Вирус на телефоне который снимает деньги
У четырех из пяти россиян в возрасте 16—45 лет есть смартфон. Скорее всего, у вас тоже. Но вряд ли хотя бы один из пяти осознает, что смартфон — короткий путь к секретной информации. Через мобильные устройства злоумышленники добираются до личной переписки, банковских данных, паролей и денег.
Мобильный фишинг — новый тренд в мошенничестве. Разобраться в этой теме нам помог эксперт «Лаборатории Касперского» Виктор Чебышев, который знает о мобильных угрозах всё.
Кто в зоне риска
Жертвой мошенников может стать каждый пользователь смартфона на Андроиде. Основная проблема Андроида в том, что на него можно поставить программу из любого источника, в том числе пиратского. С июля по сентябрь 2015 эксперты из «Лаборатории Касперского» обнаружили 320 тысяч новых мобильных вредоносных программ для этой платформы.
В зоне риска любители бесплатных игр, программ и порно. Если вы набрали в Гугле «Angry Birds скачать бесплатно» или зашли на порносайт, где вам предложили «бесплатный доступ через приложение», — вы на пороге заражения.
Немного спокойнее могут себя чувствовать владельцы Айфонов. На эту платформу приходится только 0,2% вирусов и троянов. Однако это не значит, что Айфоны защищены: именно ложное ощущение безопасности делает их владельцев уязвимыми. Украсть деньги можно и через Айфон.
Главный фактор риска — это сам человек. Если он невнимателен, не понимает основ информационной безопасности и любит халяву, то он — идеальная жертва мошенников.
Как цепляют вирусы
Смс-вирусы стараются испугать или заинтриговать получателя, любой ценой заставляют открыть ссылкуПереходят по ненадежной ссылке в интернете. Пользователи ищут интересный контент: бесплатную музыку, фильмы, игры, порно. Щелкают по ссылке, что-то скачивают, открывают, получают вирус.
После визита на торренты в загрузках возник странный файл. Не связывайтесь, пусть разбирается антивирусНе ищите халяву или хотя бы делайте это с компьютера. На маленьком экране смартфона сложнее распознать подозрительный сайт и выше риск нажать не туда.
Открывают файлы и зловредные ссылки в социальных сетях. Здесь люди тоже попадают в западню в поисках контента. Например, посещают сообщества с играми и переходят по ссылкам в поисках бесплатных развлечений.
Одно нажатие на иконку — и любитель поохотиться на свиней сам становится мишеньюУстанавливайте приложения только из официального магазина: для Андроида это Гугл-плейЕсли на экране появилось непонятное приложение, открыть его — худший способ выяснить, что это такое
Не запускайте непонятные файлы, даже если они скачались со знакомого сайта. Если что-то скачалось само, скорее всего, это вирус
Совет от «Лаборатории Касперского»
Чтобы заразиться, достаточно открыть файл, полученный из ненадежного источника. После этого программа устанавливается и невидимо, в фоновом режиме выполняет всё, что в нее заложил автор.
Необходимость открыть файл — слабая защита для пользователя. Люди запускают и подтверждают всё что угодно — особенно когда ищут действительно интересный для них контент, например порно. Поэтому лучше не допускать, чтобы файл с вирусом попал на смартфон.
Лучше всего использовать комплексное решение для борьбы с вредоносными программами, например Kaspersky Internet Security для Android. Такой инструмент защищает сразу по всем фронтам: не только выявляет вирусы, но и проверяет смс, инспектирует ссылки в браузере и загружаемые файлы, а также периодически сканирует телефон на предмет угроз.
Антивирус — это еще и единственный способ обнаружить, что телефон уже заражен, и вылечить его.
Программы, которые отправляют платные смс
В описание некоторых смс-вирусов авторы даже включали мелкий текст, по которому пользователь соглашался на платную подписку. Конечно, этого никто не читал, но формально получается, что жертва давала согласие на списание денег.
Если пришел запрос на подтверждение платного смс, а вы ничего не отправляли, проверьте телефон антивирусом, он может быть заражен. Если у вас стали быстро кончаться деньги на счете, посмотрите на историю списаний в личном кабинете мобильного оператора.
