У нас в России этот вид мошенничества только набирает обороты, но Это Россия! как сказал классик, поэтому у меня нет никаких сомнений в том, что в скором времени у нас будет новая волна жертв ушлых мошенников. Сейчас USSD запросы встраивают в QR коды и NFC-метки...
Всем привет! Сегодня я расскажу вам историю, которая приключилась со мной месяц тому назад. Уже во второй раз за год. Телефон лежал на столе, я его не трогал и спокойно пил себе кофе, как вдруг! Экран включился на пару секунд и я заметил, что телефон отправляет куда-то USSD запрос, и... на этом все... Экран снова погас. Что это было? Как проверить историю USSD запросов? На что меня подписал мой телефон, и как он это сделал? Об этом мы сегодня и поговорим. Материал поделен на несколько частей:
- Что произошло?
- Почему так происходит?
- Что делать, и как вычислить вредителя, который тратит ваши деньги?
Имейте в виду, что в этом материале речь пойдет не только об USSD запросах, но и о других воришках, которые маскируются под самые безобидные приложения. Детская игра запросто может пару раз в неделю отправлять СМС-команду, которая будет списывать с вашего лицевого счета несколько десятков рублей, и вы спохватитесь только тогда, когда вам не хватит денег на осуществление жизненноважного телефонного вызова... Конечно я немного утрирую 😅 но закон подлости еще никто не отменял. И еще, это очень полезная статья, обязательно поделитесь с друзьями. В конце вас будет ждать видеоинструкция.
Что произошло?
Чтобы не утомлять вас пересказом диалога с сотрудником службы поддержки оператора сотовой связи, я приложу ссылку на запись разговора на облачное хранилище Яндекс.Диск (просто платформа Дзен пока еще не позволяет вставлять аудиозаписи в текстовые публикации).
Вкратце: с моего телефона был отправлен USSD запрос, который подписывает абонента на развлекательную рассылку "Cyberhero" - стоит она 20 рублей в сутки. Я не стал вникать в ее суть, это проект Tele2, запустили его в 2018 году, и подписаться на нее может любой желающий, то-есть, не только абонент Tele2, но и абоненты других операторов сотовой связи. Это могла быть и СМС-команда, но конкретно в моем случае это был USSD запрос, так как работник службы поддержки не увидел никаких исходящих СМС-сообщений с моего номера. В таких случаях всегда надо обращаться в службу поддержки, так как если бы эта была СМС'ка, то я бы ее не увидел - программы-воришки уже давно научились чистить исходящие и входящие СМС-сообщения. Реальные данные имеются только у оператора сотовой связи.
В моем случае виновником оказалась модифицированная программа, которую я скачал с довольно популярного ресурса в интернете, где выкладывают приложения, вылеченные от рекламы. Она мне нужна была для съемки на моем YouTube-канале. Я ее вычислил через пару дней. Как это сделать я вам покажу чуть далее.
Почему так происходит?
Я не хочу быть сторонником теории заговоров, но меня уже во второй раз подписывают на платную рассылку оператора сотовой связи. Мне кажется, что это кому-то выгодно... и, по-моему, "победителем" здесь выступает только оператор связи. Я уверен, что у них есть какие-нибудь партнерские программы, где распространители получают денежное вознаграждение за каждого "привлеченного" абонента. А вот какими методами они пользуются, операторов сотовой связи уже совсем не волнует. Я даже более чем уверен, что по договору они белые и пушистые, а злостным нарушителем является непосредственно распространитель. Напишете в комментариях, что вы сами думаете по этому поводу. Но мы здесь ради фактов.
В программу встраивается код, который не считается вредоносным - поэтому чаще всего антивирусы пропускают подобные приложения во время сканирования системы. К чести мобильного антивируса Avast и еще одной полезной утилиты "Anti Spy" - они хотя бы помечают их, как "подозрительные", но по сути вирусами их все равно не считают. Просто у программы есть разрешение на осуществление телефонных вызовов или отправку СМС-сообщений. Что в этом такого? Да в принципе ничего страшного. Такие разрешения есть у WhatsApp, Viber и десятка других приложений, которыми мы пользуемся ежедневно. Даже у некоторых музыкальных проигрывателей (чтобы ставить воспроизведение музыки на паузу, когда вам поступает входящий вызов, и тут же его возобновлять, когда разговор закончился). Но зачем такое разрешение фоторамке, детской игре, или приложению, которое предназначено для анализа фотографий? а если это текстовый редактор? Вот тут уже стоит задуматься...
Что делать и как вычислить вредителя?
Меня подписали на рассылку 18 августа. До этого никаких проблем не было. Отправлять USSD запросы могут приложения, у которых включено разрешение "Телефон". В случае с СМС-сообщениями должно быть включено разрешение "SMS". Устанавливаем на телефон бесплатную программу "App Install Date", вот ссылка: https://clck.ru/XodbP (Google Play, я буду публиковать ссылки по мере необходимости, но в конце материала все они сгруппированы в блоке "Ссылки на чудо"). Запускаем ее. Ищем 18 августа. Если вы не знаете точной даты, когда вас подписали на рассылку, но уже столкнулись с денежными "потерями" - звоните в службу поддержки оператора сотовой связи и уточните у них, когда ваша подписка стала активной. Это и есть необходимая нам дата. Запускаем "App Install Date" и смотрим, какие приложения были установлены в промежутке 1,5 недели до того как.
