- Як працює банківський троян Rotexy
- Rotexy готує робоче місце
- Rotexy - хитрий SMS-злодій
- Rotexy в ролі банківського трояна
- Rotexy в ролі вимагача
- Як розблокувати смартфон, заражений трояном Rotexy
- Як захиститися від Rotexy і від інших мобільних троянів
Останнім часом (переважно серед російських користувачів) активно поширюється мобільний зловредів Rotexy - помісь банківського трояна і блокувальника-вимагача . За серпень і вересень наші експерти зафіксували понад 40 тисяч спроб підкинути шкідливу програму власникам смартфонів з Android. Технічні подробиці і біографію цієї тварі ми опублікували на Securelist , А тут розповімо вам, де ви можете підчепити Rotexy і як його позбутися - безкоштовно, без реєстрації, за допомогою пари простих SMS.
Як працює банківський троян Rotexy
Починається все досить звичайно: вам приходить SMS на кшталт «Вася, пропоную обмін з доплатою» або «Марина, прийміть 5000 рублів з Avito» з посиланням, в якій вгадується певний зв'язок з одним з популярних сервісів безкоштовних оголошень, наприклад youla9d6h.tk або avitoe0ys. tk. На сайті за посиланням вас попросять завантажити «новий додаток» під назвою AvitoPay.apk або схожим на нього. Однак замість програми для обміну або оплати покупок на вашому пристрої з'явиться зловредів.
Rotexy готує робоче місце
Спершу Rotexy перевіряє, на який пристрій він потрапив. Робить він це для того, щоб ускладнити роботу антивірусних дослідників: якщо зловредів виявляє, що він запущений в емуляторі, а не в сьогоденні смартфоні, то він демонструє нескінченну ініціалізацію додатки, і все. Те ж саме відбувається, якщо гаджет знаходиться за межами Росії.
Тільки переконавшись, що пристрій відповідає його запитам, троян починає діяти - і для початку запитує у користувача права адміністратора . Теоретично йому можна відмовити, але тоді запит буде вискакувати заново кожну секунду, заважаючи користуватися смартфоном. Домігшись свого, Rotexy повідомляє, що програма не вдалося завантажити, і приховує свою іконку.
Після цього зловредів налагоджує контакт зі своїми власниками: передає їм інформацію про пристрій, на яке потрапив, а у відповідь отримує інструкції до дії, набір шаблонів і текстів. За замовчуванням Rotexy спілкується безпосередньо з командним сервером, але його автори передбачили і інші способи передачі розпоряджень: через Google Cloud Messaging і SMS.
Rotexy - хитрий SMS-злодій
До речі, про SMS - Rotexy їх дуже любить. Коли на заражений телефон приходить повідомлення, він переводить гаджет в беззвучний режим, щоб жертва не помітила нових вхідних. Потім троян перехоплює повідомлення, перевіряє за отриманим з командного сервера шаблоном, чи є в ньому щось цікаве (наприклад, останні цифри номера карти в SMS-підтвердження від банків), зберігає і передає на сервер. Більш того, зловредів може відповідати на них від імені власника смартфона: текст відповіді і випадки, коли він необхідний, теж містяться в шаблонах.
Якщо ж з якоїсь причини ніяких шаблонів і особливих вказівок з командного сервера не надходило, Rotexy просто зберігає на зараженому смартфоні всю переписку, а потім відправляє своїм господарям. Крім того, по команді зловмисників зловредів може розіслати посилання на завантаження себе всім контактам з телефонної книги.
Rotexy в ролі банківського трояна
Втім, маніпуляція «есемесками» - не основне завдання зловреда. Основна - заробляти гроші для своїх творців. В першу чергу - крадучи дані банківських карт. Для цього він перекриває екран фішинговою сторінкою, текст якої отримує разом з інструкціями з перехоплення SMS. Ця сторінка може виглядати по-різному, але в більшості випадків історія зводиться до того, що власнику смартфона нібито прийшов грошовий переказ і для його отримання потрібно ввести номер картки.
Тут автори зловредів теж підстрахувалися і вбудували перевірку, чи правильний номер карти вводить користувач. Спочатку він перевіряє коректність номера карти (ці номери можуть бути не будь-якими і створюються за певними правилами). Потім Rotexy витягує з перехопленого SMS від банку останні чотири цифри номера карти і порівнює їх з введеними в фішинговому вікні. Якщо щось не сходиться, зловредів видає помилку і просить ввести номер карти заново.
Rotexy в ролі вимагача
Іноді Rotexy отримує інші вказівки від командного сервера і діє за іншим сценарієм. Замість того щоб показувати фішингових вікно, він блокує екран смартфона загрозливого вигляду вікном з вимогою заплатити штраф за «регулярний перегляд заборонених відео».
Після імітації якогось «оновлення» Rotexy блокує екран смартфона сторінкою загрозливого вигляду з вимогою заплатити штраф за «регулярний перегляд заборонених відео» (порно-скріншот з «фотофіксацією порушення» ми закрили чорним квадратом)
Як доказ додається «фотофіксація порушення» із зображенням порнографічного ролика. Як це нерідко буває серед мобільних здирників, зловмисники прикидаються «інтернет-контролем ФСБ Росії». До речі, підрозділи з такою назвою в дійсності не існує.
Як розблокувати смартфон, заражений трояном Rotexy
Втім, розблокувати смартфон і позбутися від «вірусу» можна, і для цього навіть не доведеться показувати пристрій фахівця. Як було сказано вище, Rotexy може приймати команди через SMS. Принадність ситуації в тому, що відправляти їх не обов'язково з якогось конкретного номера - підійде будь-хто. Тому якщо ваш смартфон заблокований, і ви не можете закрити вікно зловреда, все, що вам знадобиться - ще один телефон, наприклад вашого родича або друга, і наша невелика інструкція:
- Надішліть на свій номер SMS з текстом «393 838». Зловредів сприйме це як наказ змінити адресу командного сервера на порожній і перестане слухатися зловмисників.
- Потім надішліть собі повідомлення «3458» - воно позбавляє троян адміністраторських прав, і той не може господарювати на вашому пристрої.
- І, нарешті, відправте на свій телефон SMS з текстом «stop_blocker»: ця команда змусить Rotexy прибрати сайт або банер, який блокує екран.
- Після цього троян може знову почати нескінченно запитувати права адміністратора. У такому випадку потрібно перезавантажити пристрій в безпечному режимі (як це зробити, написано, наприклад, в цьому пості ), Зайти в Менеджер програм або Програми та повідомлення (в різних версіях Android настройки влаштовані по-різному) і тепер уже безперешкодно видалити зловредів з пристрою. Усе!
Відзначимо, що інструкція з розблокування смартфона заснована на аналізі поточної версії Rotexy і коректно працює для неї, в наступних версіях все може бути інакше. Більше технічних подробиць про трояни можна знайти в дослідженні, опублікованому на Securelist .
Як захиститися від Rotexy і від інших мобільних троянів
Наостанок зауважимо, що куди менше часу і нервів ви витратите, якщо просто не пустите зловредів на свій смартфон. Уникнути зараження нескладно, головне - дотримуватися кількох простих правил:
- Не переходьте по сумнівними посиланнями в повідомленнях. Навіть якщо вам дуже цікаво, а SMS начебто від знайомого - краще спочатку уточнити, чи дійсно він щось надсилав.
- Завантажуйте додатки на смартфони з Android тільки з Google Play. Установку програм з невідомих джерел краще взагалі заборонити в настройках смартфона .
- користуйтеся надійним антивірусом , Який захистить вас від зловредів, навіть якщо ви випадково натиснете щось не те.