Не подтверждайте платные услуги, которые вы не заказывали
Программы, которые перехватывают смс от банка
Когда вы покупаете что-то по карточке в интернете, банк присылает смс с кодом подтверждения. Хакеры заражают телефоны вирусами, которые перехватывают такие коды.
К счастью, одного кода из смс мошеннику недостаточно, чтобы украсть деньги со счёта. Нужны данные карты, чтобы провести по ним платеж и подтвердить его кодом из перехваченного смс.
Поэтому обычно сначала мошенники добывают данные карты, а потом уже заражают смартфон. Например, размещают QR -код со ссылкой на вредоносную программу и пишут, что там лежит приложение для скидок.
Как не попасться на удочку хакеров
Вирусописатели ведут целые базы зараженных смартфонов — ботнеты. Вредоносные программы на этих устройствах дремлют на случай, если когда-то понадобятся злоумышленникам. Например, когда у мошенника есть данные карты жертвы, но нет доступа к ее телефону, он идет в ботнет. Если найдет там нужное устройство, то активирует и использует вирус.
Берегите данные карты. Когда что-то покупаете в интернете, риск нарваться на вирус выше обычного
Программы, которые маскируются под мобильный банк
Когда вы запускаете мобильный банк, зловредная программа замечает это, перехватывает управление и уводит вас к себе. После этого программа выбирает подходящее оформление и маскируется под банковское приложение. Вы не замечаете подвоха, вводите в приложении данные карты, и они утекают к мошеннику.
Банк никогда не спросит данные карты, там и так всё знаютПомимо банков такие программы маскируются под магазины приложений, например Гугл-плей. В них пользователи тоже охотно вводят данные карточки.
У пользователя три попытки понять, что перед ним вирус. На кону содержимое картыЧисло поддельных мобильных банков растет быстрее всего: в 3 квартале 2015 в «Лаборатории Касперского» нашли в 4 раза больше таких программ, чем за предыдущие три месяца. Сейчас эксперты знают 23 тысячи программ, маскирующихся под приложения банков.
Будьте внимательны, когда открываете мобильный банк. Если видите что-то необычное при запуске или во внешнем виде приложения, это симптом. Если приложение требует лишнюю информацию, например номер карты, бейте тревогу.
Аккуратнее с приложениями банков. Помните: банк никогда не спросит у вас данные карты или пароль
Программы, которые используют смс-банк
Так выглядит переписка зараженного телефона с банком. Бездушную машину не удивляют повторяющиеся переводы среди ночи, жертва заметит пропажу только утромОцените, готовы ли держать такую брешь. Возможно, проще отключить эту услугу. Если смс-банк вам необходим, ставьте антивирус.
Программы, которые получают права суперпользователя
Обычно права суперпользователя — так называемый рутинг телефона — получают продвинутые пользователи, чтобы снять ограничения производителя и свободно манипулировать функциями смартфона.
К сожалению, хакеры постоянно находят уязвимости в мобильных операционных системах. В том числе такие, которые позволяют безобидным с виду приложениям сделать рутинг смартфона без ведома пользователя.
Например, вы скачиваете из магазина приложение «Фонарик». Оно не просит доступ ни к каким системным возможностям, ему даже смс неинтересны. Но если у вас несвежая операционная система, если в ней уязвимость, то «Фонарик» сделает рутинг смартфона, а вы даже не заметите.
После этого злоумышленник получит полный доступ к устройству и всем приложениям. Он зайдет в мобильный банк и украдет оттуда номера карт и пароли.
Борьбу с такими вирусами осложняет то, что многие производители годами не обновляют программное обеспечение на своих телефонах, поэтому уязвимости, которые находят хакеры, никто не устраняет. Особенно это касается дешевых устройств.
Опасные программы встречаются даже в официальных магазинах. Чтобы снизить риск, обращайте внимание на рейтинг приложения, отзывы и количество скачиваний. И не забывайте обновлять антивирус.
