В кнопочных Nokia, одобренных со стороны ВС РФ, нашли встроенный зловред для перехвата SMS

В кнопочных телефонах Nokia, продаваемых в РФ, обнаружено вредоносное ПО, активируемое сразу при подключении SIM-карты и присоединении аппарата к сотовой сети, сообщили SecPost в «МегаФоне». Всего оператор обнаружил порядка 280 зараженных устройств, речь идет о моделях 105 и 106 (DUAL) Nokia. С помощью трояна устройство передает свои данные управляющему серверу и готово получать от него команды — при этом оно способно на перехват входящих SMS-сообщений. Аналитики оператора не исключают, что этот зловред может перехватывать коды авторизации от банков и сервисов.

«Внимание экспертов привлекла аномалия — обмен данными, который не предусмотрен базовым функционалом таких телефонов: ни с помощью SIM-карты, ни с помощью Wi-Fi», — пояснили в компании.

SecPost обратился к отечественным ритейлерам, чтобы узнать, насколько популярны эти модели в России. Как сообщили в пресс-службе Wildberries, модели Nokia 105 и 106 пользуются популярностью, «речь идет о десятках тысяч проданных штук». SecPost обнаружил в продаже подобные устройства в сети «М.Видео-Эльдорадо», маркетплейсе Ozon и др. По итогам 2024 года в России было продано около 4,3 млн кнопочных телефонов на сумму 7,3 млрд рублей, что на 9% меньше, чем за 2023 год в натуральном выражении, сообщал TAdviser.

В «М.Видео-Эльдорадо» заявили SecPost, что рынок кнопочных телефонов и конкретно Nokia 105 и 106 «слишком мал» и не дали никаких данных. В Ozon отказались от комментариев.

SecPost также обратился в пресс-службу компании Nokia. На момент выхода материала ответ не поступил.

От «Госуслуг» до банковских приложений: как может использоваться зловред

Аналитики «МегаФона» уже зафиксировали схемы, при которых злоумышленники создавали аккаунты в Telegram с использованием номеров зараженных телефонов. SMS-коды подтверждения перехватывали при помощи трояна. Эксперты не исключают, что таким образом вредонос может действовать и в других схемах: отправлять сообщения без ведома пользователя, совершать скрытые звонки на номера с поминутной тарификацией и других.

«При этом пользователи могут и не заметить признаков таких действий: вредоносное ПО скрывает нелегитимные действия из истории звонков и сообщений», — подчеркивают в компании. Риски для пользователя могут быть существенными: номер могут заблокировать из-за спама, а из-за перехваченных кодов подтверждения злоумышленник может получить доступ к учетным записям жертвы.

Руководитель отдела системного администрирования Simpl Константин Ильных приводит и другие примеры использования трояна. Хакер может регистрироваться на финансовых платформах, включая биржевые сервисы, оформлять операции и потенциально загонять человека в долги — и все это без ведома жертвы. «Более того, при длительном скрытом наблюдении злоумышленники могут собрать информацию о круге общения человека, после чего подключить методы социальной инженерии и использовать данные для атак уже на его окружение», — отмечает Ильных.

В «МегаФоне» говорят, что с технической стороны уязвимость вышеупомянутых аппаратов кроется в прошивке — в неё встроен вредоносный модуль, который выполняет команды, поступающие с удаленного сервера. Команды могут включать фильтрацию сообщений для скрытия от пользователя. «При этом никаких индикаторов скрытой активности нет — внешне телефон работает штатно», — отметили в «МегаФоне».

Выявить заражение на собственном устройстве можно только с помощью специализированного подхода. Для этого нужно отследить, какие данные передаются, куда и каким образом, отмечает старший преподаватель лаборатории развития и продвижения компетенций кибербезопасности компании «Газинформсервис» Даниил Смирнов.

«Определить наличие такого зловреда технически неподготовленному пользователю практически невозможно, — говорит Ильных. — Кнопочные телефоны работают на разных операционных системах и архитектурах, для которых почти не существует антивирусных решений».

В «МегаФоне» отметили, что заблокировали доступ к управляющим серверам в своей сети — и зараженные устройства будут безопасны в сети «МегаФона». Но при подключении к другой сети, предполагают специалисты, они, скорее всего, возобновят передачу. Также в «МегаФоне» протестировали партию аналогичных моделей из собственного ритейла — разные серии и сроки производства — и не выявили вредоносов. Адреса управляющих серверов при этом были переданы в госструктуры для блокировки по всей стране.

SecPost направил запросы в Минцифры и Минпромторг, чтобы узнать, известно ли об этой проблеме. На момент выхода материала ответ не поступил.

Уровень безопасности: мифический

Специалисты «МегаФона» отмечают, что такие случаи заражения обходят все привычные механизмы защиты и базовые рекомендации, подходящие для смартфонов. Здесь бессилен антивирус, не поможет обновление системы, разрешения приложений не ограничишь. «Устройство опасно „из коробки“ — уязвимость не является следствием действий пользователя, — подчеркивают в „МегаФоне“. — Это разрушает распространённый миф о безусловной безопасности кнопочных аппаратов».

