У другій частині розслідування про платформу SIMURAI ми розкриваємо, як SIM-карта може бути використана як повноцінний троян, що шпигує, атакує та взаємодіє зі смартфоном без відома користувача. На прикладі Java Card-аплетів, OTA-завантаження, міжкарткових адаптерів (interposer) та детального аналізу SIM-команд, дослідники показують, як із простої карти створити канал для стеження й контролю. Стаття охоплює архітектуру атаки, життєвий цикл шкідливих аплетів, механізми доступу до Android і iOS, а також захист від подібних загроз. Якщо ви працюєте у сфері кібербезпеки, досліджуєте SIM-атаки або просто хочете знати, наскільки безпечна ваша SIM-карта — ця стаття стане для вас викриттям і дорожньою картою водночас.
SIMURAI — це не просто платформа для вивчення вразливостей SIM-карт, це справжня лабораторія у кишені дослідника. Те, що раніше вимагало складних протоколів, закритого обладнання операторів і глибокої інфраструктурної інтеграції, тепер стало доступним практично кожному фахівцю з безпеки. Основна мета SIMURAI — дозволити дослідникам створювати власні Java-аплети, завантажувати їх на реальні SIM-карти та тестувати можливості шпигунства, перехоплення, маніпуляцій і фішингу. Все — без втрати контролю над середовищем, у безпечних умовах і з повною гнучкістю.
Процес розробки Java-аплетів для SIMURAI починається зі створення спеціальних .cap-файлів — упакованих програм на Java Card, які відповідають вимогам SIM-карт. За замовчуванням такі аплети можуть зчитувати дані з файлової системи SIM, перехоплювати STK-події, обробляти системні команди й навіть взаємодіяти з користувачем через спливаючі SIM-меню. У середовищі SIMURAI цей процес значно спрощено за допомогою власного тулчейну, який дозволяє створювати аплети буквально за кілька хвилин.
Основні компоненти системи виглядають так:
Модуль Java Card Builder — створення аплетів, підпис і упаковка;
SIMURAI CLI — інструмент командного рядка для завантаження аплетів і керування SIM;
SDK з прикладами — десятки шаблонів для різних типів атак: від IMSI-ловлення до фішингових SIM Toolkit-меню.
Якщо раніше завантаження аплетів на SIM вимагало доступу до OTA-серверів або спеціального програмного обладнання, то SIMURAI пропонує більш універсальний підхід — інтерпосер. Це простий адаптер, який вставляється між SIM і смартфоном, перехоплюючи трафік і дозволяючи записувати або витягувати дані з карти. Через нього можна не лише завантажувати нові аплети, а й створювати середовище для живого тестування — наприклад, емулювати поведінку мережі, викликати STK-реакції або імітувати запити базової станції.
Сценарій типової атаки в середовищі SIMURAI включає:
Написання аплета, який реагує на сигнал мережі або STK-команду;
Завантаження аплета через інтерпосер або OTA;
Активацію поведінки на телефоні (наприклад, спливання меню або передача SMS);
Логування усіх відповідей і подій для аналізу.
Що найцікавіше — система дозволяє працювати з реальними SIM-картами будь-якого оператора. Завдяки підтримці десятків моделей, включно з новітніми nanoSIM, дослідник може протестувати одну й ту ж атаку на різних пристроях: від бюджетних Android до новітніх iPhone. Це дозволяє побачити, як реальні користувачі реагуватимуть на фішингові запити чи несподівані меню, і які саме вектори можна використовувати в реальному середовищі.
Таким чином, SIMURAI — це перший відкритий фреймворк, що дозволяє проводити повноцінні експерименти з SIM-картами без обмежень і ризику. Це не просто інструмент, це — нова модель досліджень у сфері мобільної безпеки, де SIM-карта більше не є «чорною скринькою», а стає прозорим об’єктом аналізу, експериментів і навчання. І якщо в першій частині ми лише торкнулися потенціалу SIM як трояна, то тепер ми бачимо повну картину: як саме створити, завантажити та керувати цим трояном — самостійно, точно, контрольовано.
Інтерпосер — це непомітна, але неймовірно потужна ланка між вашим смартфоном і SIM-картою. Він вставляється фізично між пристроєм і картою, перехоплює всі команди, які надходять до SIM, і дозволяє не лише читати ці дані, а й модифікувати їх або надсилати власні. У руках дослідника — це ідеальний інструмент для відлагодження Java-аплетів, аналізу трафіку і навіть симуляції шкідливої поведінки. У руках зловмисника — міст до повного контролю над SIM-картою користувача.