Вчера вечером обнаружился на телефоне вирус, сегодня начали снимать деньги ни за что (и батарея быстро расходуется, хотя я телефоном не пользовалась), положила 100 рублей через минут 5 было уже 80 руб, хотя телефоном я абсолютно не пользовалась, потом 50,а потом 20 руб осталось. Я пришла домой скачала антивирус -удалила вирус (ну по крайней мере ни один из двух антивирусов не видит опасности больше) Но эта фигня все равно продолжается-сейчас вообще мой счет ушёл в минус (-25 руб). Я ничего не понимаю . Что мне делать? Уже боюсь представить, что же завтра утром будет с моим счетом. Так ведь и до -1000 не далеко, а деньги исчезают прямо на глазах. Просто ужас какой то. Мобильный оператор- Мегафон (на всякий случай) Очень расчитываю на вашу помощь, никогда с таким не сталкивалась. Так получается, что я даже на связи не могу быть, так как деньги положишь, а их уже и нет на счету.
Вынимай аккумулятор или выключи, неси в сервис и быстрее
это не вирус. а программа которую ты сама же скачала. просто удали все проги с телефона и все пройдет
Зайдите в личный кабинет Мегафона (если нет - создайте) . Посмотрите, какие платные приложения подключены. Что то сами могла скачать и установить, что списывает деньги со счёта.
Так часто? Разве возможно списание денег чуть ли не каждые 10 минут?
ничего страшного нет, вариантов много
1.) сделай сброс системы в настройках у андроид (подойдет наверняка, только данные все удалятся ИЛИ скачай хороший антивирусник например доктор веб.
2.) посмотри за что снимают у тебя деньги, зайди в личный кабинет в мегафоне самостяельно в инете ИЛИ пойди в салон там тебе помогут
3.) Самый важный момент! пойди опять таки в Мегафон и просто вынеси им мозги ; ты должна взять заявление написать на списание средств со своего счета не законным путем тебе там дадут бумагу ( через некоторое время ОБЯЗАНЫ вернуть деньги). ЭТО ИХ ПАРТНЕРЫ И ОНИ ТЕ МЕГАФОН ОТВЕЧАЮТ ЗА НИХ !! Стой на своем.
Попробуйте установить антивирус и проверить телефон, советую бесплатный мобильный антивирус
Он у меня был и занес этот вирус (не только он один, но все же его пришлось удалить)
тоже купил маме на день рождения телефон, ни когда бы не подумал что, такое может произойти с кнопачным телефонам пришёл в салон, где покупал, мне говорили что дело не в телефоне, я объяснил что и как с ним происходит и всё таки мне его поменяли на другой
В смартфонах на Android распространяется новый вирус. Если раньше злоумышленники пытались потратить деньги со счетов владельцев телефонов, то теперь их цель – банковские карты. Вирус проверяет, подключен ли на устройстве «Мобильный банк», а дальше может перевести деньги со счета владельца телефона на номер злоумышленников.
Это второй за всю историю вирусов троянец с подобным функционалом. Первый заметили летом этого года, он использовал ранее неизвестную уязвимость в Android и активно противодействовал удалению.
Акцент — на банковские карты
Задача «осеннего» троянца — выполнение команд, поступающих с удаленного сервера. «Такой подход характерен для большинства вредоносных программ класса Trojan-SMS, поскольку обеспечивает более гибкую реакцию владельца троянца на изменение окружающих условий: сотового оператора, баланса счета, времени суток», — объясняет Виктор Чебышев.
Владельцы вируса проверяли, подключен ли в смартфоне «Мобильный банк»
Попав на мобильное устройство, этот троянец никак не проявляет себя, пока не получит какую-либо команду от своих хозяев. Для общения с удаленным C&C сервером и получения команд троянец использует POST запросы. Обычно SMS-троянцы автоматически рассылают дорогостоящие SMS, получив команду хозяина. Но этот экземпляр лишен самостоятельности, вся его деятельность привязана к командному серверу – он получает команду, выполняет ее, сообщает хозяевам результат и ждет новую команду.
