Такого прикола я МАХимально не ожидал

PS. Текст написан ИИ, но ситуация реальная, случилась буквально полчаса назад. Пишу как было, выводы делать только Вам.

Скрытая угроза в кармане: Как "безобидное" приложение превратило мой смартфон в зомби

Мы привыкли доверять своим смартфонам. Они будят нас по утрам, хранят наши фотографии, через них мы общаемся и совершаем покупки. Но задумывались ли вы когда-нибудь, чем занят ваш телефон, пока лежит на столе с выключенным экраном?

Недавно я проводил плановую настройку и диагностику своего домашнего Wi-Fi роутера. Ничего необычного — просто проверял стабильность соединения и распределение трафика. И тут в журнале подключений я заметил нечто пугающее.

Мой смартфон (вполне обычный современный аппарат) вел себя так, будто им завладел хакер. Он ежесекундно генерировал десятки запросов к случайным серверам по всему земному шару.

Я начал разбираться, и оказалось, что виной всему — одно популярное приложение. Рассказываю, что произошло, чем это грозило и почему вам стоит прямо сейчас проверить свой телефон.

Странности в сети: эффект «дерганья ручек»

Чтобы вы поняли масштаб проблемы, объясню технические моменты простым языком. Представьте, что вы пустили к себе домой гостя. А он, вместо того чтобы пить чай, начал бегать по вашему подъезду и дергать ручки всех соседских дверей — вдруг где-то открыто?

Именно это делал мой телефон. В логах роутера я увидел две очень специфические активности:

1. Подбор паролей. Телефон массово стучался на так называемый «порт 22». В IT-мире этот порт используется для удаленного управления серверами. Мой смартфон пытался подобрать чужие пароли к серверам где-то в Европе и Азии.
2. Охота на умные камеры. Вторая волна запросов шла на порты, отвечающие за передачу потокового видео (RTSP). Иными словами, телефон сканировал интернет в поисках уязвимых домашних камер видеонаблюдения или умных дверных звонков, чтобы получить к ним доступ.

Чистый, нормальный Android никогда не будет делать ничего подобного. Это классическое поведение вредоносной программы. Мой телефон стал частью чьей-то кибератаки.

Кто оказался виноват?

Я отключил телефон от Wi-Fi, чтобы обезопасить домашнюю сеть, и начал методично проверять установленные программы. Виновник нашелся быстро — им оказалось приложение под названием MAX.

Как только я принудительно остановил и удалил это приложение, сумасшедший поток трафика прекратился как по волшебству. Сеть успокоилась, телефон перестал сканировать чужие сервера.

Приложение оказалось классическим «троянским конем». Вы устанавливаете его, чтобы переписываться, а в фоновом режиме оно сдает мощности вашего устройства в аренду "злоумышленникам".

К чему это может привести, если не заметить вовремя?

Возможно, вы подумаете: «Ну и пусть сканирует чужие камеры, мне-то что? Мои фото он не украл». Но последствия для владельца зараженного смартфона могут быть весьма печальными:

• Блокировка от провайдера. Ваш домашний интернет-провайдер очень быстро заметит хакерскую активность, исходящую из вашей квартиры. По правилам безопасности, провайдер может просто отключить вам интернет «за участие в кибератаках и распространение вредоносного трафика». Доказывать, что это делал телефон, а не вы, придется долго.
• Телефон превращается в зомби. Ваше устройство становится частью так называемого «ботнета» (сети зараженных устройств). Хакеры могут использовать тысячи таких телефонов одновременно, чтобы «обрушить» сайт конкурента или банка.
• Убитая батарея и тормозящий интернет. Постоянная фоновая рассылка тысяч запросов нещадно съедает заряд аккумулятора и забивает канал связи. Телефон начинает греться и быстро разряжаться, а домашний Wi-Fi начинает необъяснимо «тормозить».
• На счёт подключения к камерам, даже писать не буду чем это чревато.

Как защитить себя? 3 простых правила

Ситуация с приложением MAX — отличный урок для всех нас. Чтобы не стать невольным участником хакерской группировки, следуйте этим правилам:

Наши смартфоны сегодня мощнее компьютеров десятилетней давности. И в чужих руках эта мощность может стать настоящим оружием. Будьте бдительны и берегите свою цифровую гигиену!

МАХ устанавливал для рабочей переписки, в песочнице. Но после этого решил приобрести под него отдельный смартфон. Вот такая жесть.

А вот оригинальный текст того, с чего начался поиск:

_________________________________________________________________

- Проанализируй список Активных соединений:

Если разобрать список по полочкам, мы увидим десятки случайных IP-адресов по всему миру, к которым идут агрессивные запросы по очень специфическим протоколам:

• TCP/22 (SSH): В логе больше пятнадцати одновременных попыток подключиться к разным серверам (155.117.235.119, 66.245.195.69 и так далее). Это чистый брутфорс. Какое-то устройство изнутри прямо сейчас пытается подобрать пароли к чужим машинам в глобальной сети.
• TCP/554 (RTSP): Это стандартный протокол потокового видео. Идет непрерывное сканирование интернета в поисках уязвимых IP-камер.
• Странные порты (553, 659, 805, 908): Типичное поведение IoT-ботнетов (вроде Mirai или его клонов), которые стучатся во все двери, пытаясь найти дыры в прошивках чужих роутеров и умных девайсов.

В этой простыне есть пара легитимных адресов Cloudflare и Fastly, но они буквально тонут в потоке сканирующего мусора.

Вывод напрашивается сам собой. Одно из локальных устройств заражено и сейчас работает как зомби-машина, участвуя в масштабной сетевой атаке.