Привет, с вами снова отдел реагирования и цифровой криминалистики Angara MTDR. Наш эксперт Александр Гантимуров, руководитель направления обратной разработки Angara MTDR, исследовал вредоносные APK-файлы, которые активно используют злоумышленники в социальных сетях и мессенджерах под видом срочной распродажи личных вещей.
Результаты исследования
Переданные на исследование APK-файлы незначительно отличаются по размеру и представляют собой ВПО семейства Mamont для Android. Зловреды предназначены для скрытного получения и отправки сообщений, сбора информации о заражённом устройстве, отправки USSD-команд, просмотра уведомлений и открытия произвольных URL.
Backdoor.Android.Mamont.12 (Mamont)
MD5 |
Имя файла |
Размер |
3333a455c87150b958986bc2760af528 |
Фото 24шт.apk |
9.73 MB |
05c8202b2570a86b47a7eca8db77e0d7 |
photo12.apk |
10.70 MB |
При открытии вредоносное приложение запрашивает доступ к получению и отправке SMS, а также к звонкам и камере.
После предоставления всех запрашиваемых разрешений открывается фишинговая страница, которая указана в настройках при создании приложения. В нашем случае открывается имитация сервиса по обмену изображениями. Такие ресурсы могут собирать пользовательские учётные данные.
В других случаях приложение может использовать вполне легитимный сайт, чтобы не вызывать подозрений у пользователя.
Разрешения
На заражённом устройстве вредоносное приложение получает следующие разрешения:
Разрешение |
Описание |
android.permission.SEND_SMS |
Отправка SMS |
android.permission.READ_PHONE_STATE |
Чтение состояния телефона (в том числе IMEI) |
Чтение SMS |
|
android.permission.RECEIVE_SMS |
Получение SMS |
android.permission.READ_CONTACTS |
Чтение контактов |
android.permission.RECEIVE_BOOT_COMPLETED |
Автозагрузка при старте устройства |
android.permission.FOREGROUND_SERVICE |
Работа в фоновом режиме |
android.permission.CALL_PHONE |
Осуществление звонков |
Доступ к камере устройства |
Защита от исследования
Для сокрытия вредоносного функционала и усложнения исследования все основные строки в приложении зашифрованы при помощи obfuse.NPStringFog.
После расшифровки они выглядят следующим образом:
Конфигурация
Основные настройки для осуществления деятельности хранятся в классе BuildConfig.
В большинстве случаев конфигурация хранится в открытом виде.
Дополнительно на удалённый сайт отправляется информация о работе приложение через класс RemoteLogger. URL для отправки также указан в открытом виде.
Кроме этого, в коде приложения реализован EnhancedRemoteLogger, который также может отправлять информацию, но в исследуемой нами версии ВПО он никак не используется.
Команды
Всё взаимодействие злоумышленника с удалённым сервером происходит через retrofit2. Команды и результаты работы отправляются в формате JSON.
Злоумышленник может отправлять следующие команды:
refresh_sms — отправить SMS на удалённый сервер;
get_permissions_status — отправить список доступных разрешений;
check_online — сообщить о доступности через интернет;
send_ussd — отправить USSD на указанный номер;
send_sms — отправить SMS на указанный номер;
open_link — открыть указанный URL во встроенном браузере;
delete_sms — удалить указанную SMS.
Особенности
В коде приложения есть отладочные комментарии и сообщения на русском языке.
В API для взаимодействия с удалённым сервером злоумышленника реализован метод uploadVerificationData, который в настоящее время никак не используется.
Судя по коду, подразумевается, что в перспективе злоумышленнику будут отправляться сведения о номере паспорта, дате рождения и информация об устройстве.
Кроме того, в коде приложения выявлены следующие неиспользуемые строки:
Это также говорит о планах по дальнейшему расширению функционала ВПО и добавлению возможности «пройти верификацию». Видеоматериалы с лицом пользователя могут использоваться для создания фишинговых сообщений и дальнейшего распространения.
Индикаторы компрометации
Исто��ник |
Тип |
Значение |
05c8202b2570a86b47a7eca8db77e0d7 |
url |
hxxps://photricity[.]com/flw/ajax/ |
05c8202b2570a86b47a7eca8db77e0d7 |
url |
hxxps://libertylibertypopcorn[.]live/ |
3333a455c87150b958986bc2760af528 |
url |
hxxps://libertydroid-xraycomm[.]top/remote_logs/log_receiver.php |
3333a455c87150b958986bc2760af528 |
url |
hxxps://libertydroid[.]com/remote_logs/log_receiver.php |
3333a455c87150b958986bc2760af528 |
url |
hxxps://ibb[.]co/MxnMtnGV |
3333a455c87150b958986bc2760af528 |
url |
hxxps://libertydroidwestthebest[.]live/ |
Yara
rule malware_android_Mamont_12 {
meta:
description = "[ Malware ] Detected Mamont malicious APK"
author = "Gantimurov/Angara MTDR"
date = "2025-11-20"
tlp = "WHITE"
score = 100
hash = "05c8202b2570a86b47a7eca8db77e0d7"
strings:
$s1 = "com.jaconda.infowebseq" wide
$m1 = "HeadlessSmsSendService" wide
$m2 = "SMSActivity" wide
$m3 = "PermissionHandlerActivity" wide
$m4 = "SMSReceiver" wide
$m5 = "SecretCodeReceiver" wide
$p1 = "android.provider.Telephony.SECRET_CODE" wide
$p2 = "android.permission.SEND_RESPOND_VIA_MESSAGE" wide
$p3 = "android.permission.BROADCAST_WAP_PUSH" wide
condition:
uint32be(0) == 0x504B0304 and // Android APK
($s1 or ( all of ($m*) and all of ($p*)))
}Итоги
Изучение данного вредоноса показало, что злоумышленники готовятся к широкомасштабной кампании по сбору персональных данных и последующему их использованию. Эксперты Angara MTDR настоятельно рекомендуют:
отключить автозагрузку файлов в Telegram и проверять формат файлов перед их скачиванием;
не устанавливать APK-файлы из сторонних источников, чатов и мессенджеров;
перед скачиванием файлов в форматах «.docx», «.xlsx» и «.pdf» проверять их на специальных сервисах, например на VirusTotal;
установить и использовать антивирусные приложения на мобильном устройстве.
