Получил смс «Ваша посылка ждёт в отделении» — кликнул по ссылке. Что произошло за 2 минуты

Звенит телефон. Короткий смс от «Службы доставки»: сообщают, что за посылкой нужно заехать, не забывайте маску, ждём вас. Самое время нажать на ссылку и узнать номер отделения. Только что вы передали злоумышленнику всё, что у вас было: доступ к почте, банковским приложениям, соцсетям и служебному порталу. Мы разберём происходящее в режиме реального времени — каждое действие, которое устаревшая инфраструктура оператора связи и ваше устройство совершило за два роковых для вас мгновения. Вы не видели ни всплывающих окон, ни установки подозрительного ПО, но контроль уже потеряли. 

Первое мгновение: регистрация цели в системе атакующего

Вы кликаете на URL, сокращённый через стандартный сервис, что уже само по себе ничего не говорит — такими ссылками делятся и легитимные службы. Ваш смартфон отправляет DNS-запрос на разрешение доменного имени. DNS-сервер оператора, получая запрос, сначала проверяет свой кэш. Если подобный запрос уже был, трафик всех следующих жертв направляется на сервер злоумышленника автоматически. Это важно: первая жертва «разогревает» атаку для остальных.

Представим, домен не в кэше. DNS-сервер находит authoritative-серверы для зоны и получает в ответ IP-адрес. Этот IP ведёт не на сервер почтовой службы, а на инфраструктуру, развёрнутую в облачном сегменте провайдера. Она живёт считанные часы, реже — сутки. Именно в этот момент ваш IP-адрес, версия браузера, модель телефона и операционной системы становятся первыми данными в логах атакующего.

Сервер мгновенно определяет вашего оператора связи и тип устройства. На этом этапе сценарий может раздвоиться. Если вы используете iPhone, вас, скорее всего, перенаправят на фишинговый сайт, стилизованный под страницу входа в Apple ID. Если Android — дальнейший сценарий зависит от версии ОС, рут-прав и наличия критических уязвимостей в компонентах системы, которыми злоумышленники пользуются для тихой установки мобильного трояна.

Критическая уязвимость: SMS как канал команд

Основной вектор атаки на российских пользователей — не фишинг, а скрытая установка вредоносного приложения. Для этого не нужно обманывать человека и просить нажать «Установить». Эксплойт-пакет, загружаемый на устройство при переходе по ссылке, использует уязвимости в компонентах WebView или обработчиках медиафайлов для выполнения произвольного кода с повышенными привилегиями. После этого на телефон в фоновом режиме загружается и устанавливается APK-файл.

Установленное приложение запрашивает и получает разрешения на доступ к уведомлениям, SMS и аксессебилити-службам. Последнее — ключ ко всему. Через службы специальных возможностей приложение может программно эмулировать нажатия на экран, заполнять поля и игнорировать системные предупреждения. С этого момента контроль над интерфейсом устройства переходит к злоумышленнику.

Но как это приложение управляется? Через SMS. Троянец ждёт входящее смс-сообщение с командой, замаскированное под уведомление от банка или службы доставки. Команда начинается с определённого набора символов. Получив такое сообщение, троянец через Accessibility-службы читает всё его содержимое (включая одноразовые коды), скрывает уведомление от пользователя и выполняет команду: например, совершает платёж через приложение банка, подтверждая его полученным кодом.

Профилирование и целевые действия в первый час

Спустя минуту после заражения троянец начинает сбор информации. Он не крадёт файлы массово, а проводит разведку. Его задачи — инвентаризация установленных приложений (в первую очередь, банковских, кошельков, «Госуслуг»), перехват SMS-сообщений (для картографирования контактов и получения кодов) и мониторинг буфера обмена.

Собранные данные отправляются на Command & Control-сервер. Там они автоматически анализируются, и для вашего устройства формируется персонализированный сценарий атаки. Если обнаружено приложение конкретного банка, сервер может отправить команду на фальсификацию его интерфейса для кражи полных данных карты. Если найдены корпоративные приложения с двухфакторной аутентификацией, цель помечается как ценная для атаки на компанию.

