Skip to content

20.07.2017

Обнаружен вирус для кражи денег с банковских карт владельцев Android


Расстроенный пользователь смотрит на свой банковский счет источник На эту тему я поговорил с Сергеем Ложкиным, одним из экспертов лаборатории Касперского это произошло на пресс-конференции, посвященной итогам года , и он привел несколько примеров из своей практики. Поэтому давайте поговорим об этом чуть подробнее. Зачем заражать мобильные устройства?

Деятельность злоумышленников по взлому и дальнейшему использованию в своих интересов мобильных устройств расцвела в последнее время буйным цветом. Во-первых, этих устройств стало очень много, так что даже при использовании относительно примитивных инструментов шанс зацепить кого-нибудь все равно довольно велик.

Основные разделы

Во-вторых, мы очень уж активно доверяем им все детали свой личной и, отдельно, семейной и финансовой жизни. В-третьих, мобильные устройства стали удобным инструментом взаимодействия с банками — тут и авторизация, и SMS-банк, и банковские приложения. Все это делает мобильные устройства лакомым куском для создателей вредоносного ПО: Наиболее перспективный и прибыльный на сегодня вид вредоносного ПО — это банковские троянцы, которые перехватывают управление взаимодействием с банком и опустошают банковский счет.

Заражение ПК Один из простых путей: Хотя на сегодняшний день заражение ПК с Windows через новую, неизвестную уязвимость в системе встречается достаточно редко. Неизвестная уязвимость то есть 0day встречается редко, на черном рынке стоит дорого, а при массовом заражении довольно быстро вычисляется и закрывается патчами. Поэтому для массовой рассылки вредоносного ПО того же банковского трояна игра чаще всего не стоит свеч. Куда чаще используются уже старые и известные уязвимости, которые закрыты обновлениями ОС — расчет идет на тех пользователей, у которых не работает или отключено автоматическое обновление.

Либо для атаки на систему используются уязвимости в стороннем ПО — браузерах, флэш-плеере и других приложениях Adobe, Java-машине и пр. Стоит вам зайти на нее, как скрипт подберет уязвимость именно вашего браузера и через нее скачает и запустит нужные компоненты вредоносного ПО именно под вашу систему. Уязвимость браузера может существовать в открытом виде неделями, пока информация о ней дойдет до разработчика и пока он не выпустит обновление.

Информация

Но и дальше она сохраняет актуальность для тех, кто не обновился до последней версии. Или так называемый дроппер он же даунлоадер. Это загрузчик, который осматривается в системе и потом закачивает и ставит другие требуемые компоненты — клавиатурные шпионы, вирусы, шифровальщики, компоненты для организации ботнетов и многое другое — в зависимости от полученного задания.

Кстати говоря, его работу часто может отловить и заблокировать файрволл. Если он есть, конечно. Дальше — у всех по-разному. Например, представители Лаборатории Касперского говорят, что в большинстве случаев Google старается выпускать патчи достаточно быстро, Adobe тоже. И при этом относительно невысоко оценивают Safary для Mac, называя его одним из рекордсменов по количеству уязвимостей. А Apple реагирует когда как — иногда заплатки выходят очень быстро, иногда уязвимость может оставаться открытой чуть ли не год.

Заражение мобильного устройства Если ПК уже заражен, далее при подключении мобильного устройства троян пытается либо напрямую заразить его, либо заставить пользователя установить вредоносное приложение. Оказалось, что это работает даже для устройств Apple — недавно обнаруженный троян WireLurker использовал именно эту схему. Сначала заражал ПК, потом — подключенный к нему смартфон. Это возможно потому, что iPhone или iPad рассматривает компьютер, к которому подключен, как доверенное устройство иначе как ему обмениваться данными и применять обновления ОС?

Впрочем, для iOS это исключительная ситуация подробнее я расскажу о том, как работает WireLurker, в другом материале , а так система очень хорошо защищена от внешних вторжений. Но с важной оговоркой: Вот для джейлбрейкнутых айфонов вирусов предостаточно.

