"Мегафон" отслеживает заражение своих абонентов вредоносным ПО


Megafon"Мегафон" внедрил решения для отслеживания заражений его абонентов вредоносным ПО. Такое решение было вызвано тем фактом, что троянские программы для Android-устройств стали большой проблемой. Попав на смартфон абонента, они пытаются выкрасть деньги либо с мобильного счета, либо с привязанной банковской карты. Согласно полученным данным, зараженными на телекоммуникационном рынке могут быть около 20% российских пользователей Android-смартфонов.

Когда устройство абонента заражено, зачастую у него возникает аномальный SMS-трафик к коротким номерам, связанным с сервисами мобильной коммерцией операторов, платежной системы Qiwi или крупнейшими банками.

Троянская программа, путем SMS-запросов, определяет баланс абонента, факт привязки банковских карт и кошельков Qiwi, после чего переводит денежные средства на подконтрольные мошенникам сотовые номера с целью их дальнейшего вывода.

Так, например, восстановленный код одного из троянов способен перехватывать SMS-сообщения от:

  • "Мегафона";
  • МТС (включая сервисы MTS Pay, AutoPay MTS и лотерею "Стань миллионером");
  • Qiwi (включая Qiwi Wallet)4
  • номеров "900" и "2268" (закреплены за "Сбербанком" и "Альфа-банком" соответственно);
  • номера "balance".


Также возможен перехват сообщений со словами

  • "Visa";
  • "code"4
  • kod;
  • virus.


Другим признаком присутствия в системе такого трояна является обращение смартфона к центрам управления бот-сетями (C&C). Отметим, что "мегафон" вместе с антивирусными компаниями выявляет такие центры. А выявив, высылает абоненту SMS-сообщение с предупреждением и предложением установить бесплатный антивирус. Таким образом, только за 2014 год было выявлено 850 тыс. зараженных абонентов, а уже в первом квартале 2015 года – еще 150 тыс.

Vosstanovlenniy code of trojyan
Восстановленный код трояна - перехватчика SMS с комментариями

Следующий способ борьбы с вредоносным ПО в том, что происходит частичная блокировка доступа к центрам управления бот-сетями и сайтам, которые заражены вирусами. Например, когда с телефона абонента осуществляется обращение к таким ресурсам, в браузере возникает "страница-заглушка", где абонентов предупреждают об опасности захода на такой сайт. К сожалению, полностью заблокировать доступ к таким ресурсам "Мегафон" не в состоянии, так как это будет нарушением законодательства.

А начиная с осени 2014 года, "Мегафон" получил возможность блокировать SMS-рассылки со ссылками на вредоносное ПО. Часто в таких сообщениях абонента просят под каким-нибудь интригующим предлогом скачать фотографию. Например:

  • "Ты такое уе на фото ВК http://vk.cc/3ESCdQ ! удаляй срочно))"
  • "Это ты с Аней на фото? Неожиданно. http://fotoym.com/avt"


Таким образом, благодаря системе "Антиспама" "Мегафона", было заблокировано более 1 млн. таких сообщений.

Кроме "Мегафона" подобные системы также используются компаниями МТС и "Вымпелком", предупреждая заражение своих абонентов вредоносным ПО путем анализа интернет-трафика, отправленными SMS-сообщениями и другими параметрами.

Для предупреждения пользователей устройств о факте заражения, компания МТС перенаправляет его на специальную страницу. Как показало тестирование такого сервиса, 32% проинформированных абонентов переходят на ссылку с установкой антивируса, а 40% из них - подтвердили факт заражения вирусом.


Обновлено (29.04.2015 20:04)