Суть роботи інтерпосера в тому, що він виступає своєрідним «прозорим проксі» між мобільним пристроєм та SIM-картою. Кожна команда, яку надсилає телефон (навіть на рівні базової станції), проходить через цей адаптер. SIMURAI дозволяє не лише перехоплювати ці команди, а й змінювати їх на льоту або інжектити нові — що відкриває простір для сотень сценаріїв атак і тестування захисту.
Реальні можливості interposer-тестування включають:
Живе завантаження Java-аплетів без доступу до операторського OTA;
Логування APDU-команд (протоколу обміну між SIM і телефоном);
Перехоплення або модифікація STK-команд, які телефон надсилає SIM-карті;
Емуляція мережевих умов, наприклад, раптового перезавантаження або втрати покриття.
Під час експериментів було протестовано кілька моделей адаптерів — від простих, що продаються на AliExpress, до спеціально розроблених плат з підтримкою автоматичного логування та збереження сесій. Найкращі результати показали адаптери з USB-виходом і підтримкою SIMtrace — відкритого проєкту для моніторингу трафіку SIM-карти. Це дозволяє буквально в реальному часі бачити, як Java-аплет, завантажений через SIMURAI, поводиться в системі, реагує на команди, або намагається щось надіслати.
Щоб зрозуміти, наскільки це потужно, достатньо одного прикладу: з допомогою інтерпосера дослідник зміг створити сценарій, де SIM-карта після звичайного запуску телефону надсилала SMS із IMSI-кодом користувача на заданий номер. Усе це — без жодних дозволів на смартфоні, без встановлення додатків і навіть без візуального підтвердження. Це — сила адаптера.
Список реальних задач, які дозволяє вирішити interposer:
Завантаження тестових шкідливих аплетів без ризику для системи;
Вивчення поведінки мобільної ОС при взаємодії з SIM;
Аналіз відповідей SIM-карт на STK-запити й можливості фішингу;
Перевірка різних моделей SIM-карт і їх стійкість до втручання.
Таким чином, міжкартковий адаптер — це не просто розетка в ланцюгу зв’язку, а повноцінна лабораторія між пластиком і системою. З ним дослідник отримує повний доступ до низькорівневих процесів, які раніше були закриті навіть для мобільних операторів. Це — зброя майбутніх атак і майбутнього захисту. Саме тому SIMURAI робить акцент на цій технології як на основі дослідження та практичного використання SIM-безпеки.
Теорія — це добре, але головне питання кожного дослідника: чи працює атака на реальному пристрої? SIMURAI надає повноцінний полігон для тестування Java-аплетів і SIM-атаки в реальних умовах, на справжніх смартфонах. Щоб перевірити, наскільки глибоко можна проникнути в систему через SIM-карту, дослідники провели випробування на чотирьох найпопулярніших категоріях пристроїв — Samsung, iPhone, Pixel і OnePlus. І кожна з них показала свої вразливості, особливості та несподівані реакції на малварну SIM.
Перший експеримент проводився на Samsung Galaxy серії S. У ньому було протестовано Java-аплет, який після вмикання телефону активував STK-меню з кнопкою “Оновити номер”. Усе виглядало як частина звичайного обслуговування SIM-карти. Користувач, не підозрюючи нічого, вводив номер — і дані одразу вирушали SMS-повідомленням на прихований сервер. Що цікаво — Android не блокував подію, і система вважала це частиною функціональності SIM, не виводячи попереджень.
На iPhone результат був інший. Apple iOS активніше обмежує STK-команди та Java-аплети, але SIMURAI дозволив обійти це через маніпуляцію з APDU-чергами: під час запуску системи певна комбінація команд дозволяла активувати приховану STK-взаємодію. Так було реалізовано меню, яке імітувало операторське сповіщення про нові бонуси. Натискання на нього відкривало аплет, який запитував номер паспорта або ID-картки — типовий фішинг.
На Pixel все пройшло ще цікавіше. Пристрої Google надають більшу прозорість у логах, і саме це дозволило простежити, як система спілкується з SIM. Було помічено, що навіть при блокуванні STK деякі аплети можуть відповідати на оновлення мережі. У результаті було реалізовано просту, але ефективну атаку: після підключення до мережі аплет зчитував ICCID і IMSI й надсилав їх через прихований SMS-канал, навіть без повідомлень користувачеві.
