заполонили «полуфабрикаты» трубок, то есть полностью комплектные телефоны, только без прошивки — их покупали другие китайские компании, специализирующиеся на импорте электроники и ее продаже на маркетплейсах.Если есть «хард», будет и «софт». На поток «смартфонного сырья» китайский рынок отреагировал появлением тысяч контор, под заказ выпускающих прошивки для таких телефонов. Подобные фирмы в Китае называются , и это отдельный, очень емкий сектор бизнеса. Шуацзи создают прошивки с разным набором софта, с разными лаунчерами и прочими «нескучными обоями» для разных категорий заказчиков — магазинов, оптовиков, иностранных контор, которые продают такие телефоны под своим лейблом. Порой доходило до того, что по пути от завода до конечного пользователя смартфон менял прошивку несколько раз.
Несмотря на высокий спрос, конкуренция на этом рынке тоже была очень высокой. Разработчикам и «прошивальщикам» приходилось демпинговать. Чтобы хоть как‑то окупить затраты на создание прошивок и немного подзаработать, шуацзи придумали альтернативный канал монетизации: они стали брать с производителей софта комиссию за предустановку приложений на смартфоны — стоимость такой услуги составляет в среднем от 5 до 10 юаней за каждую инсталляцию программы на клиентском устройстве.
Следующий шаг был вполне очевиден: если добавить в прошивку смартфона приложение‑загрузчик, который сможет скачивать и устанавливать на телефон другие программы по команде с управляющего сервера, то на этом можно заработать еще больше. Вокруг компаний‑шуацзи стали создаваться отдельные агентства, специализирующиеся на продаже мобильной рекламы, услуг по массовой предустановке и загрузке софта. В погоне за дополнительной прибылью в прошивку некоторых телефонов «с завода» добавляли приложения с рекламной «партнеркой».
INFO
Приложения, входящие в состав прошивки мобильного телефона на Android, по умолчанию имеют высокий приоритет выполнения, доступ к приему и отправке SMS, адресной книге пользователя, получают возможность загружать и устанавливать другие программы, влиять на процесс загрузки девайса. Удалить такие приложения невозможно, если пользователь не обладает на устройстве правами root.В последние годы этот рынок стал чуть более цивилизованным: значительную его долю теперь занимают разработчики OEM-девайсов на производственных мощностях в Шэньчжэне, а также компании, предлагающие так называемый white labeling — выпуск тиража мобильных телефонов одной из существующих китайских моделей, но под торговой маркой заказчика.
Всем этим устройствам также нужны прошивки, локализация, лаунчеры и механизмы обновления «по воздуху». При этом китайские производители и сборщики железа не разрабатывают прошивки сами, а делегируют эти задачи на субподряд тем самым шуацзи. Что субподрядчик добавит в прошивку очередного девайса, порой известно только ему самому. Так на «Алиэкспрессе» и в рознице время от времени появляются смартфоны «с сюрпризами».
Порой, помимо загрузчиков и рекламной мишуры, в прошивку попадает и кое‑что посерьезнее: приложения для перехвата конфиденциальных данных и для удаленного управления смартфоном. Некоторые инфицированные устройства (китайцы называют их 肉雞 — «бройлер») способны объединяться в ботнеты, которые злоумышленники используют, например, для DDoS-атак.
Другие способы монетизации — автоматическая накрутка счетчиков на сайтах, «скликивание» рекламы, подписка абонента на платные сервисы и даже получение скриншотов или фотографий владельца девайса с целью дальнейшего вымогательства.
Помимо этого, данные об инфицированных телефонах продаются на китайских форумах практически в открытую: программы для обнаружения подключенных к интернету протрояненных смартфонов и удаленного управления ими стоят порядка 300 юаней. Это тоже очень развитый бизнес: кроме покупки подобных программ, продажи загрузок приложений и аренды C&C-серверов для собственных ботнетов, на китайских форумах активно рекламируются услуги по обучению всех желающих «хакерству», под которым понимается в основном массовое использование чужих мобильных устройств с троянами в прошивках.
Таких скрипткидди в Китае называют «сяобай» (小白), что можно перевести как «нуб» или «чайник». Обучение сяобаев основам использования готового ПО для взлома смартфонов — значительный источник дохода для завсегдатаев подобных «подпольных» площадок.
WWW
Подробнее о «бройлерах» и «сяобаях» — в ( ).Иногда зараженные телефоны пополняют базы сервисов для приема и отправки SMS (для регистрации на сайтах с обязательным подтверждением номера абонента). При этом владелец китайского аппарата даже не подозревает о том, что его номер кто‑то втихаря сдает в аренду. С помощью подобных сервисов, действующих не только в Китае, но и по всему миру, можно организовать массовую регистрацию «одноразовых» аккаунтов. Эта услуга активно используется в широко распространенной мошеннической схеме, которую в Поднебесной называют 薅羊毛 («стрижка шерсти»). Заключается она в следующем.
