Российские банки обнаружили новый вирус для хищения денег
Российские банки начали сталкиваться с новым видом мошенничества — трояном, который способен автоматически переводить средства через банковские мобильные приложения для операционной системы Android (так называемый автозалив). Механизм работы вируса в своем ежегодном докладе Hi-Tech Crime Trends 2019 (есть у РБК) описала компания Group-IB, которая специализируется на вопросах кибербезопасности.
РБК опросил крупнейшие банки, и два из них сообщили, что имели дело с таким вирусом, хотя масштабы его применения пока крайне малы.
Как работает вирус
Раньше вирусы для Android умели только демонстрировать на зараженном устройстве поддельные окна для ввода данных карты и перехватывать СМС-сообщения с кодом подтверждения транзакции, говорится в докладе. Новый вид зловредных программ появился в 2019 году: теперь они могут автоматически переводить деньги со счета жертвы через банковское мобильное приложение, установленное на смартфоне, на счет злоумышленника.
«Функциональные возможности новых троянов под Android практически приблизились к троянам-банкерам (вид вируса, который крадет данные учетных записей электронных банковских систем, систем электронных платежей, пластиковых карт пользователей этих услуг и отправляет злоумышленнику. — РБК). Они рассчитаны на массовое заражение и максимальную капитализацию бизнеса своих операторов», — сказал РБК представитель Group-IB.
Впервые эксперты Group-IB зафиксировали новый вид атаки весной 2019 года, когда до функции автозалива был модифицирован новый мобильный Android-троян Gustuff, созданный в декабре 2018 года русскоязычным хакером. Однако этот тип вируса угрожал только 100 иностранным банкам, в том числе в США, Польше, Австралии, Германии и Индии.
Как может заразиться смартфон
Мошенники маскируют вирусы под приложения (игры, браузеры) или файлы (книги и т.п.), затем распространяют их в виде ссылки на сайтах для взрослых, сайтах со взломанными приложениями и пиратскими фильмами, торрент-трекерах, по электронной почте и СМС. Чтобы заразить смартфон, троян надо скачать и установить. После этого он начинает выполнять свои функции без ведома пользователя.
Кто столкнулся с трояном
В 2019 году с новым видом троянов столкнулись клиенты минимум двух российских банков — Почта Банка и МКБ, рассказали РБК их представители.
«В настоящее время наблюдается увеличение доли хищений с использованием такого рода троянов. Однако такие случаи единичны и в общей доле фрода (мошенничество с использованием информационных технологий. — РБК) незначительны», — отметил директор департамента электронного бизнеса МКБ Алексей Курзяков.
В Почта Банке также фиксируют единичные случаи подобных атак, но банку удалось их предотвратить.
В ВТБ, Росбанке и Райффайзенбанке подобных атак не фиксировали (в ВТБ подчеркнули, что банк не видит, находится ли подобный вирус на устройстве клиентов, поэтому опираются на их жалобы, которых не поступало). Остальные крупные кредитные организации на запрос РБК не ответили.
Почта Банк и МКБ, клиенты которых были атакованы новым вирусом, могут отслеживать заражение смартфонов и при необходимости предупреждать клиентов, рассказали РБК в банках. «Для выявления несанкционированных операций, которые проводятся с помощью зловредного ПО, установленного на смартфоне, помимо транзакционной аналитики мы также используем специальные средства, которые позволяют нам выявлять факты установки троянов на устройства клиентов. Сопоставление нехарактерной для клиента активности с уровнем риска заражения его устройства позволяет эффективно противодействовать такого рода фроду», — объяснил вице-президент, директор по безопасности Почта Банка Станислав Павлунин.
Появление нового вида троянов в текущем году подтверждают и в антивирусной компании «Лаборатория Касперского». Однако случаи, когда он управлял банковским приложением, заставляя его провести платеж, единичны, утверждает антивирусный эксперт «Лаборатории Касперского» Виктор Чебышев.
