Что делать, чтобы телефон не стал «зомби» для бесплатной добычи цифровых денег?
Криптомайнеры, или майнер-боты, — это вредоносные программы, которые добывают криптовалюту, используя вычислительные мощности устройства без ведома его владельца. По данным «Лаборатории Касперского», каждый шестой телефон из общего числа зараженных взламывают именно программы-майнеры. Они расходуют аппаратные ресурсы: телефон начинает греться, аккумулятор — быстрее разряжаться, а программы открываются медленнее обычного. Кроме того, увеличивается расход интернет-трафика. В критических ситуациях аккумулятор может даже вздуться. Какие риски существуют для пользователя «зомби»-смартфона и как распознать, что гаджет стал частью чьей-то виртуальной криптофермы, — разбирались «Известия».
Рабы криптомайнеров
Попавшая в устройство пользователя вредоносная программа (ВПО) независимо от своих функций становится эффективной мишенью для будущих атак. Злоумышленники, промышляющие криптомайнингом, стремятся завладеть максимальными объемами чужих вычислительных ресурсов.
Для этого используют несколько подходов: компрометация смартфона или планшета фишинговыми рассылками, посещение поддельных сайтов и приложений, с которых скрытно загружаются и устанавливаются программы-майнеры, предупреждает специалист Лаборатории компьютерной криминалистики компании F.A.С.С.T. Игорь Михайлов.
Так, например, совсем недавно, аналитики F.A.C.C.T. обнаружили скрытую «активность» криптомайнеров на сайте онлайн-словаря синонимов русского языка с посещаемостью более 5 млн уникальных визитов в месяц. Злоумышленники разместили «ловушку» — скрипт, тайно устанавливавший на телефоны жертв ВПО для последующего скачивания майнера криптовалюты. Как правило, из таких скомпрометированных устройств выстраивалась бот-сеть, которой злоумышленники управляли централизованно.
— По скрытому майнингу, как и по любым другим вирусам, статистики очень мало. На то они и вирусы, что их сложно обнаружить, — разъясняет руководитель группы мобильной разработки компании «Рексофт» Олег Иванов.
По словам эксперта, некоторым злоумышленникам удается загрузить в Google Play поддельные версии официальных приложений с включенным майнером, чтобы их скачали тысячи пользователей. Благодаря этому злоумышленник получает криптовалюту, не неся никаких расходов. Ему не надо платить ни за устройство, ни за электричество, ни за интернет.
Аналитик исследовательской группы Positive Technologies Наталия Юшкова отмечает, что Android-устройство может статью частью криптофермы, даже если это не мощный телефон последней модели. Ведь майнер может работать как во время использования конкретного вредоносного приложения, так и в фоновом режиме.
— Опасность криптомайнеров заключается не только в высоком потреблении ресурсов смартфона. Часто вредоносная программа, помимо тайного майнинга, похищает с устройства конфиденциальную информацию или загружает новые вредоносные приложения. Так, на устройстве может оказаться стилер или банковский троян. Это поставит под угрозу данные банковских карт и сохранность денежных средств.
Эксперт по кибербезопасности в «Лаборатории Касперского» Антон Кивва подчеркивает: риски столкнуться с такими атаками у пользователей действительно есть.
— Наиболее очевидное последствие в том, что пользоваться телефоном станет затруднительно: он может тормозить, перегреваться и даже выйти из строя, — поясняет Кивва. По его словам, эксперты лаборатории изучили Android-троян Loapi, который в том числе мог майнить криптовалюту, и выяснили, что через двое суток после заражения у тестового смартфона от перегрева вздулась батарея.
Но следует помнить, что майнер может быть лишь небольшой частью комплекса вредоносного ПО, которое скрытно работает на устройстве и совершает много опасных действий.
Руководитель отдела информационной безопасности «СерчИнформ» Алексей Дрозд добавляет, что некоторые смартфоны могут быть заражены вредоносным ПО прямо на заводах или впоследствии силами недобросовестных подрядчиков. Речь идет о перепрошивке устройства или предустановке приложений.
Для вирусов-майнеров действуют те же правила, что и для остального вредоносного ПО, пояснил эксперт Лиги безопасного интернета Никита Павлухин.
— Устройства заражаются ими при скачивании, установке и открытии файлов из ненадежных источников — пиратских ресурсов, торрент-трекеров, писем от неизвестных отправителей и так далее. Известны случаи, когда майнеры были вшиты внутрь видеоигр, распространяемых пиратами, — пояснил эксперт.