Комментарии (133)
Viktor-T
05.12.2025 10:59Каждый раз, когда вижу подобные новости, готовлю и рассылаю своим старшим родственникам подобные предупреждения:
Посмотреть
Дорогие бабушки и дедушки, будьте осторожны с телефоном! Мошенники хотят украсть ваши деньги
Сейчас мошенники придумали очень хитрый способ залезть в ваш телефон и забрать все деньги с карты. Они делают это через обычный Telegram, WhatsApp, Viber или Max.
Они пишут вам: «Бабушка, продам всё недорого, вот фотографии вещей» или «Привет! Это ты на фото? Посмотри»
И присылают файл с названием вроде: Фото_24шт.apk photo2025.apk Альбом.apk
Это НЕ фотографии! Это вирус — вредная программа. Как только вы нажмёте на него и разрешите установить, он поселится в вашем телефоне навсегда.
Что делает вирус после установки:
Читает все ваши СМС (особенно коды из банка)
Видит, какие у вас приложения банка
Может сам отправлять СМС с вашего телефона
Открывает фальшивые страницы банка и крадёт пароли
Мошенники получают полный контроль и переводят ваши деньги себе
Как понять, что вас пытаются обмануть:
Человек присылает файл .apk вместо обычных фотографий (нормальные фото открываются сразу, без установки!)
Просит: «Установите это приложение, чтобы посмотреть фото» — это 100% обман
Файл весит 5–15 МБ (обычное фото весит 100–500 КБ)
После установки телефон сразу просит разрешить доступ к СМС, звонкам, контактам — сразу удаляйте!
МВД предупредило о рассылке вирусов под видом фотографий через Telegram Самое главное правило, запомните навсегда:
НИКОГДА не устанавливайте никакие .apk файлы из чатов! Даже если человек пишет «очень срочно», «последний шанс», «только для вас недорого» — это обман.
Фотографии приходят сразу в чат. Если не открываются — значит, это вирус. Удаляйте и блокируйте собеседника.
Примеры распространяемых файлов в группах мессенджера Telegram Что делать прямо сейчас:
Зайдите в настройки телефона → Безопасность → Установка приложений → выключите «Неизвестные источники» или «Установка из других источников»
Установите антивирус (Kaspersky, Dr.Web или встроенный Google Play Protect)
Если уже установили подозрительный файл — сразу выключите телефон и несите внукам или в сервис
Расскажите об этом всем своим подругам и соседкам. Перешлите это сообщение. Лучше десять раз перестраховаться, чем один раз потерять все сбережения.
Вы умные и осторожные — не дайте себя обмануть!
AWE64
05.12.2025 10:59я бы на месте дедушки скипнул эту простыню текста. нужно сократить
Viktor-T
05.12.2025 10:59Это была первая версия. Суть хотел показать быстро. Сейчас в сообщение помещается с небольшим запасом вместе с картинками. Если знаете как сделать ещё короче, покажите, пожалуйста.
Сейчас так
МВД предупредило о рассылке вирусов под видом фотографий через Telegram Примеры распространяемых файлов в группах мессенджера Telegram Дорогие бабушки и дедушки, будьте бдительны!
Мошенники атакуют в мессенджерах - шлют: «Купи недорого», «Это ты на фото?» и прикрепляют файл .apk под видом фотографий (Фото_24шт.apk, Альбом.apk и т.п.).
⚠️ Это НЕ фото, а вирус! Установишь — он получит доступ к телефону и сможет:
• перехватывать СМС с банковскими кодами
• тихо переводить ваши деньгиПризнаки обмана:
• вместо фото присылают .apk (настоящие фото открываются сразу)
• просят «установить приложение, чтобы посмотреть» — 100% развод
• файл весит 5–15 МБ (фото — максимум 500 КБ)
• после установки просит доступ к СМС, звонкам, контактам — сразу удаляйте!Главное правило:
❌ НИКОГДА не устанавливайте .apk из чатов! Даже если «срочно», «последний шанс», «только тебе».Фото не требуют установки. Не открылось сразу — удалите и заблокируйте отправителя.
Если уже установили — сразу выключите телефон и несите специалисту.
Перешлите своим близким. Лучше 10 раз предупредить, чем потерять все деньги.
Вы у нас умные — не дайте себя обмануть! ❤️
m0tral
05.12.2025 10:59У старшего поколения, это в одно ухо влетело, в другое вылетело, триггеры на которые вы рассчитываете не запоминаются, да, отпечаток в памяти, что все кругом пытаются украсть и есть какие то треклятый вирусы - максимум.
Я говорю просто, если видишь непонятную фигню, звони мне или другому родственнику, который подскажет что и как сделать.