В Чайнете очень популярна схема раскрутки онлайновых сервисов, когда каждому новому пользователю при регистрации начисляют определенное количество бонусных баллов на небольшую сумму. Баллы можно потратить, например, для покупки товаров на «Таобао». При этом в случае оплаты бонусными баллами иногда можно получить еще и дополнительную скидку на товар. С помощью сервиса подтверждения по SMS жулики регистрируют кучу новых аккаунтов, а потом продают всем желающим накопленные бонусные баллы по сниженному курсу.
Так, в 2018 году китайское подразделение Starbucks запустило промоакцию: каждому зарегистрировавшемуся пользователю мобильного приложения предлагали купон на бесплатную порцию кофе стоимостью около 30 юаней (352 рубля по текущему курсу). В первый же день с помощью платформ для массовой регистрации аккаунтов китайцы создали более 400 тысяч фейковых учеток, чтобы получить халявный кофе. Убытки Starbucks несложно подсчитать.
Подобную схему фрода начали расследовать наши коллеги из компании Trend Micro, однако проблема оказалась намного глубже, чем представлялось сначала.
SMS PVA
Регистрация подтвержденных по SMS учетных записей носит наименование phone-verified account (PVA). Если раньше сервисы SMS PVA использовали возможности IP-телефонии и SMS-шлюзы, то теперь процесс приема и передачи сообщений скрыт за кулисами: подтверждающие SMS-коды передаются сервису через API. Аналитики Trend Micro установили, что как минимум одна из таких служб работала поверх ботнета, включающего тысячи зараженных смартфонов на Android.Инфицированные смартфоны используются, чтобы получать, анализировать и передавать SMS-коды подтверждения без ведома и согласия их владельцев. Эксперты выяснили, что вредоносное ПО было либо изначально предустановлено в прошивке смартфона, либо скачано на телефон спрятанным в прошивке загрузчиком.
Организация такого сервиса не связана со значительными затратами. Его владельцам не нужно тратиться на покупку дорогого оборудования, большого количества SIM-карт и оплату оператору мобильной связи. Все, что необходимо, — доступ к базе инфицированных смартфонов, которые позволяют отправлять, получать и пересылать злоумышленникам сообщения, а также получать данные геолокации (с ее помощью сервис определяет географическое местоположение телефона). Таким образом заказчики услуги могут выбрать регион, в котором они желают принять SMS и зарегистрировать свой аккаунт.
Один из сервисов SMS PVA (на самом деле мы не знаем, откуда именно этот конкретный сервис берет SMS, он использован просто в качестве примера)
РАССЛЕДОВАНИЕ
В августе 2020 года специалисты Trend Micro обратили внимание на один из сервисов SMS PVA, который проводил активную рекламную кампанию на Facebook.
Эта реклама привлекла внимание специалистов
Сервис предлагал услуги по регистрации с помощью SMS на таких площадках, как Facebook, Instagram, Google, Hotmail, Yahoo, «Вконтакте», TikTok, Amazon, Alibaba, Uber, Twitter, YouTube и LinkedIn. При этом на выбор предоставлялись телефонные номера более чем в 100 странах мира. Желающие могли попробовать эту услугу бесплатно на сайте receivecode.com.
Здесь можно было протестировать сервис бесплатно
Для «оптовых покупателей» по адресу smspva.net был создан отдельный сайт с полноценным API. На сайте можно было арендовать пул телефонных номеров из выбранной страны или региона, управлять им и настроить передачу полученных на эти номера SMS в приложения или онлайн‑сервисы. Среди поддерживаемых приложений значились Amazon, Twitter, Facebook, QQ (популярный в Китае мессенджер), TikTok и другие. При этом клиенты могли связаться с поддержкой сервиса и попросить ее добавить в список другие приложения, для которых требовалось предоставить образец SMS.
Когда клиент выбирал для себя телефонный номер из пула, этот номер закреплялся за ним на определенное время, по умолчанию равное пяти минутам, после чего номер становился доступен для других заказчиков. После освобождения с этим номером уже нельзя будет зарегистрироваться в том же самом приложении (например, Facebook или TikTok), но его можно использовать для других приложений.
Все это навело специалистов по кибербезопасности на нехорошие подозрения. Прежде всего, сервис ограничивал многократное использование одного и того же телефонного номера, чтобы скрыть от его владельца вредоносную активность. Кроме того, он работал только с ограниченным набором приложений и в основном — для регистрации новых аккаунтов, то есть с его помощью нельзя было организовать двухфакторную аутентификацию. Но самое главное — он не «отдавал» клиентам платформы SMS целиком, а парсил сообщения по специальному шаблону, извлекал оттуда одноразовый код и передавал заказчику только его. Если SMS получено легальным путем, почему бы не транслировать его клиенту сервиса целиком? Наконец, предлагаемое платформой количество телефонных номеров в разных странах мира просто не соответствовало стоимости предоставляемых услуг, ведь официальное обслуживание и поддержка такого числа SIM-карт недешевы.
Хорошенько изучив эту платформу, специалисты Trend Micro обнаружили практически идентичный сервис, расположенный в китайской доменной зоне .cn по адресу enjoynut.cn. Этот сервис использовал такой же логотип, аналогичную страницу авторизации, почти неотличимый API и при этом, что самое главное, был связан с несколькими известными доменами, засветившимися при исследовании троянов для Android.