«Нам удалось перехватить несколько поступивших команд, — говорит представитель «Лаборатории Касперского». — В ходе выполнения одной из них троянец отправил SMS со словом BALANCE на короткий номер одного из крупнейших банков страны. На коротком номере работает сервис взаимодействия с услугой «Мобильный банк». Таким образом, владельцы троянца проверяли, привязан ли данный мобильный номер к счету в банке и узнавали баланс этого счета.
Вирус не дает жертве связаться с банком
Дальнейшая судьба похищенных денег может быть разной. Сервисы, созданные во благо пользователя, теперь будут играть против него. Например, у «большой тройки» операторов сотовой связи есть возможность перевода денег с лицевого счета на QIWI кошелек, средства на котором впоследствии можно обналичить. Для того чтобы жертва как можно дольше оставалась в неведении, троянец тщательно заметает следы своей деятельности и препятствует общению жертвы и банка. В частности, он перехватывает SMS и звонки с принадлежащих банку номеров — их список также поступает к троянцу с C&C сервера. В результате жертва ещё долгое время может не подозревать о том, что все деньги с ее банковского счета украдены.
Что еще может сделать вирус?
- Собирать и отправлять хозяевам данные о телефоне (IMEI, название сотового оператора, страна).
- Красть информацию обо всех входящих и исходящих звонках.
- Передавать списки запущенных на смартфоне процессов.
- Блокировать входящие и исходящие звонки с указанного номера.
Хакеры любят Android
Эксперты уверенно называют Android самой атакуемой хакерами платформой.
Кроме того, платформа Android является открытой операционной системой с большими возможностями для разработчиков. Это, с одной стороны хорошо: «больше приложений хороших и разных», но, с другой стороны, такая открытость ОС облегчает жизнь и киберпреступникам».
Как защитить свой смартфон от вирусов?
Роман Унучек, антивирусный эксперт «Лаборатории Касперского»:
• Не включать «режим разработчика».
• Не включать галочку «установка приложений из сторонних источников».
• Устанавливать приложения только из официальных каналов (e.g. Google play, Amazon store etc.).
• Внимательно следить за теми правами, которые приложения запрашивают при установке.
Кража денег с банковских счетов становится все более распространенным делом – в социальных сетях и на форумах постоянно всплывают новые истории от людей, внезапно обнаруживших свой банковский счет пустым. И если раньше основным инструментом воровства выступала платежная карта, с которой где-то «срисовали» данные и ПИН, то сейчас вполне можно обойтись и без физического контакта с ней – достаточно доступа к смартфону или ПК, работающим с банковскими приложениями.
Расстроенный пользователь смотрит на свой банковский счет
На эту тему я поговорил с Сергеем Ложкиным, одним из экспертов лаборатории Касперского (это произошло на пресс-конференции, посвященной итогам года), и он привел несколько примеров из своей практики. Для меня эти примеры достаточно очевидны (хотя и на старуху бывает проруха), однако многие люди (в том числе те, кто вроде бы «в теме») о них даже не подозревают. Поэтому давайте поговорим об этом чуть подробнее.
Зачем заражать мобильные устройства?
Деятельность злоумышленников по взлому и дальнейшему использованию в своих интересов мобильных устройств расцвела в последнее время буйным цветом. Во-первых, этих устройств стало очень много, так что даже при использовании относительно примитивных инструментов шанс зацепить кого-нибудь все равно довольно велик. Во-вторых, мы очень уж активно доверяем им все детали свой личной и, отдельно, семейной и финансовой жизни. В-третьих, мобильные устройства стали удобным инструментом взаимодействия с банками – тут и авторизация, и SMS-банк, и банковские приложения. Все это делает мобильные устройства лакомым куском для создателей вредоносного ПО: в случае успешного заражения из них можно вытянуть очень много ценного.
Наиболее перспективный и прибыльный на сегодня вид вредоносного ПО – это банковские троянцы, которые перехватывают управление взаимодействием с банком и опустошают банковский счет.
Заражение ПК
Один из простых путей: заразить ПК, а через него уже – мобильное устройство. Хотя на сегодняшний день заражение ПК с Windows через новую, неизвестную уязвимость в системе встречается достаточно редко. Неизвестная уязвимость (т.е. 0day) встречается редко, на черном рынке стоит дорого, а при массовом заражении довольно быстро вычисляется и закрывается патчами. Поэтому для массовой рассылки вредоносного ПО (того же банковского трояна) игра чаще всего не стоит свеч.