Встречал в Вайлдберриз бабушку, которая хотела купить товар за рубль, но сильно сомневалась и пришла к ним чтобы спросить, самое правильное поведение я считаю, объяснил ей и подсказал как поступить.
nixtonixto
05.12.2025 10:59У старшего поколения ещё одна проблема - они своих детей считают детьми, которые ещё маленькие. Поэтому 25-летнему консультанту в магазине они верят как авторитету, 30-летнему майору в телефоне верят, а на слова 40-летнего сына смотрят снисходительно и переводят всё на шутку. Сейчас деточка покричит и успокоится. Поэтому в критической ситуации к ним даже не приходит мысль проконсультироваться или хотя бы уведомить "ребёнка".
MountainGoat
05.12.2025 10:59Вы не понимаете, по каким алгоритмам работают пенсионеры. Моей бабушке позвонили на мобильный телефон и сказали "Продиктуйте ваш номер паспорта". Сразу побежала за паспортом, чтобы продиктовать. Ведь они же банком не представлялись, майором тоже, кодов не спрашивали – значит не мошенники.
Перед этим кстати звонили другие – с городского номера, из фонда ветеранов, сразу обратились по ФИО и назвали село, где она во вторую мировую жила и первое место работы – так вот этих бабушка послала. Перестарались. Кстати, мы эту инфу в соцсетях точно не писали, потому что мы ничего в соцсетях не писали.
Popadanec
05.12.2025 10:59Это к сожалению от возраста не зависит. Одни могут понять что происходит что то не то, даже если не разбираются в ситуации(вроде: "а зачем фото просмотр смс?"), другие как зомби. Меня несколько раз мошенники пытались разводить и способы были, про которые я не знал. Но я быстро понимал, что это мошенники. Один раз удалось развести и то это была полиция, и я попросту не ожидал такой подставы, выраженной моим незнанием тонкостей ПДД(одностороннее движение на парковке гипермаркета).
PereslavlFoto
05.12.2025 10:59Фотографии приходят сразу в чат.
В whatsapp фотографии не приходят сразу в чат. Вместо них приходят уменьшенные и сильно сжатые варианты. Чтобы в чат пришла именно фотография, её приходится посылать в режиме «документ».
Viktor-T
05.12.2025 10:59Спасибо, давно WhatsApp не пользовался.
Но, в любом случае, уже поменял: https://habr.com/ru/companies/angarasecurity/articles/973630/comments/#comment_29214560
leshchev-artem
05.12.2025 10:59перед скачиванием файлов в форматах «.docx», «.xlsx» и «.pdf» проверять их на специальных сервисах, например на VirusTotal;
Поясните, пожалуйста, как это сделать? Вот, присылают файл в Телеграм. Разве не придётся предварительно скачать файл, прежде чем его загрузить в VirusTotal?
BotBot123
05.12.2025 10:59А что у нас теперь скачать = открыть или как
leshchev-artem
05.12.2025 10:59В статье написано "перед скачиванием файлов".
avsolovyev
05.12.2025 10:59Видимо, для этого нужно сделать себе бота, проверяющего файлы. Прямых ссылок на файлы ТГ не даёт.
m0tral
05.12.2025 10:59А что делает телеграм после скачивания или другое любое приложение? Для кейса, бабушка, это лучше не нажимать никуда.
VBDUnit
05.12.2025 10:59Если в клиенте какая‑нибудь уязвимость, то такое может быть. Банально может быть неофициальный телеграмоватсапов клиент с 50 бекдорами. В официальных клиентах же нет бекдоров, правда?
emeritus
05.12.2025 10:59Формулировка "перед тем скачать, проверить" явно кривоватая.
Если пришла ссылка на файл, то её можно проверить через Virustotal - там может и не файл вовсе.
Если прям пришёл файл в сообщении, то можно воспользоваться телеграм-ботом от Доктор Веб (https://telegram.me/drwebbot).
Maccimo
05.12.2025 10:59Если пришла ссылка на файл, то её можно проверить через Virustotal
Если злодеи целятся в мобильные устройства, то сервер на той стороне может смотреть на заголовки HTTP-запроса и если не похоже, что запрос идёт с мобильного устройства, то отдавать безобидную страничку или на какой-нибудь TikTok перенаправлять. И Virustotal покажет, будто ссылка не опасная, а пользователю на мобильник прилетит APK или какой-нибудь заряженный документ.
emeritus
05.12.2025 10:59Все верно. Поэтому "зеленый" вердикт от Virustotal или антивируса ни в коем случае не гарантия того, что файл или ссылка безопасная.
Но если явно "красный", то открывать точно не стоит.
leshchev-artem
05.12.2025 10:59Спасибо, я не знал, что есть такой бот. Написал в него, пусть будет в списке чатов.
По поводу URL - если я правильно понял, то он анализирует URL как таковой, т.е. проверяет: не отгружает ли ссылка что-то вредоносное. Если ссылка безопасная (например, Google/Яндекс Диск), то VirusTotal покажет, что все хорошо. Но в папке на облаке может лежать вредоносный файл. Я пробовал день назад делать ссылку на файл с правами просмотра/редактирования .docx файлов, но, к сожалению, VirusTotal отдавал ошибку :( Но зато получалось просканировать .pdf документ. Уж не знаю, почему так...
