«Привет :) тебе фото». А Ви отримували?

04/02/2015

 

В першій декаді вересня 2014 року власники смартфонів з операційною системою Android констатували факти масового отримання SMS-повідомлень, які містили текст «Привет :) тебе фото» та гіперпосилання на веб-ресурс.

 

Фахівцями CERT-UA проведено дослідження зазначеної ситуації, після чого було з’ясовано, що метою розсилання таких повідомлень є ураження засобів мобільного зв’язку  шкідливими програмами і, як наслідок, створення бот-мережі. Зазначену подію було класифіковано як інцидент інформаційної безпеки, що вимагав вжиття відповідних заходів з реагування.

 

За сприяння іноземних команд реагування на комп’ютерні інциденти вжито заходів з ідентифікації інфраструктури бот-мережі, а також визначено перелік IMEI-кодів (міжнародних ідентифікаторів мобільного обладнання) засобів мобільного зв’язку, уражених шкідливими програмами.

 

За попереднім аналізом з’ясовано, що згадана бот-мережа станом на 2 лютого 2015 року налічує близько 200 000 скомпрометованих смартфонів. Близько 85 000 смартфонів експлуатуються в мережах операторів мобільного зв’язку України.

 

З метою ліквідації загрози фахівцями CERT-UA створено сервіс (веб-сторінку) для самостійного визначення факту ураження смартфону згаданою шкідливою програмою. З метою проведення перевірки достатньо визначити IMEI-код вашого засобу мобільного зв’язку, набравши *#06# (кнопка виклику), і ввести його на відповідній веб-сторінці.

 

Коротку статистичну інформацію стосовно бот-мережі (географічного розподілу уражених смартофонів, а також розподілу по операторам мобільного зв’язку України) наведено на рисунках 1-2.

 

Зауважимо, що CERT-UA, за необхідності, готова передати операторам мобільного зв’язку України перелік IMEI-кодів смартфонів, уражених шкідливою програмою (з метою інформування абонентів).

 

В тому випадку, якщо факт ураження засобу мобільного зв’язку шкідливою програмою підтверджується, рекомендуємо вжити заходів з встановлення заводських налаштувань.

 

Звісно, в мережі Інтернет існують статті з приводу того, як видаляти саме цей зразок шкідливої програми (http://habrahabr.ru/post/235713/). Проте, зловмисники оновлюють програмний код, і тому немає гарантії, що превентивний захід, розроблений для попередньої версії шкідливої програми, буде працювати для поточної або наступної. Використання матеріалів статті для видалення шкідливої програми здійснюється на власний ризик власника ураженого смартфону.

 

 stat-4

 

Рис. 1

 

 

stat_ops

Рис. 2