— После такого майнинга очень сильно изнашивается «железо» — комплектующие устройства. Процессор и видеокарта выйдут из строя гораздо раньше положенного. Кстати, как правило, вирусы-майнеры не занимаются кражей личных данных, однако в некоторых случаях они могут похищать пароли от аккаунтов и криптокошельков пользователей, — указал Никита Павлухин.
Как понять, что вы — криптозомби
Эксперты F.A.С.С.T. перечислили приметы, по которым можно понять, стал ли смартфон частью криптофермы:
— на устройстве быстро садится аккумулятор, смартфон сильно нагревается;
— вы наблюдаете несанкционированный запуск приложений, ухудшение производительности, зависания и частые перезагрузки устройства;
— значительный рост объема передаваемых данных. Если используется мобильная сеть, то это особенно заметно на остатках пакетов интернета в тарифных планах операторов.
Обычно майнеры используют процессор (CPU) или графический процессор (GPU), но это не всегда так: майнинг развивается и появляются новые алгоритмы. Например, сегодня мошенники могут также использовать память устройства (ПЗУ или ОЗУ), говорит руководитель группы мобильной разработки компании «Рексофт» Олег Иванов.
— Более умные майнеры могут варьировать мощность своей работы в зависимости от мощности устройства и его загрузки на текущий момент. Например, работать ночью, когда смартфон не используется, — пояснил эксперт.
Генеральный директор Security Vision Руслан Рахметов напоминает, что признаками вирусного заражения, включая заражение криптоджекерами, будут сильный нагрев устройства, даже когда вы с ним не работаете, притормаживание при вводе текста на экранной клавиатуре и долгое переключение между открытыми окнами.
— Но есть вероятность и того, что вирус, изначально «занятый» майнингом, начнет похищать информацию со смартфона. Владельцы бот-ферм могут одним кликом мышки изменить конфигурацию мобильного вируса и отправить ему команду на кражу или удаление данных с устройства, — говорит Рахметов.
При возникновении подозрений на вирусное заражение надежнее всего будет отключить аппарат от интернета, скопировать данные на новую флешку и выполнить полный сброс устройства до заводских настроек, пояснил эксперт.
Как защититься от криптомошенников
В Positive Technologies советуют для защиты от криптомайнеров использовать на смартфонах решения типа «песочница». С помощью запущенного в изолированной виртуальной среде файла «песочница» проанализирует действия гаджета в системе и предупредит пользователя, безопасен ли он.
— Следует придерживаться основных правил безопасности: скачивать приложения только из официальных источников (магазинов приложений или с сайтов компаний-разработчиков), а также использовать защитное решение, — напоминают в «Лаборатории Касперского».
Алексей Дрозд из «СерчИнформ» рекомендует ставить специальные утилиты.
— Некоторые компании даже выпускают отдельные утилиты для проверки устройств на предмет заражения определенным ВПО. Например, одна российская ИБ-компания выпускала специальную утилиту, которая выявляла заражение iPhone вирусом-шпионом Pegasus, — отмечает специалист.
Руководитель отдела исследований и разработок BitRiver Игорь Брюзгин раскрывает следующие методы борьбы со скрытым майнингом на мобильных устройствах.
— Надо наблюдать за работой устройства, и при торможении на рутинных задачах проверять на наличие работающих сторонних приложений и служб. В случае подозрений нужно создать резервную копию данных телефона и сбросить настройки до заводского состояния, — говорит он.
Эксперт BitRiver предлагает в качестве метода профилактики для борьбы со скрытыми вредоносными процессами использовать правила минимально достаточных прав для установленных приложений. Например, если приложение для просмотра фильмов требует прав на использование микрофона и геолокации, то стоит пересмотреть все права для данного приложения. Этот метод позволит быть уверенным, что без участия пользователя выполнение каких-либо фоновых задач не будет разрешено, замечает Брюзгин.
В поисках защиты
В России до сих пор не принят закон, полностью регулирующий криптовалюты и связанные с ними операции. В настоящее время правовое положение криптовалют в стране неоднозначно и вызывает разные толкования, указывает сенатор Артем Шейкин. Это связано с тем, что криптовалюты и майнинг являются относительно новыми явлениями, которые до сих пор не были полностью изучены и урегулированы во многих странах мира.
— При регулировании криптовалюты и майнинга необходимо уделить особое внимание скрытому майнингу. Наказание за него должно быть пропорциональным объему полученной незаконным путем прибыли. Оно может включать штрафы или лишение свободы в зависимости от тяжести преступления и ущерба, причиненного лицу.
Законодатель сообщил, что сейчас в парламенте уже рассматривается ряд законопроектов и предложений экспертов по данному вопросу. В ближайшее время некоторые из них могут быть реализованы.