KEugene
05.12.2025 10:59Я устанавливаю некоторые программы как APK-файлы. Еще ни разу не было такого, чтобы все было просто. Любая гипотетическая тетушка просто не сможет это сделать, ведь сначала надо разрешить установку из
стремныхальтернативных источников. А это надо еще найти, где прописано. На моем последнем телефоне надо активировать режим разработчика, чтобы добраться до этого выключателя. То есть, эта тетушка должна быть довольно упорной в своем желании установить зловред на своем телефоне.
gmtd
05.12.2025 10:59Обычно у таких сервисов есть служба поддержки
Ваша тётушка им позвонит, и они объяснят подробно, куда чего нажимать
DumpManager
05.12.2025 10:59Недавно видел малварь по типу этой, только "лучше": данные передаются по http, 0 обфуксации, прямо в коде прописаны строки типа "баланс по карте" и т.п.
hremlin
05.12.2025 10:59ВПО семейства Mamont для Android
Это что отсылка на "Лох не мамонт - не вымрет?"
MountainGoat
05.12.2025 10:59Конечно. Там у многих уже по названию понятно, что наши люди писали: словарь такое не подкинет. Что после этого удивляться, что теперь везде видят русский след?
emeritus
05.12.2025 10:59Это что отсылка на "Лох не мамонт - не вымрет?"
Так изначально специалисты GroupIB/F.A.C.C.T/F6 назвали семейство ВПО (https://www.f6.ru/media-center/press-releases/fake-courier/). Потом даже злоумышленники подхватили и стали сами так называть внутри свои приложения. Сейчас это целое семейство схожих между собой вредоносных приложений, нацеленных на обман пользователей Android и получение доступа к SMS, всплывающим сообщениям и любым способам монетизации зараженных устройств. Разработчики в основном русскоязычные - в марте 2025 даже нескольких МВД уже взяли (https://tass.ru/proisshestviya/23545883). Но как показала практика схема еще долго не "вымрет".
didenis
05.12.2025 10:59Реинкарнация Анджелина Джоли.jpg.exe?
Vsevo10d
05.12.2025 10:59Че-то вспомнил, как еще лет 20 назад видел по телевизору репортаж: люди скачивали файл под названием "sex.exe". При распаковке оказывалась предвыборная программа каких-то кандидатов на региональные выборы.
MountainGoat
05.12.2025 10:59Я тогда предлагал такое отмочить. Чтобы кандидатша в приличном, но домашнем наряде на плохую камеру на обычной кухне сыграла текст вроде "Пришёл? Сядь, послушай что творится..." и дальше про свою программу, а дальше раскидать это по всем немодерируемым порносвалкам. Но никто не проникся.
zambras
05.12.2025 10:59Вчера пытал Kimi 2 когда ждать тотального использования мошенниками нейросетей. Оно в принципе уже началось, но тотальный писец уже ожидается в 2027, когда затрещат криптовалютные и банковские ресурсы. Ну и массовое замещение мошеннических Колл центров нейросетевыми агентами я думаю тоже не за горами.
MountainGoat
05.12.2025 10:59До термоядерного синтеза всегда 30 лет, а до краха криптовалют всегда 2 года.
Maccimo
05.12.2025 10:59Вчера пытал Kimi 2
Не «пытал», а «потреблял нейросетевые помои», используйте правильную терминологию!
тотальный писец уже ожидается в 2027
Это ещё календарь Майя предсказал! )
achekalin
05.12.2025 10:59Я вот смотрю на такие обзоры, и вспоминаю, что волна "разоблачений" Max-а состояла из анализа запрашиваемых разрешений, а вот расковыривания кода что-то не припомню.
Вот так бы APK с Max-ом разобрать, что и куда он отправляет. Малварь, или нет, грубо говоря, а то работает не всегда стабильно, а его как авторизатор к Госуслугам допустили - прям интересно!
m0tral
05.12.2025 10:59Действительно интересно? А блокировка WA/Tgram вам никак не подсказывает? А настырное предложение установить эту чудо программу госуслугами? Это как 2+2
ksaa79
05.12.2025 10:59Из всего этого я практически вижу только вполне очевидную возможностям хостерам сервиса иметь простой доступ к переписке пользователей. Чтоб без вот этого уламывания Дурова и так далее. Ну а для эффективности этого доступа вполне очевидны и прочие организационные меры в рамках доведения охвата до 100%. Тем не менее, с другой стороны баррикад, Максу иногда приписывают и то, чего с 99% вероятностью в нем нет, или же только то, что проистекает из кривизны рук его погромиздов
Sap_ru
05.12.2025 10:59Там ещё и отправка вашей локации, всех номеров сим карт и всех акакунтов (а не только google). Плюс установка софта и разблокировка. Плюс установка прокси.
achekalin
05.12.2025 10:59Мне она как раз подсказывает, что при подобной истории я бы хотел примерно понимать, что ждать от max-а. Идеально - хотел бы альтернативный клиент max-а.
fcoder
05.12.2025 10:59В идеальном случае клиент выглядит вполне легитимно, а всё логгирование происходит на сервере и через серверные интеграции. Можно изучать клиент хоть до посинения тогда
achekalin
05.12.2025 10:59Меня это устроит.
А вот если оно и мои файлы на сервер отправляет в фоне, без согласия - это бы я хотел проверить.
Maccimo
05.12.2025 10:59Для разбора говномессенджера, пропихиваемого госорганами, желательно жить за пределами СССР, никогда в этих пределах не появляться и даже не пролетать рядом. Иначе могуть прийти и посадить.
emeritus
05.12.2025 10:59Вот так бы APK с Max-ом разобрать, что и куда он отправляет.