Список протестованих сценаріїв на різних телефонах:
Samsung: запуск STK-меню → збір номера → передача через SMS;
iPhone: приховане меню → фішинг → запит особистих даних;
Pixel: автоматичний виклик → зчитування IMSI → ексфільтрація;
OnePlus: емуляція оновлення SIM → зміна STK-налаштувань → перезапис елементів.
OnePlus, зокрема, виявився дуже вразливим до інтерпосера. Через модифікацію SIM у режимі реального часу вдалося підмінити STK-запит, зробивши телефон “помічником” для збору даних. Меню виглядало як запит від служби підтримки оператора, але при цьому запускалося прямо з шкідливого аплету.
Висновок очевидний: немає жодного “захищеного” смартфона, коли атакуючий має контроль над SIM-картою. ОС не очікує, що SIM стане трояном, і тому навіть найновіші пристрої піддаються впливу з цього боку. І поки не з’явиться окрема перевірка SIM-комунікацій у кожній мобільній ОС, цей канал залишатиметься ідеальним для фішингу, стеження та крадіжки ідентичностей.
На перший погляд, SIM-карта — це просто маленький чип, який дозволяє підключити ваш смартфон до мережі. Але насправді вона — повноцінний комп’ютер із власним процесором, пам’яттю, операційною системою й навіть можливістю запускати додатки (аплети). І саме тут починається найцікавіше: якщо хтось завантажить до неї шкідливий аплет, то SIM стає непомітною точкою вторгнення — бекдором, який не видно ані в налаштуваннях смартфона, ані в антивірусах.
У дослідженні SIMURAI показано, що сьогодні створення, розгортання та використання шкідливих SIM-аплетів можна автоматизувати, а значить — перетворити на сервіс. Дослідники вже реалізували повноцінну концепцію SIM as a Service: ти завантажуєш SIM-аплет у систему, і він автономно виконує потрібні дії — від збору IMSI-кодів до надсилання шкідливих команд у мережу.
Ось як виглядає типовий життєвий цикл такої атаки:
Підготовка SIM-аплету: шкідливий код створюється за допомогою API Java Card;
Завантаження в SIM-карту: через OTA-канал або фізично (через адаптер);
Активація: SIM запускає аплет під час підключення до мережі або після команди з сервера;
Виконання: аплет взаємодіє з телефоном, викликає STK-меню, надсилає SMS, отримує й виконує команди;
Видалення або сплячий режим: після виконання задача стирається або аплет “засинає”, чекаючи нових інструкцій.
Це означає, що зловмисник може розгорнути мережу заражених SIM-карт, які “сплять” до моменту запуску або доти, поки користувач не перетне кордон, не вставить SIM у телефон або не увімкне інтернет. І все це — без потреби в доступі до самого пристрою.
У рамках дослідження було створено кілька прикладів шкідливих аплетів:
SMS-екстрактор — аплет, який передає вміст SMS на зовнішній номер;
Контролер SIM-даних — дозволяє змінити ICCID або зчитувати ідентифікатори;
Фішинговий модуль — імітує STK-меню, яке просить ввести конфіденційні дані;
Зв’язковий модуль — відкриває канал на сервер зловмисника для отримання нових команд.
І тут стає очевидним: SIM більше не є пасивним учасником мобільного процесу. Вона здатна ініціювати дії, отримувати інструкції, передавати інформацію — і робити це непомітно для користувача. А оскільки її контролює мобільний оператор або зловмисник, SIM стає недосяжною для класичних інструментів безпеки.
Це повністю змінює модель загроз. Якщо раніше основним каналом атаки були додатки, Wi-Fi або SMS-фішинг, то тепер SIM може бути не жертвою, а джерелом атаки. Саме тому дослідження SIMURAI важливе: воно показує, що SIM як бекдор — це вже не теорія, а цілком реальна, керована й масова загроза.
Щоб реально вивчати атаки на SIM-карти, одного теоретичного аналізу недостатньо. Потрібна платформа, яка дозволяє безпечно створювати, завантажувати та запускати шкідливі аплети, тестуючи їх у максимально реалістичних умовах. І саме таку платформу створили автори дослідження — вона отримала назву SIMURAI. Цей інструмент став проривом у практичному аналізі безпеки SIM, бо дав змогу вперше повноцінно відтворити і відлагодити весь ланцюг атаки — від написання коду до його запуску в реальному смартфоні.