Комментарии

Для техники на iOS есть варианты с успешными APT целевыми атаками , но обычные пользователи с ними почти не сталкиваются, да и усилий для заражения конкретного устройства там приходится прикладывать очень много. Основная головная боль и одновременно основной источник заработка для всех антивирусных компаний — смартфоны на Android. Открытость системы, являющаяся одним тиз ее основных плюсов простота работы, огромные возможности для разработчиков и пр.

Впрочем, в дополнение к тем возможностям, которые предоставляет злоумышленникам сама система, свой посильный вклад вносят и пользователи. Также многие пользователи проводят процедуру получения Root-прав которые могут быть необходимы для решения некоторых задач, да и аудитория у Android больше склонна к экспериментам в системе , что окончательно снимает даже остатки защиты от перехвата управления системой.

Например, сейчас много где используется двухфакторная аутентификация, то есть операции подтверждаются одноразовым SMS-паролем от банка на смартфон, так что провести снятие денег без участия смартфона не удастся. Вирус, который уже сидит в ПК, видит, что пользователь зашел в банк-клиент — и вставляет в браузер новое окно с запросом, которое выглядит так же, интерфейс веб-страницы банка и содержит запрос номера телефона под любым предлогом подтверждение, проверка, необходимость загрузки ПО и т.

Зачастую старый добрый замок надежнее источник Впрочем, если не повезет, то в случае Google можно получить вредоносное приложение и из легального магазина. В Apple Appstore проводится серьезная проверка поступающих приложений, благодаря которой вредоносные программы просто не попадают в официальный магазин, осуществляется контроль над разработчиками. То есть, существует шанс установить себе вирус даже из официального магазина приложений для Android.

Ну а дальше начинается самое интересное — зачем этот вирус в системе нужен. Что происходит после заражения мобильной системой Для начала, пару слов о ситуации, когда заражен ПК, и троян оттуда передал свой компонент на смартфон, где тот успешно заработал. Основной троян может перехватить реквизиты например, с помощью клавиатурного шпиона или через браузер и воспользоваться ими, либо просто удаленно зайти на сайт банка через вашу же систему.

При совершении операции на смартфон приходит код, его перехватывает второй компонент и передает первому для завершения операции. Для передачи кода может использоваться как интернет-соединение, так и отсылка кода с помощью исходящего смс-сообщения Очень много троянов знают схему работы банка с пользователями и построение ПО через клиент-банк или веб-сайт — непринципиально. А может и полностью в фоновом режиме зайти на страницу банка и без вашего участия произвести требуемые операции. Самостоятельное заражение мобильного устройства Впрочем, если мобильное устройство уже заражено, помощь большого ПК может и не потребоваться.

Самый простой способ украсть деньги с использованием зараженного смартфона — через SMS-банкинг. Большинство банков дают возможность получать информацию о балансе и проводить операции посредством кодированных сообщений на короткий номер. Этим очень легко воспользоваться. Попав в систему, троян рассылает сообщение с запросом баланса на известные ему номера банков.

Некоторые версии умеют определять, в какой стране обитает пользователь, посмотрев региональные настройки телефона, и скачивают с командного сервера список номеров для конкретной страны. Если по одному из номеров получен ответ, то можно начинать вывод денег на подставной счет, откуда они потом обналичиваются.

Схема простая и распространенная, причем работает не только при взломе телефона, но и, например, если его украдут. Есть даже ситуации, когда по подставной ксерокопии паспорта или доверенности восстанавливают SIM-карту с тем же результатом. Радикальный подход к безопасности паролей источник Зараженная мобильная система может сама вытягивать информацию из пользователя в самых, казалось бы, невинных ситуациях. Например, при покупке приложения в Google Play у вас появляется дополнительное окно, где просят, в дополнение к паролю, подтвердить номер вашей кредитной карты.

Окно поверх приложения Google Play, в нужный момент, все вполне логично и не вызывает сомнений. А на самом деле, это мобильный вирус SVPenk, который таким образом ворует данные кредитки… точнее, даже не ворует — пользователь отдает их ему сам. Взломать канал связи между банком и приложением трояну вряд ли удастся, там слишком сложное шифрование, сертификаты и пр.

Но он может, например, перехватить управление тачскрином и отследить действия пользователя в приложении.

