МегаФон выявил вредоносное программное обеспечение, встроенное в прошивку ряда кнопочных телефонов Nokia 105 и Nokia 106 (DUAL). Вирус затронул около 280 устройств, которые, вероятно, являются поддельными или модифицированными аппаратами.
Сигналом для расследования стал аномальный сетевой трафик: телефоны обменивались данными, нехарактерными для кнопочных устройств базового класса. Нормальные функции SIM-карты или телефона не могли объяснить такие передачи информации.
Вредоносное ПО встроено непосредственно в прошивку и запускается сразу после подключения к мобильной сети. Модуль связывается с удалённым управляющим сервером, готов принимать команды злоумышленников и при этом не оставляет следов в памяти или истории устройства.
Главная функция трояна — скрытный перехват входящих SMS. Это позволяло хакерам использовать мобильные номера жертв для регистрации Telegram-аккаунтов без ведома владельцев телефонов.
Пользовательские способы очистки или перезагрузки телефона бессильны против вредоносной прошивки, поскольку она встроена «из коробки» и не зависит от действий владельца. МегаФон отмечает, что затронута лишь небольшая часть устройств с изменённой прошивкой, а не вся линейка Nokia 105 и 106.
Благодаря внутренним системам мониторинга оператор смог быстро выявить заражённые аппараты и заблокировать доступ к управляющим серверам, тем самым защитив абонентов от дальнейших атак.
На первый взгляд недорогие кнопочные телефоны воспринимаются как безопасные и простые устройства, удалённые от сложных угроз смартфонов. Однако этот случай показывает, что поддельные или модифицированные бюджетные телефоны становятся новым полем для кибератак. Производители, операторы и покупатели вынуждены внимательно проверять подлинность и безопасность таких устройств.
В глобальном тренде роста сложных атак на IoT и недорогие гаджеты эта история с Nokia 105 и 106 — очередное подтверждение того, что дешёвый девайс с элементарной функциональностью может оказаться площадкой для скрытого сбора данных и управления с удалённого сервера.