Վիշինգային խարդախություն Հայաստանում. թիրախում են բջջային օգտատերերը՝ կեղծ «5G թարմացումների» միջոցով

2025 թվականի դեկտեմբերից սկսված և մինչ օրս շարունակվող կիբեռհարձակումը թիրախավորում է Հայաստանի բջջային օգտատերերին։ Հանցագործները համադրում են հին ու փորձված «սոցիալական ինժեներիան» հատուկ պատրաստված վնասակար ծրագրերի (malware) հետ՝ նպատակ ունենալով դատարկել մարդկանց բանկային հաշիվները։ CyberHUB-AM-ի մասնագետները ներգրավվել են մի քանի նման հարձակումների արձագանքման գործընթացում, և քանի որ հաքերները հաճախ կարողանում են հարձակումը մինչև վերջ հասցնել, որոշեցինք հրապարակել այս նյութը՝ նախազգուշացնելու հնարավոր զոհերին և տեղեկացնելու մասնագետներին։

Ահա թե ինչպես է գործում «Ucom 5G» խարդախությունը և ինչպես կարող եք պաշտպանվել։

«Պաշտոնական» հեռախոսազանգը

Զոհը զանգ է ստանում ֆրանսիական հեռախոսահամարից (+33 6 80 16 83 31, +33 6 40 01 89 95 և նմանատիպ այլն)։ Զանգահարողը խոսում է ռուսերեն և ներկայանում որպես Ucom-ի ներկայացուցիչ։ Նրանք տեղեկացնում են օգտատիրոջը, թե իբր Հայաստանում 4G սարքավորումները հանվում են շահագործումից, և կապը պահպանելու համար անհրաժեշտ է ձեռքով կատարել «թարմացում»։

Էկրանի փոխանցման (Screen-Sharing) թակարդը

Հարձակվողը համոզում է զոհին զրույցը տեղափոխել WhatsApp և միացնել WhatsApp-ի էկրանի փոխանցման (screen sharing) ֆունկցիան՝ իբրև թե 5G-ի կարգավորումների հարցում «օգնելու» համար։ Սա թույլ է տալիս հանցագործին տեսնել այն ամենը, ինչ կատարվում է օգտատիրոջ էկրանին, ներառյալ գաղտնաբառերը, PIN կոդերը և բանկային հավելվածների տվյալները։

Անվտանգության անջատում և վնասակար ծրագրի տեղադրում

Տեսնելով էկրանը՝ հարձակվողը հրահանգում է օգտատիրոջն անջատել հեռախոսի ներկառուցված անվտանգության կարգավորումները (օրինակ՝ «Տեղադրում անհայտ աղբյուրներից») և ուղարկում է հղում՝ «կարգավորման ծրագիրը» ներբեռնելու համար։ Իրականում դրանք վնասակար Android փաթեթներ են (APK), որոնք ունենում են տարբեր անուններ։ Ահա այն օրինակները, որոնք մենք հանդիպել ենք մինչ այժմ.

• dispatcher.redactor.shuffler

• subsystem.quantizer.orchestrator

• poller.activatorx.translator

Տեխնիկական բարդությունը

Վարակված սարքերի մեր փորձաքննությունը ցույց տվեց, որ սա լրջորեն նախապատրաստված հարձակում է. վնասակար ծրագիրն օգտագործում է պաշտպանությունից խուսափելու առաջադեմ մեթոդներ․

• Կեղծ ցուցիչներ․ Հավելվածները պարունակում են «5G+LTE» գրառումներ։ Տեղադրվելուց հետո դրանք ցույց են տալիս ցանցի կեղծ կարգավիճակ՝ զոհին համոզելու համար, թե «թարմացումն» իրոք աշխատեց։

• Հակա-փորձաքննություն․ APK-ները օգտագործում են հատուկ տիպի ZIP կառուցվածքներ, որոնք նախատեսված են անվտանգության համակարգերի և հակավիրուսային ծրագրերի աշխատանքը խափանելու համար։

• Խաբուսիկ անվանումներ․ Հավելվածներն օգտագործում են վնասաբեր ծրագրի տեխնիկական տերմիններով անուններ՝ համակարգային կարևոր բաղադրիչների տեսք ունենալու և օգտատիրոջը դրանք ջնջելուց հետո պահելու համար։

• Մուտքի արգելափակում․ Տեղադրվելուց հետո հավելվածներն ակտիվորեն դիմադրում են ջնջմանը՝ խափանելով Play Store-ի, համակարգի կարգավորումների և հեռախոսի գործարանային վերագործարկման (reset) հնարավորությունները։ Մենք կարողանում ենք դրանք հեռացնել միայն հեռախոսը USB-ով համակարգչին միացնելու և ADB հրամանների միջոցով։

Ֆինանսական նպատակը

Երբ վնասակար ծրագիրն արդեն ակտիվ է, իսկ էկրանի փոխանցումը՝ միացված, հարձակվողները մուտք են գործում զոհի բանկային հավելված։ Նրանք փոխանցում են հաշվում եղած միջոցները և օգտվում են առցանց վարկավորման հնարավորություններից՝ գողության չափը առավելագույնի հասցնելու համար, նախքան զոհը կհասկանա կատարվածը։

Ինչպես մնալ անվտանգ

1. Ucom-ը (կամ այլ օպերատորներ) երբեք չեն զանգի ձեզ՝ խնդրելով միացնել էկրանի փոխանցումը։ Եթե որևէ մեկը խնդրում է ձեզ կիսվել էկրանով WhatsApp-ով կամ Zoom-ով «տեխնիկական աջակցության» համար, անմիջապես անջատեք հեռախոսը։

2. Երբեք մի տեղադրեք հավելվածներ չատերով ուղարկված հղումներով։ Օգտվեք միայն պաշտոնական Google Play Store-ից կամ Apple App Store-ից։

3. Անտեսեք «հրատապ» վերջնաժամկետները։ Զանգում հարձակվողը պնդում էր, թե 4G-ի «վերջին օրն է»։ Ցանցային իրական փոփոխությունները տևում են ամիսներ կամ տարիներ և հայտարարվում են պաշտոնական հանրային ուղիներով։

4. Ստուգեք կասկածելի հավելվածները։ Եթե ձեր հեռախոսի էկրանի վրա հայտնվել է «5G» պատկերակ, որը տարօրինակ տեսք ունի կամ հայտնվել է անհայտ ֆայլ տեղադրելուց հետո, հնարավոր է՝ ձեր սարքը վնասված է։

Եթե կարծում եք, որ դարձել եք հարձակման թիրախ, անմիջապես կապվեք ձեր բանկի հետ՝ հաշիվները սառեցնելու համար, և կատարեք հեռախոսի գործարանային վերագործարկում (factory reset)։