Бум смартфонов, проникновение которых за пару лет превысило 50% «мобильного» населения, принес с собой одну серьезную проблему — мобильные киберугрозы. Если на компьютере пользователи более-менее привыкли соблюдать правила «информационной гигиены», то смартфон в сознании большинства — всего лишь телефон, устройство сродни утюгу или стиральной машине. Чего тут бояться?
Между тем современный смартфон — это полноценный компьютер, помощнее того, что стоял у вас на столе каких-нибудь 10 лет назад. И очень опасный компьютер. На диске домашнего компьютера может не быть ничего ценного, кроме пары хранящихся со студенческих времен собственноручно написанных рефератов да груды фотографий из поездки в Турцию. А вот смартфон почти наверняка содержит данные, ценные не только для вас, но и для злоумышленников.
Дело в том, что если у вас есть смартфон, то велика вероятность и наличия банковской карты. А поскольку банки используют мобильные номера для авторизации (например, отправляют SMS с одноразовыми паролями для подтверждения операций), возникает соблазн этот канал коммуникации перехватить и совершать переводы и платежи с вашего банковского счета от вашего имени.
Неудивительно, что банковские троянцы являются сегодня наиболее распространенной мобильной киберугрозой: к ним относится до 95% зловредов для смартфонов. Свыше 98% из них предназначены для платформы Android, что неудивительно. Во-первых, она наиболее массовая (занимает свыше 80% рынка смартфонов). Во-вторых, единственная среди популярных платформ, принципиально допускающая установку ПО из неизвестных источников.
На половину всех Android-девайсов можно установить вредоносное ПО незаметно для владельца аппарата: http://t.co/QXPAtX9f8N
— Kaspersky (@Kaspersky_ru) March 26, 2015
Несмотря на то что троянцы куда менее опасны, чем вирусы, так как обязательно требуют участия пользователя для установки в систему, существует большое количество эффективных методов социальной инженерии, подталкивающих «клиента» установить троянца под видом, скажем, важного обновления или бонусных уровней к популярной игре. Есть и эксплойты, загружающие зловредов автоматически, стоит пользователю случайно запустить один из них.
Будьте внимательны! Письма с темой «У Вас не погашен кредит» могут заразить ваши компьютеры: https://t.co/h4pk13xvhJ
— Kaspersky (@Kaspersky_ru) August 25, 2015
Основных методов работы банковских троянцев три:
• Они могут скрывать от пользователя банковские SMS с паролями и тут же перенаправлять их злоумышленнику, который воспользуется ими, чтобы перевести ваши деньги на свой счет.
• Таким же образом банковские троянцы могут действовать в автоматическом режиме, время от времени отправляя относительно небольшие суммы на счета преступников.
• Либо зловреды сразу мимикрируют под мобильные приложения банков и, получив доступ к реквизитам для входа в мобильный интернет-банк, делают все то же самое.
Больше всего банковских троянцев — до 50% — ориентировано на Россию и страны СНГ; довольно распространены они также в Индии и Вьетнаме, в последнее время стали популярны универсальные зловреды, способные загружать обновляемые профили банков разных стран: США, Германии, Великобритании.
«Дедушкой» мобильных банковских троянов является Zeus, он же Zitmo (Zeus-in-the-mobile), появившийся еще в 2010 году (а его предок для ПК, оригинальный Zeus, был создан вообще в 2006 году) и успевший в одних только США заразить свыше 3,5 млн устройств, создав крупнейший в истории ботнет.
Самым распространенным банковским троянцем в 2014 году остается ZeuS. https://t.co/yRNjJyDwRM #klreport pic.twitter.com/Y7fOTg0Psc
— Kaspersky (@Kaspersky_ru) February 11, 2015
Это классический «перехватчик», он сохраняет вводимые пользователем в браузере логины и пароли для доступа к интернет-банку и затем отсылает их злоумышленнику, который впоследствии может войти в систему под указанными реквизитами и совершить переводы (двухфакторную авторизацию Zitmo тоже обходил).
Кроме того, при помощи Zeus удалось украсть более 74 тыс. FTP-паролей от различных сайтов, включая сайт Bank of America, и изменить на них код таким образом, чтобы получить данные кредитных карт при попытке ими что-то оплатить. Zeus был особенно активен до конца 2013 года, когда его начал вытеснять более современный Xtreme RAT, однако ядро трояна до сих пор популярно у создателей зловредов.
Новый зловред занимается хищением денег у клиентов 150 банков и 20 платежных систем в 15 странах: http://t.co/pk4wQp0XKo
— Kaspersky (@Kaspersky_ru) December 19, 2014
В 2011 году появился SpyEye — один из самых успешных банковских троянцев в истории. Его автор — Александр Андреевич Панин продавал код на черном рынке по цене от $1000 до $8500; по данным ФБР, деанонимизировавшего создателя SpyEye, всего было около 150 покупателей троянца, создавших его модификации для хищений у клиентов различных банков. Один из покупателей кода за шесть месяцев смог украсть $3,2 млн.