Куда чаще используются уже старые и известные уязвимости, которые закрыты обновлениями ОС – расчет идет на тех пользователей, у которых не работает или отключено автоматическое обновление. Либо для атаки на систему используются уязвимости в стороннем ПО – браузерах, флэш-плеере и других приложениях Adobe, Java-машине и пр.
Один из наиболее распространенных механизмов «автоматического» заражения состоит в том, что пользователя заманивают на вредоносную страницу (или можно внедрить фрейм или скрипт на легальной странице, например, сайте ведущего новостного агентства, от которого не ожидают подвоха), где находится эксплоитпак – набор уязвимостей для разных браузеров или компонентов (того же Adobe Flash, Java и пр.). Стоит вам зайти на нее, как скрипт подберет уязвимость именно вашего браузера и через нее скачает и запустит нужные компоненты вредоносного ПО именно под вашу систему. Уязвимость браузера может существовать в открытом виде неделями, пока информация о ней дойдет до разработчика и пока он не выпустит обновление. Но и дальше она сохраняет актуальность для тех, кто не обновился до последней версии.
Далее на компьютер с помощью этой уязвимости самостоятельно скачивается и запускается, либо (если подходящей уязвимости не нашлось) пользователю предлагается к скачиванию пользователю под любым соусом (например, знаменитые «Обновления браузера Opera» или «обновление Adobe») собственно вирус/троян. Или так называемый дроппер (он же даунлоадер). Это загрузчик, который осматривается в системе и потом закачивает и ставит другие требуемые компоненты – клавиатурные шпионы, вирусы, шифровальщики, компоненты для организации ботнетов и многое другое – в зависимости от полученного задания. Кстати говоря, его работу часто может отловить и заблокировать файрволл. Если он есть, конечно.
Незакрытая уязвимость = большие проблемы
Если антивирусная компания находит такую уязвимость либо ловит трояна и по его поведению видит, как он проникает в систему, то она сразу информирует о проблеме разработчиков. Дальше – у всех по-разному. Например, представители Лаборатории Касперского говорят, что в большинстве случаев Google старается выпускать патчи достаточно быстро, Adobe тоже. И при этом относительно невысоко оценивают Safary для Mac, называя его одним из рекордсменов по количеству уязвимостей. А Apple реагирует когда как – иногда заплатки выходят очень быстро, иногда уязвимость может оставаться открытой чуть ли не год.
Заражение мобильного устройства
Если ПК уже заражен, далее при подключении мобильного устройства троян пытается либо напрямую заразить его, либо заставить пользователя установить вредоносное приложение.
Оказалось, что это работает даже для устройств Apple – недавно обнаруженный троян WireLurker использовал именно эту схему. Сначала заражал ПК, потом – подключенный к нему смартфон. Это возможно потому, что iPhone или iPad рассматривает компьютер, к которому подключен, как доверенное устройство (иначе как ему обмениваться данными и применять обновления ОС?). Впрочем, для iOS это исключительная ситуация (подробнее я расскажу о том, как работает WireLurker, в другом материале), а так система очень хорошо защищена от внешних вторжений. Но с важной оговоркой: если не делать джейлбрейк устройства, который полностью снимает защиту и открывает устройство для любой вредоносной деятельности. Вот для джейлбрейкнутых айфонов вирусов предостаточно. Для техники на iOS есть варианты с успешными APT (целевыми атаками), но обычные пользователи с ними почти не сталкиваются, да и усилий для заражения конкретного устройства там приходится прикладывать очень много.
Основная головная боль (и одновременно основной источник заработка) для всех антивирусных компаний – смартфоны на Android. Открытость системы, являющаяся одним тиз ее основных плюсов (простота работы, огромные возможности для разработчиков и пр.) в вопросах безопасности оборачивается минусом: вредоносное ПО получает много возможностей проникнуть в систему и получить над ней полный контроль.
