Трояны атакуют: как не лишиться денег в Google Play и AppStore

Трояны атакуют: как не лишиться денег в Google Play и AppStore
  • 03.01.18
  • 0
  • 10471
  • фон:

Главный тренд уходящего года среди киберпреступлений, который будет лишь набирать обороты, — взрывной рост числа банковских троянов. Ориентированы они в первую очередь на владельцев Android-устройств. Такая активность вполне объяснима: Android занимает почти 85 процентов рынка мобильных операционных систем и в силу своей открытости гораздо хуже защищен, чем, например, вторая по популярности мобильная операционка iOS. Трояны попадают на гаджеты не только из сомнительных источников — многие из них успешно сидят в официальных магазинах приложений. О том, как вирусы обчищают владельцев смартфонов и как не обнулить свой банковский счет, скачав игры из Google Play, — в материале РИА Новости.

Android под прицелом

Только за 2017-й хакеры украли у владельцев Android-смартфонов более миллиарда рублей, по сравнению с прошлым годом ущерб вырос на 136 процентов. Мобильные устройства для хакеров — привлекательная мишень, ведь антивирусы на них работают не столь эффективно, как на ПК. А с повсеместным распространением мобильного банкинга смартфон фактически стал вторым кошельком.

"Написание вредоносных приложений под мобильные устройства гораздо проще, чем под ПК с учетом всех существующих средств защиты",  — объясняет Антон Фишман, директор проектного направления Group-IB, специализирующегося на расследовании киберпреступлений.

С конца декабря пользователей Android атакует Catelites Bot — банковский троян, который загружается на устройство под видом системного приложения, а потом, получив нужные права доступа, меняет иконку на значки почты Gmail, маркета Google Play или браузера Chrome.

При запуске банковского приложения вирус подменяет его на фейковое окно, куда пользователь вводит персональные данные. В итоге они оказываются в руках у мошенников. Вредоносный код нацелен на клиентов более 2000 банков и уже заразил более десяти тысяч гаджетов.

В IB-Group, впрочем, отмечают: этот вирус  уже давно обчищает владельцев Android, но "работает" все время под разными названиями. Аналитики подсчитали, что за сутки Android-трояны снимают со счетов россиян порядка трех миллионов рублей. Средняя сумма одного хищения — 11 тысяч.

 
Обзор приложения Сбербанка России

Фейковый "Сбербанк Онлайн"

В ноябре киберпреступники запустили фейк одного из самых популярных в России приложений мобильного банкинга — "Сбербанк Онлайн". Пострадавшие  — снова владельцы Android-платформ.

Фейковое приложение маскируется под оригинал и вводит в заблуждение пользователей, в результате злоумышленники получают данные счетов клиентов.

Как рассказали в Cбербанке, для борьбы с трояном они внедрили в свое приложение антивирус — он выявляет вредоносные программы и блокирует их установку. И дали совет клиентам: скачивать прикладные программы нужно только с официальных ресурсов, следить, к чему они просят доступ, и пользоваться антивирусом.

А что насчет iOS

Эксперты констатируют: "подцепить" вирус, например, кейлоггер, который будет тайно записывать данные авторизации, могут и владельцы Apple, но это гораздо сложнее: сказываются особенности и большая закрытость операционной системы. Поэтому у пользователей iOS особой необходимости в сторонних антивирусах нет, главное — своевременно обновляться.

"Если сравнивать две популярных мобильных платформы — Android и iOS, устройства на базе Android наиболее подвержены атакам различных вирусов и вредоносных программ", — отмечает Наталья Масарская, руководитель отдела развития электронного бизнеса Райффайзенбанка.

 
Набор иконок, аналогичный использованным в iOS

В Group IB добавляют, что iOS-платформа куда более консервативна и все заражения, которые проникают на устройства Apple, быстро блокируются. Впрочем, у хакеров все равно есть несколько дней на то, чтобы заразить какую-то часть гаджета и украсть данные.