«Великолепная» четверка банковских троянов: Carberp, Citadel, SpyEye, Zeus http://t.co/zMapqSruPR
— Евгений Касперский (@e_kaspersky_ru) October 23, 2013
В 2012 году обнаружился Carberp — компонент, маскировавшийся под Android-приложения крупнейших российских банков: Сбербанка и Альфа-Банка — и ориентированный на клиентов этих банков в России, Белоруссии, Казахстане, Молдавии и на Украине. Одним из интересных моментов этой истории стало то, что преступникам удалось разместить фейковые приложения в Google Play.
Google Play распространяет троян Carberp для российских банков http://t.co/Adh7edqy
— uinC Security Team (@uinCru) December 12, 2012
Злоумышленники в количестве 28 человек были обнаружены и арестованы российской и украинской полицией. Однако исходный код Carberp оказался опубликован в 2013 году, так что теперь любой желающий может на его основе написать свой собственный зловред. И если оригинальный Carberp встречался в странах бывшего СССР, то его клоны сейчас обнаруживаются то в Европе, то в США, то в Латинской Америке.
В 2013 году из Турции через Португалию и Чехию победное шествие начал Hesperbot: этот троян помимо прочего создает на зараженном устройстве скрытый VNC-сервер, при помощи которого злоумышленник может получить доступ к удаленному управлению смартфоном.
https://twitter.com/mywebssu/status/533534006520721410
Даже после удаления трояна доступ остается, и вор может перехватить все сообщения, как если бы аппарат был у него в руках, и, конечно же, снова установить зловреда. Кроме того, Hesperbot был замечен не только в роли банковского трояна, но и в качестве похитителя биткойнов. Распространяется Hesperbot с помощью фишинга под видом сообщений от почтовых сервисов.
В 2014 году был открыт исходный код Android.iBanking — готового комплекса для перехвата банковских SMS-паролей и удаленного управления смартфоном. Ранее он продавался за $5000, публикация кода привела к значительному всплеску заражений.
Троян Android.iBanking свободно продается в интернете за $5000 http://t.co/eFNmgRHYUj
— Roomian.org 💡 (@roomian_org) 22 мая 2014 г.
Комплекс состоит из вредоносного кода, заменяющего собой уже установленное на смартфоне приложение банка (функциональность оригинального приложения при этом сохраняется, но появляется широкий набор новых возможностей), и программы под Windows с удобным графическим интерфейсом, позволяющим управлять всеми подконтрольными смартфонами из автоматически обновляемого списка.
Интересно, что, несмотря на наличие бесплатной версии, все равно существует и пользуется спросом платная: владельцам «премиум-аккаунтов» предоставляются регулярные обновления и качественная техподдержка. В конце того же года в Google Play было обнаружено два троянца, ориентированных на бразильских пользователей, созданных без каких-либо навыков программирования при помощи универсального конструктора приложений.
Бразилия вообще особенный регион в плане «банковских» атак. Дело в том, что в стране очень популярна мобильная платежная система Boleto, которая позволяет переводить средства друг другу путем создания виртуальных чеков с уникальным идентификатором платежа, преобразованным в штрихкод на экране смартфона, откуда его можно сосканировать камерой другого смартфона.
Бразильская футболка по цене дома. Разбор полётов после ЧМ: https://t.co/AMOOlxs4lo pic.twitter.com/hHBFxwVp1V
— Евгений Касперский (@e_kaspersky_ru) July 16, 2014
Специальные троянцы, ориентированные на Boleto, вроде Infostealer.Boleteiro перехватывают генерируемые чеки в момент их отображения в браузере и буквально «на лету» модифицируют их таким образом, чтобы платеж был отправлен не первоначальному адресату, а злоумышленнику.
Дополнительно троянец мониторит ввод ID в системе Boleto на сайтах и в банковских приложениях (при пополнении счета в системе) и затем скрыто подставляет при отправке формы ID злоумышленника — таким образом пополняется его счет.
Банковские трояны: главная мобильная #киберугроза
Tweet
В России в июне 2015 года обнаружен троянец Android.Bankbot.65.Origin, распространяющийся под видом пропатченного официального приложения «Сбербанк Онлайн», — мол, при удалении старой версии и установке новой пользователь получит полный доступ к функциям мобильного банка, а не только к шаблонам платежей.
Так как троян после установки сохранял все функции оригинального приложения, пользователи поначалу не замечали подвоха. А в июле со счетов 100 тыс. клиентов Сбербанка было похищено в общей сложности более 2 млрд рублей. Все жертвы использовали скомпрометированное приложение «Сбербанк Онлайн».
Разумеется, история банковских троянов все еще пишется, постоянно появляются все новые и новые приложения, преступники находят все более и более эффективные приемы для заманивания своих жертв. Так что стоит защитить свой смартфон как следует.