Два сервиса SMS PVA — близнецы‑братья
Так, домен enjoynut.cn использовался в качестве C&C-сервера в одном из DEX-файлов трояна AndroidOS_Guerilla, который применяется кардерами для перехвата и парсинга SMS. В этом же трояне засветился и другой C&C — sublemontree.com.
Кусок DEX-файла AndroidOS_Guerilla с доменом
Используя эти фрагменты кода и трафик C&C в качестве образца, специалисты смогли идентифицировать еще два файла DEX с похожими функциями, что указывает на активный процесс разработки вредоноса. Эти трояны перехватывают не все SMS подряд, а только те, которые были отправлены определенными сервисами и соответствуют регулярному выражению, полученному от C&C. Иными словами, возможности троянов полностью соответствуют возможностям API enjoynut.cn и smspva.net.
Видимо, ограничения на пересылку сообщений введены вирусописателями с двумя целями: во‑первых, чтобы не мешать получению SMS, запрошенных самим пользователем телефона, а во‑вторых, чтобы исключить попытки двухфакторной аутентификации, которые могут привести к хищению у владельцев зараженных устройств денежных средств. Ведь тогда они наверняка поднимут тревогу и сервисы вроде SmsPVA лишатся своего самого главного актива — большого пула инфицированных смартфонов.
ОСОБЕННОСТИ НАЦИОНАЛЬНОЙ ОХОТЫ
При регистрации аккаунтов с использованием SMS многие сервисы проводят дополнительные проверки, например соответствует ли телефонный номер указанному клиентом географическому положению и его IP-адресу. Делается это неспроста. В частности, тот или иной контент может быть доступен только для определенных стран или некоторые рекламные кампании могут проводиться только региональными маркетинговыми командами, а некоторые услуги не предоставляются для клиентов из определенного списка государств. В сочетании с использованием прокси‑серверов и VPN пользователи описанных выше сервисов SMS PVA могут успешно обходить такие ограничения.При этом реальный владелец телефона в некоторых случаях может утратить возможность зарегистрироваться на ряде сайтов, в мессенджерах и социальных сетях, поскольку его номером уже воспользовались злоумышленники. А вот с какой целью они это сделали — остается только догадываться. Это может быть спам, разные виды мошенничества, торговля наркотиками, незаконные покупки, отмывание денег, да что угодно! В частности, с помощью таких сервисов в службах каршеринга регистрируются фейковые аккаунты, которые могут использовать недобросовестные граждане, в том числе чтобы арендовать дорогостоящие автомобили.
Телеграм‑канал, в котором продают фейковые аккаунты каршеринга
При этом в случае проблем реальную личность киберпреступника установить будет практически невозможно, зато правоохранители легко и непринужденно выйдут на реального владельца скомпрометированного телефонного номера, на который зарегистрирован аккаунт. Если арендованная по поддельной учетке машина попадет в ДТП, претензии тоже предъявят реальному владельцу мобильного телефона.
Если верить статистике использования таких сервисов и количеству предлагаемых ими телефонных номеров, проблема имеет глобальные масштабы. В пулах подобных платформ насчитываются сотни тысяч телефонных номеров, которые используются на инфицированных троянами устройствах.
Большинство таких устройств, скорее всего, было протроянено еще на этапе заливки прошивки китайскими компаниями. Как правило, это купленные на маркетплейсах недорогие смартфоны нижнего и среднего ценового сегмента производства малоизвестных фирм. Вот, например, количество доступных телефонных номеров в одном из сервисов SMS PVA с распределением по географическому признаку.
Число доступных телефонных номеров в сервисе SMS PVA с распределением по странам, декабрь 2021 года
Как видим, здесь присутствуют самые разные по уровню достатка страны — от Индонезии и ЮАР до России и даже США.
Специалисты Trend Micro выяснили, на каких сервисах чаще всего регистрируются протрояненные мобильные телефоны через smspva.net.
Сервисы и приложения, на которые подписаны зараженные мобильные телефоны
На первом месте мессенджеры LINE, WeChat и WhatsApp. Чуть уступают им по популярности TikTok и платежная система PayPal. Среди социальных сетей замечены также Twitter и Facebook, среди платежных инструментов — Alipay и MoneyLion. Скорее всего, фейковые регистрации в мессенджерах используются для рассылки спама и мошенничества, а аккаунты в соцсетях — для накрутки фолловеров и лайков.
ВЫВОДЫ
Выводы неутешительные: SMS-регистрация с использованием одноразовых кодов, похоже, изжила свое и уже не может считаться действенным средством защиты от создания поддельных аккаунтов. Тем не менее этот метод до сих пор остается одним из самых распространенных механизмов авторизации. Он широко применяется множеством сервисов, которые в итоге страдают от наплыва ботов.Что же касается основного источника проблемы — зараженных телефонов, то тут единственный действенный метод защиты — воздержаться от покупки дешевых устройств, произведенных неизвестно где и неизвестно кем.