Впрочем, в дополнение к тем возможностям, которые предоставляет злоумышленникам сама система, свой посильный вклад вносят и пользователи. Например, снимают галочку с пункта настроек «Устанавливать приложения только из доверенных источников», существенно облегчая вредоносному ПО проникновение в систему под видом легальных приложений. Также многие пользователи проводят процедуру получения Root-прав (которые могут быть необходимы для решения некоторых задач, да и аудитория у Android больше склонна к экспериментам в системе), что окончательно снимает даже остатки защиты от перехвата управления системой.
Например, сейчас много где используется двухфакторная аутентификация, т.е. операции подтверждаются одноразовым SMS-паролем от банка на смартфон, так что провести снятие денег без участия смартфона не удастся. Вирус, который уже сидит в ПК, видит, что пользователь зашел в банк-клиент – и вставляет в браузер новое окно с запросом, которое выглядит так же, интерфейс веб-страницы банка и содержит запрос номера телефона под любым предлогом (подтверждение, проверка, необходимость загрузки ПО и т.д.). Пользователь вводит свой номер, и на смартфон приходит SMS со ссылкой для скачивания «банковского приложения» или чего-нибудь для обеспечения безопасности. Обычному пользователю кажется, что он получил ссылку от банка, и… Причем сценарий, судя по всему, вполне распространенный – например, огромное предупреждение не устанавливать такие приложения висит на сайте «Сбербанка». В этом случае установленная галочка в настройках Android «устанавливать приложения только из доверенных источников» не дала бы заразить систему.
Зачастую старый добрый замок надежнее
Впрочем, если не повезет, то в случае Google можно получить вредоносное приложение и из легального магазина. В Apple Appstore проводится серьезная проверка поступающих приложений, благодаря которой вредоносные программы просто не попадают в официальный магазин, осуществляется контроль над разработчиками. В Google Play же «более открытая схема сотрудничества» приводит к тому, что вредоносные приложения регулярно попадают в магазин, а Google реагирует лишь постфактум. То есть, существует шанс установить себе вирус даже из официального магазина приложений для Android.
Ну а дальше начинается самое интересное – зачем этот вирус в системе нужен.
Что происходит после заражения мобильной системой
Очень много троянов знают схему работы банка с пользователями и построение ПО (через клиент-банк или веб-сайт – непринципиально). Соответственно, они могут создавать «персонифицированные» фишинговые страницы, внедрять вредоносный код в страницу банка прямо в браузере (например, у вас появится дополнительное окно с требованием подтвердить тот же телефонный номер) и сделать много чего еще. Например, потребовать «установить компонент безопасности», «приложение для работы с банком» и пр. А может и полностью в фоновом режиме зайти на страницу банка и без вашего участия произвести требуемые операции.
Самостоятельное заражение мобильного устройства
Впрочем, если мобильное устройство уже заражено, помощь большого ПК может и не потребоваться.
Радикальный подход к безопасности паролей
Зараженная мобильная система может сама вытягивать информацию из пользователя в самых, казалось бы, невинных ситуациях. Например, при покупке приложения в Google Play у вас появляется дополнительное окно, где просят, в дополнение к паролю, подтвердить номер вашей кредитной карты. Окно поверх приложения Google Play, в нужный момент, все вполне логично и не вызывает сомнений. А на самом деле, это мобильный вирус SVPenk, который таким образом ворует данные кредитки… точнее, даже не ворует — пользователь отдает их ему сам.
Взломать канал связи между банком и приложением трояну вряд ли удастся, там слишком сложное шифрование, сертификаты и пр. Как и «влезть» в легитимное банковское приложение. Но он может, например, перехватить управление тачскрином и отследить действия пользователя в приложении. Ну а дальше он может самостоятельно имитировать работу с тачскрином, вводя в банковское приложение нужные данные. В этой ситуации операция перевода денег инициируется из банковского приложения, а если код подтверждения приходит на то же устройство, то он сразу перехватывается и вводится самим трояном – очень удобно.
Конечно, иметь интернет-банк и канал подтверждения через SMS на одном устройстве – не очень хорошее решение, но редко у кого с собой одновременно два телефона. Лучше всего подтверждение банковских операций к SIM -карте, вставленной в старый телефон без доступа в интернет.