Через 5-10 минут после заражения может прийти тестовое SMS-сообщение, имитирующее уведомление, чтобы проверить работоспособность канала управления и незаметность троянца для пользователя. Если ответа от сервера нет (например, сообщение было прочитано человеком), атакующие могут временно заморозить активность.

Почему классическая защита здесь почти бесполезна

• Антивирусы часто запаздывают с сигнатурами. APK-файлы подписываются уникальными сертификатами для каждого запуска, а их код обфусцируется. Анализ поведения на устройстве затруднён, так как троянец использует легитимные системные механизмы (Accessibility).
• Маршрутизация через оператора. Трафик между троянцем и C&C-сервером может маскироваться под легитимные запросы к популярным доменам или использовать для связи канал SMS, который не фильтруется межсетевыми экранами.
• Одноразовая инфраструктура. DNS-имена и серверы, используемые на первом этапе, «сгорают» после начала кампании. Расследование упирается в регистраторов, предоставляющих анонимные услуги.

За кулисами: экономика и организация атаки

Подобные схемы — не дело одиночек. Это высокоавтоматизированный бизнес с разделением труда. Одна группа (эксплойт-разработчики) покупает или разрабатывает уязвимости нулевого дня для мобильных ОС. Другая (инфраструктурщики) арендует облачные мощности и настраивает домены. Третья (операторы) запускает массовую рассылку SMS через скомпрометированные аккаунты или сервисы-агрегаторы. Четвёртая (дропперы) занимается обналичиванием средств.

Стоимость полного комплекта для такой атаки на теневых форумах варьируется. Цена зависит от свежести эксплойтов, качества фишинговых страниц и надёжности инфраструктуры. Возврат инвестиций происходит быстро: с одного успешно заражённого устройства среднего пользователя снимают суммы от нескольких тысяч до десятков тысяч рублей, переводя их через сеть подставных лиц или на криптокошельки.

Что делать, если кликнули

1. Немедленно перевести телефон в авиарежим. Это физически разрывает соединение троянца с сервером управления и блокирует приём управляющих SMS.
2. Войти в безопасный режим. На большинстве Android-устройств это делается долгим нажатием кнопки питания, а затем долгим тапом по опции «Выключение». В безопасном режиме загружаются только системные приложения, и вы сможете удалить подозрительные APK.
3. Не сбрасывать настройки сразу. Сначала в безопасном режиме проверьте список всех приложений, особенно с правами администратора или доступом к Accessibility. Удалите неизвестные.
4. Если троянец не найден — сброс до заводских настроек. Это единственный гарантированный способ очистки. Обязательно сделайте резервную копию контактов и медиафайлов вручную, не используя облачный бэкап, который может быть заражён.
5. Смена паролей – следующий шаг. Меняйте пароли ко всем критическим сервисам (почта, банк, соцсети) только с чистого устройства: с компьютера или другого телефона.

Как не стать целью: профилактика жёстче, чем кажется

Забудьте про правило «не переходить по подозрительным ссылкам». Сейчас ссылки неотличимы от легитимных. Правила другие:

• Отключите установку приложений из неизвестных источников на системном уровне. В современных Android это делается для каждого приложения отдельно (например, для браузера). Оставьте эту опцию выключенной.
• Отключите или максимально ограничьте службы Accessibility для всех приложений, кроме действительно необходимых (например, для скринридеров). Регулярно проверяйте этот раздел в настройках.
• Включите в настройках Google Play (или его аналогов) функцию «Play Protect» для проверки устанавливаемых приложений, но не полагайтесь на неё полностью.
• Используйте почтовый клиент или мессенджер, который проверяет и предупреждает о подозрительных ссылках перед открытием.
• Для критически важных операций (банк, работа) выделите отдельное устройство с минимальным набором приложений, с которого вы не переходите по каким-либо ссылкам вообще. Это радикальный, но единственный по-настоящему надёжный метод в корпоративной среде.

Техника атак через SMS эволюционировала от примитивного фишинга до сложных многоступенчатых операций, использующих фундаментальные уязвимости в доверии пользователя к каналу связи и в легальных возможностях мобильных ОС.