Как трояны проникают на устройство

Главный канал распространения мобильных банковских троянов — неофициальные источники приложений. Впрочем, стопроцентной гарантии их отсутствия не даст и официальный магазин, тот же Google Play. Чтобы обойти верификацию магазина, мошенники нередко загружают туда "чистое" приложение, которое не содержит вредоносный код. Такая программа успешно пройдет проверку.

"А уже потом, оказавшись на устройстве пользователя, приложение потребует обновления, которое и будет содержать троян. Или же оно сможет самостоятельно подгрузить на устройство вредоносный  код", — рассказал Фишман.

Бывает и такое, что хакеры взламывают приложения сторонних добросовестных разработчиков, которые уже размещены в Google Play, и в них встраивают вредоносный код. Взлом происходит не в самом магазине, а на серверах разработчика, которые имеют доступ к обновлению прикладных программ на Google Play или AppStore.

Расчет здесь на то, что, в отличие от самого приложения, каждое следующее обновление не будет проходить долгой и тщательной проверки в магазине.

Хорошая новость, впрочем, в том, что вероятность скачать легитимную программу из официального магазина, содержащую вредоносный троян, достаточно мала. Гораздо чаще трояны загружаются на устройства при скачивании программ из непроверенных источников и спамерских СМС-рассылок — все это методы социальной инженерии.

 

Не рутовать смартфон

Заражения трояном можно избежать, если соблюдать ряд несложных правил. Во-первых, в зоне риска все владельцы смартфонов, которые установили рут-права на Android и джейлбрейки на iOS.

"Рутованный" телефон позволяет пользователю получить доступ к файловой системе устройства и шире использовать его возможности. Но есть и обратная сторона: даже при наличии антивируса смартфон фактически лишен защиты: расширенные права в этом случае получают и программы, установленные на устройство.

"Как только вы это делаете, любое приложение, в том числе вредоносное, может запросить и получить права суперъюзера", — предупреждают в Group-IB.

Ссылки от контактов — проверить

Одно из главных правил — не переходить по ссылкам, в которых нет уверенности.

Получив от контакта из телефонной книги СМС с непонятной ссылкой и подписью "посмотри, какая я классная на фотографии", не  стоит ее открывать: cначала нужно уточнить у предполагаемого отправителя, действительно ли это присылал он.

Очень часто вредоносные приложения подменяют приложение СМС на мобильном устройстве и делают рассылку со ссылкой на скачивание самого себя по всему списку контактов пользователя. 

 
Сообщение в мобильном телефоне

Смотреть, к чему просят доступ

При установке из Google Play и других магазинов нужно внимательно читать, к чему программа запрашивает доступ. Если к приложению для работы с СМС  — сразу же стоит насторожиться. Вообще, смутить должно все, что напрямую не относится к функционалу выбранного приложения. Например, радио уж точно не должно запрашивать доступ к СМС, мессенджерам или мобильному банкингу.

Подменяя собой стандартное приложение для работы с СМС, троян определяет, каким банком пользуется жертва, и начинает тайную рассылку и прием сообщений от банковского кабинета. Под угрозой все пользователи онлайн-банкинга, работающего с СМС-командами.

Исключить подмену СМС-приложения

Цель здесь одна: установка вредоносного трояна, который дальше может действовать по-разному: обращаться к самому мобильному приложению банка и "вытаскивать" оттуда данные карты, либо делать так называемый веб-инжект: когда пользователь вводит в приложении банка номер карты, на которую нужно перевести деньги, троян будет подменять его на свой.

Еще один вариант — троян может самостоятельно зайти в приложение и совершить перевод средств, подменив приложение для отправки СМС, —  то есть по сути перехватить второй фактор  авторизации, который используют большинство банков, — СМС-код.

В целом же стоит придерживаться так называемой гигиены безопасности: избегать беспорядочных скачиваний по непонятным ссылкам, смотреть, к чему приложение запрашивает доступ, и пользоваться антивирусами для мобильных устройств. 

Источник