Операция Emmental или «Дыры – они в головах!»
Для примера рассмотрим одну из атак, описанную компанией Trend Micro и названную ее специалистами «Emmental» из-за большого количества дыр в безопасности, которое они сравнили со швейцарским сыром. Атака Emmental была нацелена на клиентов нескольких десятков европейских банков – в Швейцарии (16 банковских сайтов, статистика на основе работы одного из серверов злоумышленников), Австрии (6), Швеции (7) и, почему-то, в Японии (5). Цель атаки – завладеть банковскими данными пользователя для входа в систему с его данными и воровства информации.
Основными особенностями Emmental стали, во-первых, двухступенчатый механизм заражения (сначала компьютер, потом смартфон), позволяющий обойти двухфакторную авторизацию. Во-вторых, подмена DNS на собственный, перенаправлявший клиентов на фишинговые сайты, которые выглядели «совсем как настоящие!» и установка поддельного сертификата безопасности. Ну и последняя особенность – судя по некоторым намекам в коде, его делали русскоязычные ребята. Во-первых, в коде забыли убрать коммент «obnulim rid», а во-вторых, в модуле проверки страны SIM-карт есть страны, где проводилась атака, а также Россия, но троян под нее не работает (видимо, использовалась при тестировании). С другой стороны, судя по логам сервера, основная активность шла из Румынии.
Все эти предметы позволяют украсть у вас деньги
При попытке зайти на сайт своего банка пользователь перенаправляется на фишинговый сайт, где для авторизации указывает логин и пароль, после чего злоумышленники получают доступ к аккаунту и всей информации на нем. Далее фишинговый сайт требует от пользователя установить на телефон приложение для генерации одноразовых паролей при работе с банком, якобы с целью повышения безопасности. В инструкции говорится о том, что линк придет на SMS, но этот вариант не работает (это сделано специально), и пользователи вынуждены использовать «запасной вариант»: вручную скачивать APK-файл приложения для Android по предложенной ссылке. После установки (как проходит установка, в отчете не раскрывается, а жаль – ведь защита у Android тоже есть) нужно ввести пароль от приложения на сайте – чтобы типа активировать новую систему безопасности. Это сделано для того, чтобы удостовериться, что пользователь действительно установил приложение на Android.
На этом, собственно, и все: теперь у злоумышленников есть логин, пароль, и приложение на смартфоне, которое будет перехватывать SMS с паролями (для этого оно устанавливает собственный сервис прослушки SMS), скрывать их от пользователя и отправлять их на командный сервер (умеет это делать и через интернет, и через SMS). Кроме этого, приложение для смартфона умеет собирать и отсылать на командный сервер довольно много разной информации о телефоне и его владельце.
В целом, Emmental – сложная операция, требующая высокой квалификации и профессионализма участников. Во-первых, она включает создание двух разных троянов под две платформы. Во-вторых, разработку серьезной инфраструктуры под них – сервера DNS, фишинговые сайты, тщательно мимикрирующие под сайты банков, командный сервер, координирующий работу сайтов и приложений, плюс сам модуль для кражи денег. Самоудаляющийся модуль заражения ограничивает возможности для исследования – в частности, заражение могло происходить не только через почту, но и другими способами.
Итоги
Здесь мы описали лишь пару ситуаций, когда вирус получает контроль над смартфоном, и этого хватает для того, чтобы осуществить перевод денег на подставной счет. Существует очень много самых разнообразных вариантов банковских троянев, которые используют разные (подчас весьма сложные и даже изящные) схемы заражения и похищения данных, а вслед за ними и денег.
Правда, для заражения системы «массовым вирусом» (т.е. широко рассылаемым, а не направленным на конкретного пользователя) обычно должно совпасть много факторов (включая небрежность или неграмотность пользователя), но в этом и прелесть массовых решений: найдется достаточное количество «клиентов» с этим сочетанием, чтобы злоумышленники в особо удачных случаях не успевали обналичивать падающие к ним на счет украденные деньги (реальная ситуация!). Так что в огромном количестве случаев спастись от финансовых потерь поможет обычная осмотрительность – просто нужно обращать внимание на странное и необычное поведение смартфона, банк-клиента, компьютера и т.д. Хотя полагаться только на нее, когда речь идет о финансовых вопросах, наверное, не стоит.
