Как банковские троянцы обходят двухфакторную аутентификацию

Двухфакторную аутентификацию с помощью SMS уже достаточно давно используют подавляющее большинство банков. Конечно, такая защита лучше, чем ничего, но и она не является непреодолимой: исследователи предупреждали, что ее несложно обойти, еще лет десять назад, когда эта мера защиты только набирала популярность.

Увы, разработчики банковских троянцев довольно быстро освоили методы обхода одноразовых паролей, присылаемых в SMS. Вот как это работает в современных мобильных банковских троянцах:

1. Пользователь запускает подлинное банковское приложение на своем смартфоне.
2. Троянец определяет, приложение какого банка используется, и перекрывает его интерфейс своим, показывая пользователю поддельный экран. Внешне поддельное приложение максимально похоже на настоящее.
3. На поддельном экране пользователь вводит свои логин и пароль.
4. Троянец отправляет эти логин и пароль злоумышленникам — теперь последние могут использовать их для входа в банковское приложение.
5. Злоумышленники инициализируют перевод некоторой суммы денег на свой счет.
6. На смартфон пользователя приходит SMS с одноразовым паролем.
7. Троянец перехватывает пароль из SMS и отправляет его злоумышленникам.
8. При этом на смартфоне SMS скрывается — пользователь не видит сообщение и ни о чем не подозревает, пока не проверит список транзакций.
9. Используя перехваченный одноразовый пароль, преступники подтверждают свою транзакцию и получают деньги на счет.

Едва ли будет преувеличением сказать, что все современные мобильные банковские троянцы умеют обходить двухфакторную аутентификацию, используя приведенный выше сценарий. У их создателей просто нет выбора — поскольку почти все банки используют эту меру защиты, без умения ее обходить деньги не украдешь.

Подобных вредоносных приложений существует гораздо больше, чем принято считать. Только за последние месяц-полтора наши эксперты опубликовали целых три исследования, посвященных трем разным семействам банковских троянцев. Одно опаснее другого:

1. Asacub— троянец-шпион, со временем обучившийся и воровству денег из мобильных банков.
2. Acecard— крайне насыщенный функциями троянец, способный перекрывать своими фишинговыми экранами приложения около 30 разных банков. Данный тренд подхватили и прочие зловреды: если изначально банковские троянцы создавались под какой-то конкретный банк или платежную систему, то теперь многие из них умеют имитировать сразу несколько приложений.
3. Banloader— кросс-платформенный троянец бразильского происхождения, способный запускаться как на компьютерах, так и на мобильных устройствах.

В целом надеяться на то, что двухфакторная аутентификация с помощью одноразовых паролей в SMS защитит от банковских троянцев, чрезвычайно наивно. Как было сказано выше, уже долгие годы она от них не защищает, и меняться ситуации как-то не с чего. Поэтому требуются дополнительные меры безопасности.

Проблема осложняется тем, что троянцы крадут деньги через устройства клиентов, а страдают от них, в первую очередь, банки, потому что это они вынуждены потом заниматься расследованием инцидентов, компенсацией потерь и восстановлением пострадавшей репутации.

Да, большая часть троянцев может быть остановлена антивирусом, но убедить тысячи пользователей в том, что все они должны использовать защитные решения — задача нереальная. Поэтому банкам имеет смысл брать защиту клиентов в свои руки. Например, при помощи платформы Kaspersky Fraud Prevention. Один из его компонентов, SDK, позволяет вооружить банковское приложение технологиями, способными обнаружить присутствие троянцев на устройстве и успешно противодействовать попыткам злоумышленников получить неправомерный доступ к банковскому аккаунту. Кроме того, в состав платформы входит Clientless Engine, серверное решение, устанавливаемое на стороне банка и защищающие онлайн-доступ к счетам клиентов вне зависимости от типов применяемых ими устройств.