Всего за год (с июля 2018 по июнь 2019 года) с помощью троянов для Android хакеры смогли украсть 110 млн руб., говорится в отчете Group-IB. По сравнению с аналогичным периодом годом ранее этот показатель упал на 43%. Сократилось и число группировок, которые используют эти вирусы в России, — с восьми до пяти. Перестали действовать трояны с наибольшим числом мошеннических транзакций. В среднем в день происходит около 40 успешных атак, а сумма одного хищения составляет 11 тыс. руб., посчитали в Group-IB.
Активность троянов в России снизилась после задержания владельцев крупнейших Android-бот-сетей, в результате чего хакеры переключились на международный рынок, сообщил представитель Group-IB: «Однако некоторые злоумышленники патчат (модифицируют. — РБК) приложения и продают трояны для последующих атак на пользователей в России. Это редкая практика».
Источник
Эксперты обнаружили сканеры QR-кодов, крадущие данные российских банковских приложений
Компания по обеспечению кибербезопасности ThreadFabric обнаружила 12 приложений для Android, способных в обход защитных механизмов «Play Маркета» красть данные банковских приложений. Компания отметила, что приложения загружают вредоносный компонент только при работе в определенных регионах, в том числе в России. В числе российских банков, данные чьих приложений отслеживаются вирусом,— Сбербанк, Тинькофф-банк, «Уралсиб», Почта-банк и ОТП-банк. Вредоносные приложения мимикрируют под сканеры документов и QR-кодов.
Исследователи выделили три группы вредоносных приложений в зависимости от вредоносного кода, который они загружают. На Россию наряду с США, Великобританией, Австрией и другими странами нацелена одна из них — Anatsa. Приложения этой группы были установлены 200 тыс. раз, одно из них — сканер QR-кодов от издателя QrBarCode LDC — было установлено более 50 тыс. раз. ThreatFactor отмечает, что приложения работают в точности, как указано в описании, и на их страницах оставлено много положительных отзывов.
После установки вредоносное приложение определяет, стоит ли загружать вирус на телефон. Если условия соответствуют этому, программа просит пользователя скачать «обновление» и предоставить разрешение на установку неизвестных приложений. Под видом обновления загружается собственно вредоносный код, который затем запрашивает разрешение на предоставление полного доступа к телефону. Из-за того что вредоносный код загружается отдельно от приложения, вирус проходит проверки при публикации в «Play Маркете».
В числе приложений, работающих подобным образом и ориентированным на другие страны, ThreatFactor обнаружила программу по занятиям фитнесом. При загрузке вредоносного кода приложение убеждает пользователя, что «обновление» добавляет новые тренировки и упражнения.
Источник
Банковские трояны: главная мобильная киберугроза
Современный смартфон — это полноценный компьютер помощнее того, что стоял у нас на столе каких-нибудь 10 лет назад. И он почти наверняка содержит данные, ценные для злоумышленников, например, банковские.
30 сентября 2015
Бум смартфонов, проникновение которых за пару лет превысило 50% «мобильного» населения, принес с собой одну серьезную проблему — мобильные киберугрозы. Если на компьютере пользователи более-менее привыкли соблюдать правила «информационной гигиены», то смартфон в сознании большинства — всего лишь телефон, устройство сродни утюгу или стиральной машине. Чего тут бояться?
Между тем современный смартфон — это полноценный компьютер, помощнее того, что стоял у вас на столе каких-нибудь 10 лет назад. И очень опасный компьютер. На диске домашнего компьютера может не быть ничего ценного, кроме пары хранящихся со студенческих времен собственноручно написанных рефератов да груды фотографий из поездки в Турцию. А вот смартфон почти наверняка содержит данные, ценные не только для вас, но и для злоумышленников.
Дело в том, что если у вас есть смартфон, то велика вероятность и наличия банковской карты. А поскольку банки используют мобильные номера для авторизации (например, отправляют SMS с одноразовыми паролями для подтверждения операций), возникает соблазн этот канал коммуникации перехватить и совершать переводы и платежи с вашего банковского счета от вашего имени.