SIMURAI складається з кількох компонентів, які разом утворюють лабораторію для атаки через SIM. Головна перевага — вона дозволяє не просто моделювати, а фізично реалізовувати шкідливі дії на SIM з точністю до окремих команд і апаратних реакцій.
Ключові можливості платформи:
Редактор Java Card-аплетів із можливістю вставки шкідливих інструкцій;
Модуль OTA-завантаження, який емулює доставку аплетів через мережу;
Інтерпосер — спеціальний адаптер, який вмонтовується між SIM і телефоном, дозволяючи перехоплювати та змінювати дані в реальному часі;
Логер STK-команд і APDU-відповідей, що дозволяє аналізувати взаємодію SIM і пристрою;
Віртуальний емулятор, який відображає реакцію пристрою на дії SIM-карти.
SIMURAI не просто дозволяє “гратися з аплетами”, а повністю імітує роботу мобільного оператора, SIM-карти та взаємодії з ОС телефону. Це надзвичайно важливо, бо саме в цій взаємодії і виникає найбільше вразливостей — наприклад, у спосіб, у який Android або iOS обробляють STK-запити.
Важливим елементом стала підтримка живих мереж. Через інтерпосер платформа могла працювати з реальним сигналом, імітуючи поведінку SIM у реальній мережі мобільного оператора. Це дозволило вперше в історії кібербезпеки протестувати “живу” SIM-атаку на справжньому смартфоні з реальною картою.
Типовий сценарій роботи з SIMURAI виглядає так:
Розробник створює аплет у редакторі;
OTA-модуль “відправляє” його в SIM (через інтерпосер або пряме завантаження);
SIM-карта активується в пристрої — наприклад, iPhone або Samsung;
STK-команда надсилається або приймає вхідні дані;
Усі події логуються, аналізуються, порівнюються з очікуваними сценаріями.
У підсумку — дослідник отримує максимально реалістичну картину, яку неможливо відтворити жодними емуляторами або симуляціями. А головне — платформа працює без рут-доступу до телефона, що робить її універсальною для тестування навіть на захищених пристроях.
SIMURAI показала, що майбутнє мобільної безпеки залежить не лише від коду додатків чи прошивок, а й від глибокого розуміння невидимих компонентів смартфона — таких як SIM-карта. І тепер, коли є такий інструмент, ні в кого більше не буде виправдання “ми не знали, що це можливо”.
Упродовж багатьох років SIM-карта залишалася в тіні — вважалася просто інструментом автентифікації, “пластиком із кодом”, який не становить прямої загрози. Проте результати дослідження SIMURAI повністю зруйнували цей міф: сьогодні SIM — це повноцінна платформа для атак, яка може діяти автономно, глибоко, приховано й довготривало. Вона має всі компоненти, щоб бути не лише каналом зв’язку, а й точкою проникнення, бекдором, шпигуном і навіть механізмом контролю.
У сучасному світі, де кожен користувач має смартфон, мобільна безпека більше не може ігнорувати SIM. Дослідження показало:
SIM-карта здатназапускати складні атаки на рівні STK, SMS, OTA та інших каналів.
Java Card-аплети можуть бути шкідливими, передавати дані, впливати на поведінку пристрою або приховано взаємодіяти з мережею.
Через інтерпосери та реальні тести вдалося відтворити атаки на живих мережах, включно з iPhone, Samsung, OnePlus і Pixel.
SIMURAI-платформа довела, що ці атаки — не теорія, а повністю реалізована практика.
Усе це вимагає переосмислення мобільної моделі загроз. Тепер уже недостатньо захищати лише додатки, Wi-Fi або Bluetooth. Потрібно аналізувати прошивки SIM, контролювати OTA-комунікацію, верифікувати STK-виклики та мати інструменти для виявлення шкідливих аплетів.
Варто розуміти, що SIM — це “тихий агент”, якого ми всі носимо з собою. Він може працювати незалежно від системи, у фоновому режимі, без повідомлень, без вікон і без згоди. І саме тому вона — ідеальний інструмент для шпигунства, стеження, віддаленого керування.
Відтепер жодна оцінка безпеки мобільного пристрою не буде повною без аналізу SIM. Дослідження SIMURAI задало новий стандарт глибини й реалістичності аналізу. Воно довело: ми більше не можемо дозволити собі недооцінювати маленьку карту, яка ховається під лотком.
