Group-IB: новый вирус маскируется под банковское ПО |
Компания Group-IB, которая занимается расследованием и предотвращением киберпреступлений, зафиксировала новую волну массового распространения вирусов, маскирующихся под мобильные приложения ведущих банков страны.
Основной мишенью злоумышленников стали пользователи мобильных устройств на операционной системе Android. Как отмечают в Group-IB, вирусы распространяются не через официальный магазин приложений Google Play, а через рекламные объявления в поисковых системах.
Кража денег у жертвы происходит следующим образом: после получения соответствующих разрешений, в том числе на чтение и отправку СМС-сообщений, установленное фейковое приложение запрашивает логин/пароль от личного кабинета и реквизиты платежной карты. Таким образом, ни о чем не подозревающая жертва дает злоумышленникам доступ к своим конфиденциальным данным, которые могут быть использованы для любых банковских операций в личном кабинете, включая денежные переводы.
При этом подлинный "хозяин" личного кабинета пребывает в неведении: СМС-уведомления о доступе к его счету, транзакциях и любых других операциях перехватываются Android-трояном. Таким образом, вирусная программа получает возможность проводить практически все банковские операции в кабинете пользователя.
Для противодействия злоумышленникам специалисты Group-IB оперативно блокировали все выявленные ресурсы, с которых распространялись фальшивые банковские приложения, рекламные объявления с недобросовестным контентом удалялись сотрудниками поисковых сервисов.
В ходе дальнейшего расследования экспертами компании была выявлена связь распространителя этих вредоносных банковских приложений и автора мошеннических ресурсов по продаже авиабилетов, которые были популярны в 2016 г. и в начале 2017 г. (например, letimranshe.ru, тогда Group-IB было заблокировано более 30 аналогичных ресурсов). CERT Group-IB продолжает следить за развитием ситуации.
Проблема масштабна: по данным компании, почти 85% смартфонов в мире работают на платформе Android, которая, в отличие от iOS, представляет собой открытую экосистему. А популярность "гуглофонов" делают ее привлекательной для авторов вирусов. За последний год, по оценкам Group-IB, рынок банковских Android-троянов оказался самым динамичным и быстрорастущим. Ущерб физическим лицам от банковских троянов под Android в России вырос на 136% (за период H2 2016-H1 2017 сумма хищения составила $14 млн) и перекрыл ущерб от троянов для персональных компьютеров на 30%.
"Большинство пользователей не остановило даже то, что для установки такого рода программ им необходимо разрешить инсталляцию приложений из недоверенных источников в настройках безопасности своих устройств, — считает Александр Калинин, руководитель CERT-GIB. — Как правило, об опасности такого подхода операционная система предупреждает сразу же после получения согласия пользователя. Однако в данном случае жертвы фишинг-атаки были согласны взять на себя все риски. Стоит отметить, что качество приложений-подделок как по дизайну, так и по механике заражения, постоянно растет, что сбивает с толку многих пользователей, не обращающих внимание на критичные детали: название домена, переадресацию на сторонний ресурс и др.".
Для того чтобы не стать жертвой злоумышленников, специалисты Group-IB рекомендуют придерживаться следующих правил:
- Если вам необходимо установить мобильное приложение на смартфон c ОС Android, используйте только официальные магазины (например, Google Play). Как правило, ссылки для скачивания приложений указаны на официальном сайте банка – используйте только их.
- Отключите на своем устройстве функцию использования непроверенных источников для установки приложения. Если ваш смартфон предупреждает вас о возможном риске, не устанавливайте приложение.
- Внимательнее отнеситесь к адресам сайтов (доменам), с которых предлагается скачать приложение. Как правило, для создания фишинговых сайтов, злоумышленники нередко используют ошибки в написании названий банков, добавляют различные буквенные или цифровые приставки к имени банка, используют домены второго и более уровней.
- Если вы заметили что-либо подозрительное на сайте, с которого предлагается скачать приложение, сразу же сообщите об этом в службу безопасности банка или в официальную группу банка в социальных сетях, не забыв приложить скриншот.
<...>