Неудивительно, что банковские троянцы являются сегодня наиболее распространенной мобильной киберугрозой: к ним относится до 95% зловредов для смартфонов. Свыше 98% из них предназначены для платформы Android, что неудивительно. Во-первых, она наиболее массовая (занимает свыше 80% рынка смартфонов). Во-вторых, единственная среди популярных платформ, принципиально допускающая установку ПО из неизвестных источников.
На половину всех Android-девайсов можно установить вредоносное ПО незаметно для владельца аппарата: http://t.co/QXPAtX9f8N
Несмотря на то что троянцы куда менее опасны, чем вирусы, так как обязательно требуют участия пользователя для установки в систему, существует большое количество эффективных методов социальной инженерии, подталкивающих «клиента» установить троянца под видом, скажем, важного обновления или бонусных уровней к популярной игре. Есть и эксплойты, загружающие зловредов автоматически, стоит пользователю случайно запустить один из них.
Будьте внимательны! Письма с темой «У Вас не погашен кредит» могут заразить ваши компьютеры: https://t.co/h4pk13xvhJ
Основных методов работы банковских троянцев три:
• Они могут скрывать от пользователя банковские SMS с паролями и тут же перенаправлять их злоумышленнику, который воспользуется ими, чтобы перевести ваши деньги на свой счет.
• Таким же образом банковские троянцы могут действовать в автоматическом режиме, время от времени отправляя относительно небольшие суммы на счета преступников.
• Либо зловреды сразу мимикрируют под мобильные приложения банков и, получив доступ к реквизитам для входа в мобильный интернет-банк, делают все то же самое.
Больше всего банковских троянцев — до 50% — ориентировано на Россию и страны СНГ; довольно распространены они также в Индии и Вьетнаме, в последнее время стали популярны универсальные зловреды, способные загружать обновляемые профили банков разных стран: США, Германии, Великобритании.
«Дедушкой» мобильных банковских троянов является Zeus, он же Zitmo (Zeus-in-the-mobile), появившийся еще в 2010 году (а его предок для ПК, оригинальный Zeus, был создан вообще в 2006 году) и успевший в одних только США заразить свыше 3,5 млн устройств, создав крупнейший в истории ботнет.
Это классический «перехватчик», он сохраняет вводимые пользователем в браузере логины и пароли для доступа к интернет-банку и затем отсылает их злоумышленнику, который впоследствии может войти в систему под указанными реквизитами и совершить переводы (двухфакторную авторизацию Zitmo тоже обходил).
Кроме того, при помощи Zeus удалось украсть более 74 тыс. FTP-паролей от различных сайтов, включая сайт Bank of America, и изменить на них код таким образом, чтобы получить данные кредитных карт при попытке ими что-то оплатить. Zeus был особенно активен до конца 2013 года, когда его начал вытеснять более современный Xtreme RAT, однако ядро трояна до сих пор популярно у создателей зловредов.
Новый зловред занимается хищением денег у клиентов 150 банков и 20 платежных систем в 15 странах: http://t.co/pk4wQp0XKo
В 2011 году появился SpyEye — один из самых успешных банковских троянцев в истории. Его автор — Александр Андреевич Панин продавал код на черном рынке по цене от $1000 до $8500; по данным ФБР, деанонимизировавшего создателя SpyEye, всего было около 150 покупателей троянца, создавших его модификации для хищений у клиентов различных банков. Один из покупателей кода за шесть месяцев смог украсть $3,2 млн.
«Великолепная» четверка банковских троянов: Carberp, Citadel, SpyEye, Zeus http://t.co/zMapqSruPR
В 2012 году обнаружился Carberp — компонент, маскировавшийся под Android-приложения крупнейших российских банков: Сбербанка и Альфа-Банка — и ориентированный на клиентов этих банков в России, Белоруссии, Казахстане, Молдавии и на Украине. Одним из интересных моментов этой истории стало то, что преступникам удалось разместить фейковые приложения в Google Play.