снова Вирусы для кражи теперь

Ну а дальше он может самостоятельно имитировать работу с тачскрином, вводя в банковское приложение нужные данные. В этой ситуации операция перевода денег инициируется из банковского приложения, а если код подтверждения приходит на то же устройство, то он сразу перехватывается и вводится самим трояном — очень удобно.

Конечно, иметь интернет-банк и канал подтверждения через SMS на одном устройстве — не очень хорошее решение, но редко у кого с собой одновременно два телефона. Лучше всего подтверждение банковских операций к SIM -карте, вставленной в старый телефон без доступа в интернет. Атака Emmental была нацелена на клиентов нескольких десятков европейских банков — в Швейцарии 16 банковских сайтов, статистика на основе работы одного из серверов злоумышленников , Австрии 6 , Швеции 7 и, почему-то, в Японии 5.

Цель атаки — завладеть банковскими данными пользователя для входа в систему с его данными и воровства информации.

было Вирусы для кражи сомнения

Основными особенностями Emmental стали, во-первых, двухступенчатый механизм заражения сначала компьютер, потом смартфон , позволяющий обойти двухфакторную авторизацию. Ну и последняя особенность — судя по некоторым намекам в коде, его делали русскоязычные ребята. С другой стороны, судя по логам сервера, основная активность шла из Румынии. Первичное заражение ПК — через спам, причем совершенно без изюминки. Приходит письмо якобы от известного ритейлера для каждой страны своего по поводу якобы заказа с якобы приложенным чеком в rtf.

Открыв rtf, пользователь видит внутри! Если открыть его и проигнорировать уведомление о возможной опасности , загрузится модуль netupdater. То-есть, чтобы получить троян, пользователь должен проявить недюжинную беспечность и неразумность. К счастью для атакующих, таких пользователей большинство. При этом сам модуль заражения достаточно интересный: После этого модуль сам себя удаляет, так что при дальнейшем сканировании в системе его нет, антивирус не видит ничего подозрительного, да и механизм заражения установить будет сложнее.

Все эти предметы позволяют украсть у вас деньги источник При попытке зайти на сайт своего банка пользователь перенаправляется на фишинговый сайт, где для авторизации указывает логин и пароль, после чего злоумышленники получают доступ к аккаунту и всей информации на нем.

большей Вирусы для кражи имени всех

Далее фишинговый сайт требует от пользователя установить на телефон приложение для генерации одноразовых паролей при работе с банком, якобы с целью повышения безопасности. После установки как проходит установка, в отчете не раскрывается, а жаль — ведь защита у Android тоже есть нужно ввести пароль от приложения на сайте — чтобы типа активировать новую систему безопасности. Это сделано для того, чтобы удостовериться, что пользователь действительно установил приложение на Android.

На этом, собственно, и все: Кроме этого, приложение для смартфона умеет собирать и отсылать на командный сервер довольно много разной информации о телефоне и его владельце. В целом, Emmental — сложная операция, требующая высокой квалификации и профессионализма участников. Во-первых, она включает создание двух разных троянов под две платформы.

Удивительно, но факт! При вводе данных своих карт пользователи отправляют средства напрямую взломщикам.

Во-вторых, разработку серьезной инфраструктуры под них — сервера DNS, фишинговые сайты, тщательно мимикрирующие под сайты банков, командный сервер, координирующий работу сайтов и приложений, плюс сам модуль для кражи денег. Самоудаляющийся модуль заражения ограничивает возможности для исследования — в частности, заражение могло происходить не только через почту, но и другими способами. Итоги Здесь мы описали лишь пару ситуаций, когда вирус получает контроль над смартфоном, и этого хватает для того, чтобы осуществить перевод денег на подставной счет.

Существует очень много самых разнообразных вариантов банковских троянев, которые используют разные подчас весьма сложные и даже изящные схемы заражения и похищения данных, а вслед за ними и денег. Так что в огромном количестве случаев спастись от финансовых потерь поможет обычная осмотрительность — просто нужно обращать внимание на странное и необычное поведение смартфона, банк-клиента, компьютера и т.

Хотя полагаться только на нее, когда речь идет о финансовых вопросах, наверное, не стоит.

Читайте также:

  • Административное взыскание за незаконную охоту
  • Сотрудник полиции относится к административному или исполнительному органу
  • Завещание на имущество которое не принадлежит