Очень просто и максимально коротко — все, что нужно знать о мобильных банковских троянах и защите от них своих банковских счетов.
21 сентября 2016
1. Зачем мне это читать?
Этот текст поможет сберечь деньги, хранящиеся у вас на банковской карте. Неплохо, да?
2. Мобильные банковские трояны — что это?
Каждый смартфон — это миниатюрный компьютер со своей операционной системой и программным обеспечением. И своими вирусами. Мобильные банковские троянцы — одни из самых опасных: эти приложения воруют деньги с банковских счетов пользователей смартфонов (и планшетов).
3. Кто в зоне риска?
Пострадать могут все владельцы гаджетов, использующие банковские приложения. Больше всего рискуют пользователи Android-смартфонов — 98% мобильных банковских троянов созданы для этой операционной системы.
В 2016 году эти зловреды активно атаковали пользователей из России, Германии и Австралии. Также в первую десятку вошли Южная Корея, Узбекистан, Китай, Украина, Дания, Киргизия и Турция.
4. Это правда так опасно?
Эти трояны — одна из главных мобильных угроз десятилетия. Только с начала 2016 года мы зарегистрировали более 77 тысяч разновидностей установочных пакетов мобильных банковских троянцев. И можно не сомневаться, что в будущем ситуация точно не станет лучше.
5. Как трояны попадают в телефон?
Не поверите — пользователи сами их загружают. Чаще всего преступники выдают троянов за полезные приложения и с помощью разных хитрых трюков заставляют людей установить зловредов.
6. Серьезно, даже в Google Play приложения не всегда безопасны?
7. А у меня iPhone. Я могу не беспокоиться?
Поэтому владельцам айфонов тоже нужно быть бдительными. Более того, с легкой руки Apple для iOS нет антивирусов, так что, если беда все-таки случится, все пользователи яблочной операционной системы останутся с троянами один на один.
8. Как вообще происходит кража денег?
Будьте осторожны с приложениями, которые запрашивают права доступа к SMSЕще один важный этап при краже денег — это перехват SMS с одноразовыми паролями для осуществления платежей и переводов. Поэтому троянам обычно нужны права доступа к SMS, и именно поэтому стоит быть особенно осторожными с приложениями, которые такие права запрашивают.
Мобильные трояны могут незаметно выводить деньги по чуть-чуть, в течение нескольких месяцев, а могут украсть все сразу — в зависимости от того, что им прикажут киберпреступники.
9. Как понять, что мой смартфон заражен?
Самый очевидный признак — это тот печальный факт, что у вас начали исчезать деньги со счета, причем этих транзакций вы точно не совершали.
Если подозрительных денежных переводов пока не было, но вы все равно хотите проверить свой смартфон, установите наш бесплатный Kaspersky Antivirus & Security для Android и просканируйте систему.
10. Какие трояны наиболее опасны?
OpFake — троянец-трудоголик, изучивший интерфейсы почти сотни банковских и финансовых приложений. Трояны семейства Acecard не сильно отстают: они способны подменять экраны около 30 банковских приложений, а также перекрыть интерфейс любого приложения по приказу командного сервера. В 2016 году в России самыми активными были такие зловреды, как Asacub, Svpeng и Faketoken.
11. Как себя защитить?
12. Что делать, если у меня украли деньги?
Первое, что нужно сделать, — это как можно скорее обратиться в банк, чтобы заблокировать карту и, если возможно, опротестовать транзакцию. В некоторых случаях банки не выводят деньги мгновенно, так что шанс вернуть украденное все-таки есть.
Убедитесь, что вы удалили вредоносное приложение с устройства. Для этого вам нужно будет проверить систему с помощью антивируса.
Внимательно перечитайте предыдущий пункт нашего FAQ, чтобы не допустить повторения этой же ситуации в будущем.
Читайте также: