Купленные на вторичном рынке ноутбуки и смартфоны всё чаще оказываются заражены вредоносным ПО, рассказали «Известиям» в компаниях по кибербезопасности со ссылкой на мониторинг жалоб на тематических ресурсах. Подозрительная активность подержанных гаджетов говорит о том, что устройство может быть частью ботнета — сети захваченных хакерами устройств, которые участвуют в DDoS-атаках. Соответствующее ПО может устанавливаться не только на компьютеры и смартфоны, но и на любые умные устройства — телевизоры, пылесосы и даже кофеварки. Как не купить зараженную технику и что делать, если смарт-приставка и роутер ночью становятся самостоятельными, — в материале «Известий».
Где нашли вредоносное ПО
Покупатели подержанной техники стали значительно чаще жаловаться на то, что находят в приобретенных ноутбуках и ПК вредоносное программное обеспечение. Оно автоматически подключает устройство к ботнету (сеть захваченных компьютеров, которыми управляют хакеры) и таким образом участвует в DDoS-атаках. Об этом «Известиям» рассказал аналитик центра мониторинга киберугроз компании «Спикател» Даниил Глушаков со ссылкой на изучение тематических форумов и сообществ в соцсетях.
Эту тенденцию подтвердил и руководитель аналитического отдела Servicepipe Антон Чемякин.
Нельзя исключать сценарий, при котором перепродажа зараженных устройств осуществляется намеренно — как способ наращивания ботнет-сети, полагает руководитель группы продуктов «Гарда Anti-DDoS» компании «Гарда» Вадим Солдатенков. То есть злоумышленник приобретает партию дешевых устройств, устанавливает на них модифицированную прошивку с вредоносным компонентом и выставляет на вторичный рынок. Покупатель получает внешне исправное устройство, которое при этом с первого включения начинает работать на атакующего.
Впрочем, эксперт по кибербезопасности «Лаборатории Касперского» Дмитрий Калинин заявил, что их компания не встречала схем с покупкой «чистого» устройства с целью дальнейшей смены ПО на вредоносное и перепродажу.
Основатель сервиса разведки утечек данных и мониторинга даркнета DLBI Ашот Оганесян тоже полагает, что «заражением при ремонте или перепродаже никто не заморачивается».
— Ботнеты приносят злоумышленникам доли копеек на одно устройство и рентабельны только в случае захвата десятков и сотен тысяч устройств, — сказал он. — Случается, что недобросовестные продавцы ставят троянцев на телефоны и компьютеры, которые затем поступают в продажу, но эти зловреды нацелены на хищение информации из банковских приложений, а не создание ботнетов.
По его словам, «умные» устройства неизвестных брендов нередко бывают подключены к ботнетам, однако это делается массово — еще на заводе или вообще при разработке прошивок.
О том, что устройства могут быть заражены вредоносным ПО еще до продажи, например на заводах в Китае, которые выпускают бюджетные Android-гаджеты, рассказал и Антон Чемякин.
— Завод заказывает прошивку у сторонней компании, и та встраивает вирус. Таким образом, часть сборок Android может фактически стать частью ботнета еще до того, как упаковка будет вскрыта, — пояснил он.
Когда покупатель вскрывает упаковку и включает подобный гаджет, тот сразу связывается с серверами хакеров. Особенно опасны, по словам эксперта, дешевые смартфоны неизвестных брендов.
Случаи, когда вредоносное ПО было предустановлено в абсолютно новых устройствах, подтвердил и эксперт по кибербезопасности «Лаборатории Касперского» Дмитрий Калинин.
— Например, бэкдор (скрытый механизм для несанкционированного доступа к системе. — Ред.) Kimwolf был обнаружен в прошивках некоторых Android-приставок. Есть случаи, когда небезопасная конфигурация встроенного ПО приставок приводила к заражению Kimwolf и другими подобными бэкдорами, — сказал он.
Например, весной 2025 года специалисты «Лаборатории Касперского» обнаружили новую версию бэкдора Triada, который встречался в прошивках поддельных устройств с популярных торговых онлайн-площадок, рассказал Калинин.
Где еще можно установить вредоносное ПО
Частью ботнета могут быть не только ноутбуки, смартфоны и планшеты, но и ТВ-приставки, умные кофеварки и любые другие устройства с функцией подключения к Wi-Fi, рассказал Антон Чемякин.
Даниил Глушаков предположил, что нынешний всплеск сообщений на форумах может быть связан, во-первых, с тем, что уровень кибергигиены растет и всё больше людей используют антивирусы.
— А во-вторых, растут и мощности ботнетов, и им для организации DDoS-атак нужно всё больше и больше помощников поневоле, — пояснил он.
Он напомнил, что в ботнете Kimwolf, который атаковал компании по всему миру, было более 1,8 млн разных зараженных устройств на базе Android — от планшетов до умных фоторамок.
Вадим Солдатенков отметил, что заражаться могут в первую очередь устройства «интернета вещей» — роутеры, IP-камеры (цифровая видеокамера), смарт-приставки, сетевые хранилища.
— Такие устройства исторически являются слабым звеном в кибербезопасности, потому что производители нередко уделяют недостаточно внимания их защите. Также большинство инцидентов происходит на устаревших устройствах, для которых производитель уже прекратил выпуск обновлений и патчей безопасности, — рассказал он.
В случае с подержанной техникой предыдущий владелец мог не обновлять прошивку годами, мог использовать слабые пароли, сказал Солдатенков.
Проджект-менеджер MD Audit (ГК Softline) Кирилл Лёвкин обратил внимание на то, что ботнет-активность часто не влияет на повседневную работу устройства, поэтому пользователь может долго не подозревать о проблеме.
— Проблема усугубляется тем, что покупатели подержанной техники редко проводят полную «гигиеническую» проверку устройства перед началом эксплуатации, — сказал он.
При покупке ноутбука с рук сразу необходимо сделать полную переустановку операционной системы с официального образа, при покупке б/у смартфона следует сделать сброс до заводских настроек с последующей установкой приложений только из официальных магазинов. Также необходимо проверить устройство антивирусом до подключения к домашней сети.
Как заметить подозрительную активность
Обнаружить вредоносное ПО можно, например, открыв активные процессы в диспетчере задач, рассказал Даниил Глушаков.
— Если там идет неизвестный вам процесс, который вы не запускали, вполне возможно, что это нежелательная активность ботнета, — сказал он. — Но «засечь» вредоносное ПО таким образом можно только в моменты активности. Кроме того, оно обычно останавливает работу при запуске диспетчера задач.
Поэтому для неискушенного пользователя лучший вариант — проверить компьютер антивирусом или утилитами, которые выявляют такие подозрительные процессы самостоятельно.
— Если нежелательная активность на устройстве обнаружена, нужно отключить ноутбук, компьютер или планшет от сети, сделать копию нужных данных, отформатировать жесткий диск, прошить BIOS (базовая система ввода-вывода. — Ред.), переустановить операционную систему, — сказал он.
Но зараженное устройство может стать и точкой входа во всю домашнюю сеть. Через него хакеры сканируют другие гаджеты в доме, ищут уязвимости в роутере, умных колонках, камерах.
Поэтому при обнаружении подозрительной активности на одном устройстве следует проверить все остальные, отмечают эксперты.
Вадим Солдатенков посоветовал обращать внимание на аномальное поведение устройства.
— Это может проявляться в заметном замедлении работы, необъяснимом нагреве корпуса, повышенном потреблении электроэнергии, а также в росте сетевого трафика, который устройство генерирует без видимых причин. Например, если роутер или смарт-приставка начинают активно обмениваться данными в ночное время, когда ими никто не пользуется, это серьезный повод насторожиться, — сказал он.
Если устройство отправляет большое количество запросов на незнакомые внешние IP-адреса, это с высокой вероятностью указывает на участие в ботнете.
Ашот Оганесян также рекомендовал установить на телефоне или компьютере антивирус.
— Работу устройства в ботнете можно увидеть, только анализируя сетевую активность, например на роутере: если интернет-кофеварка генерирует гигабайты трафика, то с ней точно что-то не так. И в целом noname-электронику подключать к интернету не стоит, — сказал он.
А Кирилл Лёвкин заявил, что необходимо на ПК и смартфонах проверить список автозапуска, активные сетевые соединения и наличие подозрительных служб. На сетевых устройствах нужно проанализировать журналы и внешний трафик.