Google Play распространяет троян Carberp для российских банков http://t.co/Adh7edqy
Злоумышленники в количестве 28 человек были обнаружены и арестованы российской и украинской полицией. Однако исходный код Carberp оказался опубликован в 2013 году, так что теперь любой желающий может на его основе написать свой собственный зловред. И если оригинальный Carberp встречался в странах бывшего СССР, то его клоны сейчас обнаруживаются то в Европе, то в США, то в Латинской Америке.
В 2013 году из Турции через Португалию и Чехию победное шествие начал Hesperbot: этот троян помимо прочего создает на зараженном устройстве скрытый VNC-сервер, при помощи которого злоумышленник может получить доступ к удаленному управлению смартфоном.
Разработчиком вируса Hesperbot оказался житель Украины: Вирус Hesperbot впервые был обнаружен в Турции в… http://t.co/JkBqu0S00T #новости
Даже после удаления трояна доступ остается, и вор может перехватить все сообщения, как если бы аппарат был у него в руках, и, конечно же, снова установить зловреда. Кроме того, Hesperbot был замечен не только в роли банковского трояна, но и в качестве похитителя биткойнов. Распространяется Hesperbot с помощью фишинга под видом сообщений от почтовых сервисов.
В 2014 году был открыт исходный код Android.iBanking — готового комплекса для перехвата банковских SMS-паролей и удаленного управления смартфоном. Ранее он продавался за $5000, публикация кода привела к значительному всплеску заражений.
Троян Android.iBanking свободно продается в интернете за $5000 http://t.co/eFNmgRHYUj
Комплекс состоит из вредоносного кода, заменяющего собой уже установленное на смартфоне приложение банка (функциональность оригинального приложения при этом сохраняется, но появляется широкий набор новых возможностей), и программы под Windows с удобным графическим интерфейсом, позволяющим управлять всеми подконтрольными смартфонами из автоматически обновляемого списка.
Интересно, что, несмотря на наличие бесплатной версии, все равно существует и пользуется спросом платная: владельцам «премиум-аккаунтов» предоставляются регулярные обновления и качественная техподдержка. В конце того же года в Google Play было обнаружено два троянца, ориентированных на бразильских пользователей, созданных без каких-либо навыков программирования при помощи универсального конструктора приложений.
Бразилия вообще особенный регион в плане «банковских» атак. Дело в том, что в стране очень популярна мобильная платежная система Boleto, которая позволяет переводить средства друг другу путем создания виртуальных чеков с уникальным идентификатором платежа, преобразованным в штрихкод на экране смартфона, откуда его можно сосканировать камерой другого смартфона.
— Евгений Касперский (@e_kaspersky_ru) July 16, 2014
Специальные троянцы, ориентированные на Boleto, вроде Infostealer.Boleteiro перехватывают генерируемые чеки в момент их отображения в браузере и буквально «на лету» модифицируют их таким образом, чтобы платеж был отправлен не первоначальному адресату, а злоумышленнику.
Дополнительно троянец мониторит ввод ID в системе Boleto на сайтах и в банковских приложениях (при пополнении счета в системе) и затем скрыто подставляет при отправке формы ID злоумышленника — таким образом пополняется его счет.
Банковские трояны: главная мобильная #киберугроза
В России в июне 2015 года обнаружен троянец Android.Bankbot.65.Origin, распространяющийся под видом пропатченного официального приложения «Сбербанк Онлайн», — мол, при удалении старой версии и установке новой пользователь получит полный доступ к функциям мобильного банка, а не только к шаблонам платежей.
Так как троян после установки сохранял все функции оригинального приложения, пользователи поначалу не замечали подвоха. А в июле со счетов 100 тыс. клиентов Сбербанка было похищено в общей сложности более 2 млрд рублей. Все жертвы использовали скомпрометированное приложение «Сбербанк Онлайн».
Разумеется, история банковских троянов все еще пишется, постоянно появляются все новые и новые приложения, преступники находят все более и более эффективные приемы для заманивания своих жертв. Так что стоит защитить свой смартфон как следует.
Источник