Уже было очень поверхностное исследование https://habr.com/ru/articles/938518/
Но надо смотреть какие изменения в коде были за это время, функционал мог добавиться разный, даже если разрешения не поменялись.
Сегодня явного вредоносного функционала нет, а завтра?
khacsam
05.12.2025 10:59Многие бесплатные приложения в *маркетах частенько со временем обзаводятся вредоносным функционалом.
Pogramist
05.12.2025 10:59недавно парня за госизмену посадили(суд максимально закрытым сделали), за то что он распространял обнаруженную информацию, а именно технологии использованные в "скаме" американские и соседней страны в которой операция идет
vvzvlad
05.12.2025 10:59Вот так бы APK с Max-ом разобрать, что и куда он отправляет. Малварь, или нет, грубо говоря, а то работает не всегда стабильно, а его как авторизатор к Госуслугам допустили - прям интересно!
Отправляет на свои сервера, все мессенжеры так делают, ничего более интересного не найдете.
Вопрос-то в том, что там дальше с этими данными делают
Sap_ru
05.12.2025 10:59Там довольно сильная обфускация в два слоя. А под ней такой кривой код, что кровавые слёзы льются. Похуже любой обфускации. А дальше поделки школьников. Ну увидите вы, что отправляют они всё, что можно, на свои сервера и что? Вы это и так знаете. Ну, есть там установка произвольных программ и запуск фоновых процессов, и что? Это и так в правах есть. Ну, разблокировка так есть, так она и правах есть. Ну, есть там установка системного прокси, чтобы трафик перехватывать и что?
Что именно вы хотите там такого увидеть, чего ещё не знаете?И самое главное, что он отправляет и когда, можно перехватом трафика посмотреть. Оправляет совершенно всё и непрерывно. И не государству, а на левые сервера VK. Уже кто только не смотрел. Что это меняет?
Kartlou
05.12.2025 10:59По моему я чето такое находила на ютубе, там в итоге через этот код автор узнал, что макс это прошлый мертворожденный гос мессенджер. Но видео было еще даже до новостей о том что МВД против макса,так что что по госуслугам
gun_dose
05.12.2025 10:59Все эти истории с несанкционированным доступом к банковским счетам, всяким госуслугам и т.д. недвусмысленно демонстрируют тотальную неготовность государственных и банковских сервисов к такой степени цифровизации. Можно сколько угодно валить всё на глупых пользователей, но до тех пор, пока конституция не обязывает граждан владеть навыками базовой информационной безопасности, банки и прочие сервисы обязаны сами гарантировать сохранность данных при любых условиях. И если apk-шка, скачанная из мессенджера может получить доступ к банковским счетам, то тут виноват только банк.
MountainGoat
05.12.2025 10:59банки и прочие сервисы обязаны сами гарантировать сохранность данных при любых условиях.
А предлагать клиенту договор типа "Мы клиенту даём дополнительные возможности, но клиент обязуется сам обеспечить их защиту" можно?
gun_dose
05.12.2025 10:59Если подобное предлагают в каком-то кружке детской самодеятельности, то почему бы и нет. Но банк — это организация, чья деятельность лицензируется и регулируется множеством нормативных актов, поэтому там всё должно быть по-серьёзному. Вообще, я на 200% уверен, что если обязать банки полностью возмещать убытки от действий третьих лиц, то уже через неделю окажется, что служба безопасности умеет раскусывать мошенников на раз-два.
MountainGoat
05.12.2025 10:59уже через неделю окажется, что служба безопасности умеет раскусывать мошенников на раз-два.
Может быть и окажется. Правда, уверен, что ещё окажется, что делать переводы от физлица в сторону физлиц и за границу больше нельзя совсем, в кабинете по Интернету можно только счёт посмотреть, а банк-клиент ставится только на мобильные телефоны, купленные в отделении банка, с заблокированной установкой чего-то ещё.
vis_inet
05.12.2025 10:59Т.е. банк сам ограничит фин. активность клиентов и, значит, свой заработок?
Скорее всё-таки они начнут искать более надёжные схемы работы, чтобы предотвращать обманы клиентов и потери денег.
MountainGoat
05.12.2025 10:59Или посчитают, что риски и затраты не стоят усилий для сохранения этого направления заработка, а лучше вложиться в другие. Ну например как европейский банки повыкидывали своих российских клиентов, включая миллионеров, за годы до введения реально запрещающих санкций. Банкам просто показалось невыгодно разбираться, какие документы теперь нужны, и постоянно следить за изменяющейся ситуацией и преднамеренно двусмысленными нормами.
gun_dose
05.12.2025 10:59Все банки наперебой кичатся, какие они технологические гиганты. А по факту все их сервисы — примитивная апишка с валидацией по СМС. По факту так и выходит, что единственный способ защитить свой банковский счёт — это не иметь его.
MountainGoat
05.12.2025 10:59Согласен. Поэтому я пользуюсь для текущих расчётов реально развитым банком - Юмани. Там в клиенте есть валидация средствами Андроид, например через биометрию через аппаратный модуль. И аппаратный ключ тоже можно. TOTP не видел, но он на мобиле мало смысла имеет.
А запасы храню в другом банке, где заблокировал всё.
А в Сбере держу только долги. Хотят – пусть крадут :)
gun_dose
05.12.2025 10:59Ну вот видите, техническая возможность есть. Интересно, как же выходит, что в других банках через 80 этапов собеседования не просачиваются люди, которые могут такое сделать.