В «МегаФоне» обращают внимание, что многие считают кнопочные телефоны надежной альтернативой смартфонам: нет камеры, чтобы подсмотреть, а при отсутствии мобильного интернета или Wi-Fi риски взлома якобы сведены к минимуму. Но получается парадоксальная ситуация, отмечают в «МегаФоне»: «Внешне примитивное устройство оказывается даже более уязвимым, чем смартфон, потому что его нельзя „полечить“ установкой защитного ПО или настройкой приватности».

Ильных из Simpl отмечает, что кнопочные телефоны — это устаревшие технологии, которые сейчас считаются небезопасными. С помощью специального оборудования, вроде SDR-приемников, можно перехватывать трафик старых устройств и прослушивать эфир. «Старые стандарты связи проще поддаются перехвату, — поясняет Ильных. — Их преимущество лишь в том, что сигнал может лучше проходить в сложных условиях, например, в подвалах, но с точки зрения безопасности они гораздо рискованнее смартфонов».

«МегаФон» советует пользователям кнопочных телефонов, подозревающим, что их устройство заражено, заказать детализацию звонков и сообщений у своего оператора. Так можно будет узнать, не проходили ли через устройство сообщения, о которых пользователь не в курсе. Устройства советуют покупать у проверенных поставщиков, отдавая предпочтение официальным магазинам и проверенным ритейлерам.

Сделано в Китае, продано в «серую»

Не исключено, что модели 105 и 106 Nokia были OEM-устройствами. То есть Nokia отвечала только за разработку продукта, его дизайн, технологии и спецификации — непосредственно производством занимался подрядчик. Руководитель направления локализации продукта Fplus Алексей Герасев приводит «классический пример»: Apple разрабатывает iPhone, а собирает его Foxconn. Герасев отмечает, что Nokia не поставляет продукцию в Россию с 2022 года, но ее телефоны доступны через механизм параллельного импорта, и в такой ситуации риск действительно есть. Без официальной поддержки пользователь может столкнуться с тем, что в случае обнаружения ВПО он не сможет обновить прошивку устройства через сервисный центр.

По словам Герасева, безопасность OEM-устройств обеспечивается тщательным тестированием перед выпуском на рынок — продукция должна проверяться на наличие вредоносов. Этот процесс бренд должен самостоятельно контролировать, подключать тестовые лаборатории и сервисные центры подрядчиков для прошивки или установки патчей.

Как указывает основатель «Суверенной мобильной инициативы» (СМИ Холдинг), экс-президент и соучредитель «Национальной компьютерной корпорации» (НКК) Александр Калинин, бренд Nokia принадлежит финскому производителю Human Mobile Devices, который производит свои телефоны на китайских фабриках. Смирнов из «Газинформсервиса» отмечает, что предустановленные зловреды также находили в телефонах из Китая в 2021 году. Зловред сам оформлял подписку на премиум-SMS, аналогичные проблемы встречаются и на Android-устройствах. «Ярким примером является троян Triada, который может попасть в прошивку ещё до того, как устройство окажется у пользователя», — отмечает Смирнов.

Продажи уступают, но продолжают расти

В 2022 году российские операторы зафиксировали, что количество проданных кнопочных мобильных телефонов выросло втрое на фоне частичной мобилизации. Как заявлял Forbes главный редактор журнала «Арсенал Отечества» полковник запаса Виктор Мураховский, призванные по частичной мобилизации имели право взять с собой в дорогу только кнопочные устройства. Среди популярных моделей в дни мобилизации называли в том числе Nokia 105. Эта же модель, кстати, в 2018 году была включена в список разрешенных мобильных телефонов, одобренный Генштабом ВС РФ, писал Hi-Tech Mail.

Сейчас ситуация на рынке кнопочных устройств выглядит несколько иначе. Как рассказали в Wildberries, темпы роста продаж кнопочных телефонов значительно уступают смартфонам. Если продажи смартфонов за прошлый год почти удвоились, то кнопочных телефонов — выросли на 36%. «По общему объему продаж они, конечно, уступают смартфонам», — отметили в компании, не называя цифр.

Как отметил на условиях анонимности один из опрошенных SecPost экспертов, среди кнопочных телефонов, одобренных Минобороны для рядового состава, до сих пор нет российских брендов.

Большинство российских брендов работают по схеме ODM, при которой завод создает продукт, а заказчик уже выбирает из каталога и может его несколько модифицировать, отметил Герасев из Fplus. OEM-практика на отечественном рынке не распространена, так как создание кнопочных телефонов с нуля экономически нецелесообразно.

По словам Калинина, уже у трех российских брендов кнопочных телефонов ранее обнаруживались недокументированные возможности прошивки, благодаря которым злоумышленники могли удаленно и скрытно получать и отправлять SMS. «Такие проблемы могут возникать там, где в целях экономии не соблюдаются стандарты безопасной разработки, и уязвимость или вредоносный функционал могут быть внедрены злоумышленником без ведома производителя», — отмечает предприниматель.