Почему 10 дней? Чаще всего приложения ведут себя безобидно первые 24 часа, либо ждут команды извне, когда и на что нужно оформлять подписки. Таким образом мы сужаем для себя круг подозреваемых. Если программы были загружены из магазина Google Play, то с них сразу же можно снять все подозрения. В моем случае был только один подозреваемый - это приложение "noname". Я не хочу писать реальное название программы, так как сам дурак и скачал себе модифицированную версию. Авторы оригинального приложения, которое можно скачать из Google Play, никакого отношения к мошенникам не имеют. В свое оправдание могу сказать, что ресурс был проверенный, я пользовался им несколько лет. Я более чем уверен, что многие из вас также имели опыт работы с ознакомительными версиями программ. В любом случае надо подтвердить свои догадки. Если подозреваемый только один, то проходим в свойства программы (раздел "О приложении") и смотрим, какие разрешения ему были выданы. Если же программ много, то лучше воспользоваться утилитой "PerChecker": https://clck.ru/Xog3E (все ссылки исключительно на официальный магазин Google Play).
Запускаем программу, переходим в раздел "Statistics", выбираем категорию "Phone Call" (или "Short Messages", если это была СМС-команда) и ищем в списке доступных приложений те, на которые пали подозрения. Если звезды сошлись, то с вероятностью 90% проблема именно в нем (них). Удаляйте. Антивирус все равно не сможет дать точного ответа, а мы действуем исходя из логики. Есть программа "Anti Spy" - я про нее уже писал. Как она может помочь? Программа сверяет вашу версию приложения с той, что находится в магазине Google Play, и если есть каике-то отклонения от оригинала, то она вас об этом предупреждает. То-есть, приложение 100% было модифицировано, и тогда смело можно его удалять, дабы избежать каких-либо проблем в будущем (ссылку на обзор программы я опубликую в самом конце статьи).
Как не пропустить фоновые USSD запросы?
Есть замечательная программа, которая называется "USSD Notifications": https://clck.ru/XohAG Что она делает? Программа всегда работает в фоне, ее размер чуть больше 8 мегабайт, и она мониторит все USSD запросы, которые осуществляются на вашем устройстве (кроме "инженерных", например:
*# 06# (универсальный код, который показывает IMEI и MEID вашего мобильного устройства | между решеткой и цифрой ноль у меня пробел, так как Дзен автоматически маркирует текст как хэштег))
Она ведет журнал, где фиксирует время запроса, а также ответ на него. Если вы прослушали наш разговор с сотрудником службы поддержки, то наверняка обратили внимание, что я успел заметить только фрагмент текста "киберхиро" и все. Так вот, "USSD Notifications" журналирует все эти события, и даже если запрос был фоновый, то вы все равно сможете прочитать, на что именно вас попытались подписать. Если в настройках утилиты вы включите режим "Notifications", то программа продублирует событие в шторку уведомлений, то-есть, вы сразу увидите, что произошло пока вас не было, когда разблокируете свой телефон.
Еще можно добавить в этот список защитников вашего лицевого счета приложение "G Data USSD Filter". В России этот вид мошенничества только набирает обороты, но я уверен, что в скором времени у нас будет новая волна жертв ушлых мошенников. Сейчас USSD запросы встраивают в QR коды и NFC-метки. То-есть, вы хотите "прочитать" камерой текст, зашифрованный в QR-коде, или просто приложить телефон к турникету (например, в тренажерном зале), а какой-нибудь подлец приклеил там NFC-наклейку, и вы, даже не подозревая подвоха, добровольно отдаете ему свои деньги. Программа перехватывает подобные запросы и блокирует их.
Очень надеюсь, что данный материал вам понравился. Всем добра! И подписывайтесь на мой канал - здесь каждую неделю выходит подобная годнота: обзоры фильмов, игр и многое другое ✌
Ссылки на чудо (Google Play, Яндекс.Диск и Яндекс Дзен):
- "Anti Spy" - https://zen.me/1aQKs2x2
- "App Install Date" - https://play.google.com/store/apps/details?id=bennett.dave.appinstalldate
- "USSD Notifications" - https://play.google.com/store/apps/details?id=com.aavitech.ussd.notification&hl=ru&gl=US
- "G Data USSD Filter" - https://play.google.com/store/apps/details?id=de.gdata.labs.telurlblocker&hl=ru&gl=US
- Фрагмент моего разговора с сотрудником службой поддержки оператора сотовой связи - https://yadi.sk/d/8fik8Duc56eGLw
- Видеоинструкцию можно посмотреть на этом YouTube-канале - https://www.youtube.com/c/vladimirpolnikov/videos (буду рад, если подписчики моего блога на Яндекс Дзен тоже подпишутся)