MountainGoat
05.12.2025 10:59Чем меньше банк, тем он авангарднее. Потому что если хочешь жить – надо вертеться. А Сбер, напомню, больше чем все остальные банки страны, сложенные вместе. Зачем ему вертеться?
Maccimo
05.12.2025 10:59окажется, что делать переводы от физлица в сторону физлиц и за границу больше нельзя совсем
Незаконные мигранты не смогут отправить заработанное тут к себе домой, беда-то какая!
а банк-клиент ставится только
В большинстве случаев банк-клиент ставится только потому, что клиенту в отделении сказали, что его нужно поставить. А сказали так потому, что палочная система по количеству установок.
MountainGoat
05.12.2025 10:59У вас люди делятся на незаконных мигрантов и прочие отбросы? РКН перелогинься.
fcoder
05.12.2025 10:59А ещё может быть окажется что практика ответственности банков за мошенничество третьих лиц успешно существует в более других странах и не требует ничего особенного со стороны клиентов. Гуглить zero liability policy
MountainGoat
05.12.2025 10:59Что-то всё, что гуглится, говорит в основном о пластиковых карточках. И изобилует словокряками типа "cardholder has provided reasonable effort to prevent theft"... Люблю такие правила, когда чёрным по белому написано "Вообще да, но может и нет, да хз".
Если ты сказал пароль и пин от аккаунта в банке "службе безопасности" то ты соблюл "reasonable effort" или нет?
Iv_TS
05.12.2025 10:59Ну да, ну да. А когда банки начинают что-то делать: пытаются анализировать и не давать ход сомнительным переводам, запрашивают дополнительную аутентификацию, то тут же поднимается вой на весь интернет, мол, "эти банки совсем берега попутали!", "что хочу, то и делаю с моими деньгами!". Так что мы либо свободно пользуемся своими средствами и несем со своей стороны ответственность за свои идиотские действия, либо мы дети малые, за которых финансами управляет кто-то другой.. Банки дают вполне нормальную защиту, все что больше - уже вторжение в личное пространство клиента, а за бабками должны приглядывать внуки.
Или по вашему "пока конституция не обязывает" граждан не перелезать через перила моста, за всех утопленников несет ответственность строительная фирма, его построившая?
gun_dose
05.12.2025 10:59А как тогда получается, что если человеку нужен кредит, то от него потребуют тысячу справок и будут потом неделю их рассматривать, а когда кредит берут мошенники, то сразу пожалуйста вот ваш миллион? Тут тоже внуки виноваты?
hira
05.12.2025 10:59А почему вообще считается, что все обобранные гарантированно получили кредит? Кому-то дали, кому-то нет.
Ну так если человек нуждается в кредите, то скорее всего у него на счетах пусто, возможно, уже есть кредиты. Это видно. А если у него денежка водится, кредитов не берёт, то он как раз неплохой клиент. И получит без всяких справок и волокиты.
Когда человек приходит в банк ножками, за реальным кредитом, он давится за каждые полпроцента ставки. Не слишком выгодно для банка, посему и будут рассматривать долго, работая с риском. Мошенник берёт всё, что дают, под любой процент.
gun_dose
05.12.2025 10:59Вы сами только что написали, что банки более тщательно рассматривают заявки на кредиты с меньшим процентом. Не в этом ли проблема?
Maccimo
05.12.2025 10:59Код в виде картинок, мои глаза! За что вы так?
Размер 9.73 MB
Что там занимает 10 Мб? Ну не код же!
Для сокрытия вредоносного функционала и усложнения исследования все основные строки в приложении зашифрованы при помощи obfuse.NPStringFog
Как-то не впечатляет.
Лет десять назад на почту без спам-фильтров валилось великое множество зловредов, были среди них и JAR-файлы.И вот там обычно была и обфускация, и противодействие декомпиляции и шифрование строк, само собой. Причём, обычно это была матрёшка из нескольких приложений-дропперов. А тут детский сад и вайбкодинг какой-то, даже имена классов не покорёжили.
Лицо не найдено
Вот это уже интереснее.
Банки очень стараются понабрать биометрии и чёрный рынок, как можно увидеть на этом примере, уже работает над этим.emeritus
05.12.2025 10:59Как-то не впечатляет. Лет десять назад на почту без спам-фильтров валилось великое множество зловредов, были среди них и JAR-файлы.
Злоумышленнику нет никой задачи впечатлить исследователя. Главная - пройти статические фильтры и усложнить беглый анализ. Тут всё работает по схеме "время стоит денег" и времена, когда хакеры писали код для того, чтобы показать свои технические навыки, уже ушли.
В вашем случае JAR файлы были сложнее, потому что должны были пройти возможную проверку антивирусом на стороне почтового сервера.
В большинстве случаев в вирусах Мамонт-like никто даже строки не шифрует - антивирусов на телефонах нет. И, к сожалению, это всё работает и довольно успешно.
Если хочется почитать, про более сложные вещи - у Angara Securityвыходила статья про BT MOB Rat - там и тех поддержка есть и более сложные алгоритмы противодействия исследованию.
ImagineTables
05.12.2025 10:59Allow Фото 24 шт to make and manage phone calls?
Так вот ты какой, Интернет вещей.
nerudo
05.12.2025 10:59А прикиньте, через 40 лет будут какие-нибудь квантовые нейросети и мы (кто доживет и не совсем впадет в маразм) будем так же беспомощно барахтаться во всем этом, как сейчас ныне старшее поколение в ойфонах-ондройдах.
YMA
05.12.2025 10:59Не знаю, я как смотрю на современную молодежь (закашлялся и поправил трость, монокль и запонки) - так наше поколение будет наоборот выглядеть:
- Посмотри, что у меня в модели нейросети-ассистента появилось!
- Уж ты, %^$^&%$, это же &^%@@ эксперт 15 уровня по вопросам ESG, откуда он у тебя - он же до&^% денег стоит?
- Это дед поставил, я ему пожаловался, что ^%$^%$ нужно для работы, а стоит дорого. Так он взял моего ментора-помощника, подключил к своему древнему компу каким-то кабелем, потом что-то непонятное про форпда, о%$#%^&@ших буржуев, сказал пойти погулять, а когда я вернулся - оно там уже было! Да, дед в маразме, какие-то пачки листов бумаги постоянно читает, на на древние формумы лазит, где такие же олды сидят, но шарит...
Maccimo
05.12.2025 10:59Ну или более приземлённо: «Старики, умеющие программировать без нейроассистентов массово выходят с пенсии из-за высокого спроса на людей, умеющих думать».
Yumado
05.12.2025 10:59Аха, аха поставлю ка я jpg.apk, пусть внучок понервничает, в гости не заглянет. Про безопасность вспомнит. Мне то уж не надо.
JBFW
Я не понял: это эксплуатируется уязвимость в прошивке головы пользователя, позволяющая произвольной "фотографии" получать разрешения доступа к телефону, или что?
dapoxvasche
да, называется сосыальный инжирниринг
Viktor-T
Это реально опасно. Представляю свою 75-летнюю тётушку, которая подписана в Телеграме на кучу каналов от цветов и здоровья до любимых музыкальных групп. Она сперва уверенно предоставит все разрешения, а потом уже спросит что случилось. И таких уязвимых людей огромное количество ((
xSVPx
Опасно не это, а то, что скомпрометировав телефон вашей тетушки можно нанести ей какой-либо ущерб.
SdrRos
Поэтому неплохо иметь два телефона, один для всего официального с СИМ картой, второй как карманный компьютер со всем остальным. Цены телефонов сейчас это позволяют.
AWE64
если родственник пожилой, проще купить для него один iPhone
sergeyns
и всё равно в итоге всё будет в одном телефоне, ибо ему (родственнику) "так проще"
AWE64
конечно, но на этом телефоне в принципе не получится установить рандомный .ipa по аналогии с .apk
Inkognitoo
Справедливости ради, в современных android тоже не так-то легко установить приложение из неизвестного источника
Нужно отдельно дать разрешение на установку
При установке, большая и очевидная кнопка OK на самом деле отменяет установку
fermentum
Зачем тут айфон? Пожилых же можно добавить в Google Family Link и гибко управлять конфигурацией их бабушкофонов
CaptGg
В телефонах Samsung можно включить "автоблокировку", которая не позволяет использовать установку из сторонних источников. Отключение этой функции требует знаний как это делать и дополнительной аутентификации
Так же есть Google Family Link для управления устройством ребенка, можно использовать и для пожилых людей.
iPhone для пожилых вообще так себе, с его неотключаемым управлением жестами и отсутствием единого способа вернуться назад.
xSVPx
У меня так и сделано. Но заморочь некоторая присутствует. И не всё легко пересадить на другой номер.
RulenBagdasis
Поэтому неплохо бы отвязать безопасность от кодов, рассылаемых по смс.
1024rk
Все коды рассылать только через национальный мессенджер MAX!
Robastik
Зачем полумеры? Сразу все отдавать в даркнет.
Newbilius
Оборотная сторона удобства. Единственый способ на 100% зашититься - отнять возможность делать что либо телефона. Только вживую ножками в отделение банка, никаких онлайн переводов и т.п.
Popadanec
Есть промежуточный вариант в случае наличия родственников со здравым рассудком. Настраивается сторонний контроль в приложении банка и тетушка не сможет перевести деньги мошенникам.
YMA
Давайте дополню:
https://www.sberbank.ru/ru/person/dist_services/sovmestnie-uvedomleniya
Неидеально из-за выделенного, по идее - надо иметь возможность задать лимит на 1 операцию и общий лимит на сутки (если мошенники заставят родственника по 14 т.р. за раз переводить).
RulenBagdasis
Нет, достаточно для доступа к банкам, госуслугам и прочим важным сервисам использовать в качестве обязательного второго фактора аппаратный nfc/usb токен. Удобство не пострадает никак, токен может быть как и телефон всегда с собой на связке ключей или даже к чехлу того же телефона пристёгнут, а дистанционный доступ к аккаунту для злоумышленника станет невозможным. Останутся только истории, когда люди сами отдают деньги мошенникам, но они прекрасно это проделывают, приходя "ножками в отделение банка".
xenon
Часто - непрошенного удобства. Большинство ошибок, злоупотреблений, мошенничеств происходит через удобные функции не нужные самим людям. Часто даже люди про эти функции не знают.
Например, ты ставишь Макс на старый телефон (чтобы переписываться), который тебе не жалко - ну и не жалко. Ты ходишь без охраны и без оружия, оставляешь его на столе. Да, могут украсть - да и ладно, это старый дешевый телефон, не жалко. А завтра раз, и сюрприз - теперь без охраны из дома с этим телефоном нельзя выходить, потому что из него сделали вход в госуслуги и можно взять кредит или переоформить квартиру. Хоть с парковки.
Я за то, чтобы все потенциально опасные функции (включая установку обоев или рингтона, если они стоят денег) - подключались только явно (вплоть до очного визита в офис оператора или госуслуги). Любая новая фича о которой я пока еще не знаю и не принял желание ей пользоваться - бесполезная (я ведь о ней не знаю) и даже потенциально вредная.
ifap
Но при этом тетушка осилила сбросить дефольный запрет на установку APK не из маркета?
ColorPrint
Оно само ж предлагает сбросить обычно одним кликом
m0tral
В последних версиях, ну как, с 13ки начиная, не сильно последняя как бы, фиг так сделаешь, там для таких бабушек как раз норм, в 16ой вроде как почти невозможно, а в каком нить Самсунге вообще практически невозможно.
nixooyase
Глупости пишете, обычная галочка в настройках "разрешать установку из этого приложения" и всё. Никаких невозможностей.
DYNAMIT-75
Да , странные люди с тётушками . В Телеграмм стоит по умолчанию запрет на установку файлов из приложения. Кто-то разрешил ?
Dhwtj
Кто же из бабушек в настройки то полезет?
MountainGoat
Samsung A51, для каждого приложения отдельно в настройках можно включить возможность этому приложению устанавливать другие. Например, я включил это для юмани, и они самообновляются.
Гугл обещает запретить в следующем году такую возможность, но я так понял ни Самсунг, ни Сяоми, ни европейские антимонопольщики ещё это не прокомментировали, так что что там будет, неизвестно.
Aldrog
У меня самсунг на 16 андроиде, при открытии apk предлагает разрешить установку и перебрасывает на соответствующую опцию в настройках.
GeneAYak
У меня самсунг на последнем андроиде, конечно же, в настройках можно включить установку из сторонних источников
habrolog
Это как? Раньше надо было залезть в недра настроек, в about, и 10 раз подряд ткнуть в один из пунктов. Помню, проделывал это в 4 или 5 андроиде. Что-то поменялось?
svosin
Это для включения отладки, не для разрешения установки apk.
Hrr_2
Она это первым делом выучивает от соседок по лавочке
Armitage1986
Мне так приносили "неработающий телефон". Бухгалтер (70+) соседней организации пришла, говорит, прислали фото, я их открываю, а они не открываются, наверное, телефон сломался, помогите открыть. А там классическое "Это что, ты на фото?!".
Своим родственникам всем доходчиво объяснил, что любому незнакомцу, хоть звонящему, хоть пишущему, хоть лично пытающемуся зубы заговаривать, от них могут быть нужны только их деньги и имущество. А волшебники в голубых вертолетах, которые бесплатно подарят эскимо, остались в детских песенках.
Hrr_2
теперь вы для них враг номер 1
fgmatrix
"это ты на фото?" как раз от знакомых и приходит. Получивших этот файл тоже от знакомых. Рассылка идёт по списку контактов
JBFW
Тут вот какой момент: с одной стороны вы правы, но с другой сразу напрашивается решение: а вот если бы установить новое приложение на телефоны мог только специально обученный человек - для защиты бабушек и детей?
И дальше - какой-нибудь росгоссофтинсталл, где товарищ майор, получив письменное обращение, все установит как надо.
Это только выглядит как алармистская шутка, но на деле любая свобода - это риски, и нужно осознавать: либо свобода пользования в том числе телефонами, с риском поставить что-то не то, или "шаг влево, шаг вправо -попытка к бегству"
Свободе надо учиться. И бабушкам с детьми тоже надо.
Popadanec
Слишком дорого это обучение проходит. Бабушки квартир лишаются, не то что денег. Ну нет у многих людей здравого смысла, который на лету отделяет мошенников.
Есть же с банками, возможность настроить сторонний контроль. Со смартфоном это тоже было бы не лишним. Установка из сторонних источников бабушкам и дедушкам точно не нужна, а мошенники этой уязвимостью пользуются.
Zombieff
Недавно в руки британских журналистов попали два смартфона из Северной Кореи. Там как раз можно ставить приложения, но они не будут работать, пока не придёшь ножками в салон, и тебе их не активируют. При том, что приложения ставятся только из их официального маркета, вроде бы.
JBFW
Ахаха - а вот это "интервью Мизулиной" про "белые телефоны" - это кто-то из комментаторов через AI сделал, или в очередной раз мои шутки рискуют стать законами?
PereslavlFoto
Мы уже обучились свободе к 1997 году. Но потом оказалось, что это была свобода от надзорных органов, очень опасная для надзорных органов!
DYNAMIT-75
Отключи установку файлов в телеграмм. Делов то .....
Поставь пароль свой на вход в Настройки телефона.
ELeCTRoNe
Бесполезно, дырка не в доступе к настройкам, дырка в голове у юзверя
VBDUnit
Многие пользователи не понимают внутреннюю кухню устройств. Они не понимают и не вникают в составляющие части системы и их взаимосвязи. Что там ОС, приложения и разрешения какие то. Для многих людей это не система с внутренними отношениями, а единый цельный объект.
Поэтому, когда оно начинает задавать вопросы про разрешения, человек не понимает что происходит, потому что в его понятийном аппарате нет тех штук, взаимоотношение которых описано на экране. Плюс люди не понимают важность ИБ. В итоге человек воспринимает это как помеху и просто её пролистывает. Как рекламу.
northfan
Плюс некоторые оболочки сами "подсказывают" куда нажимать.
Открывают нужный пункт меню после диалогового окна и автоматически скролят до нужной строчки
ArtyomOchkin
Ага,
CVE-{ДАТА_РОЖДЕНИЯ}-{userCount}yesus1707
да, и оно работает, рядовой пользователь не знает что такое расширение файла