Банковские трояны: главная мобильная киберугроза

Современный смартфон — это полноценный компьютер помощнее того, что стоял у нас на столе каких-нибудь 10 лет назад. И он почти наверняка содержит данные, ценные для злоумышленников, например, банковские.

Бум смартфонов, проникновение которых за пару лет превысило 50% «мобильного» населения, принес с собой одну серьезную проблему — мобильные киберугрозы. Если на компьютере пользователи более-менее привыкли соблюдать правила «информационной гигиены», то смартфон в сознании большинства — всего лишь телефон, устройство сродни утюгу или стиральной машине. Чего тут бояться?

android-banking-trojans-FB

Между тем современный смартфон — это полноценный компьютер, помощнее того, что стоял у вас на столе каких-нибудь 10 лет назад. И очень опасный компьютер. На диске домашнего компьютера может не быть ничего ценного, кроме пары хранящихся со студенческих времен собственноручно написанных рефератов да груды фотографий из поездки в Турцию. А вот смартфон почти наверняка содержит данные, ценные не только для вас, но и для злоумышленников.

Дело в том, что если у вас есть смартфон, то велика вероятность и наличия банковской карты. А поскольку банки используют мобильные номера для авторизации (например, отправляют SMS с одноразовыми паролями для подтверждения операций), возникает соблазн этот канал коммуникации перехватить и совершать переводы и платежи с вашего банковского счета от вашего имени.

Неудивительно, что банковские троянцы являются сегодня наиболее распространенной мобильной киберугрозой: к ним относится до 95% зловредов для смартфонов. Свыше 98% из них предназначены для платформы Android, что неудивительно. Во-первых, она наиболее массовая (занимает свыше 80% рынка смартфонов). Во-вторых, единственная среди популярных платформ, принципиально допускающая установку ПО из неизвестных источников.

Несмотря на то что троянцы куда менее опасны, чем вирусы, так как обязательно требуют участия пользователя для установки в систему, существует большое количество эффективных методов социальной инженерии, подталкивающих «клиента» установить троянца под видом, скажем, важного обновления или бонусных уровней к популярной игре. Есть и эксплойты, загружающие зловредов автоматически, стоит пользователю случайно запустить один из них.

Основных методов работы банковских троянцев три:

• Они могут скрывать от пользователя банковские SMS с паролями и тут же перенаправлять их злоумышленнику, который воспользуется ими, чтобы перевести ваши деньги на свой счет.

• Таким же образом банковские троянцы могут действовать в автоматическом режиме, время от времени отправляя относительно небольшие суммы на счета преступников.

• Либо зловреды сразу мимикрируют под мобильные приложения банков и, получив доступ к реквизитам для входа в мобильный интернет-банк, делают все то же самое.

Больше всего банковских троянцев — до 50% — ориентировано на Россию и страны СНГ; довольно распространены они также в Индии и Вьетнаме, в последнее время стали популярны универсальные зловреды, способные загружать обновляемые профили банков разных стран: США, Германии, Великобритании.

«Дедушкой» мобильных банковских троянов является Zeus, он же Zitmo (Zeus-in-the-mobile), появившийся еще в 2010 году (а его предок для ПК, оригинальный Zeus, был создан вообще в 2006 году) и успевший в одних только США заразить свыше 3,5 млн устройств, создав крупнейший в истории ботнет.

Это классический «перехватчик», он сохраняет вводимые пользователем в браузере логины и пароли для доступа к интернет-банку и затем отсылает их злоумышленнику, который впоследствии может войти в систему под указанными реквизитами и совершить переводы (двухфакторную авторизацию Zitmo тоже обходил).

Кроме того, при помощи Zeus удалось украсть более 74 тыс. FTP-паролей от различных сайтов, включая сайт Bank of America, и изменить на них код таким образом, чтобы получить данные кредитных карт при попытке ими что-то оплатить. Zeus был особенно активен до конца 2013 года, когда его начал вытеснять более современный Xtreme RAT, однако ядро трояна до сих пор популярно у создателей зловредов.

В 2011 году появился SpyEye — один из самых успешных банковских троянцев в истории. Его автор — Александр Андреевич Панин продавал код на черном рынке по цене от $1000 до $8500; по данным ФБР, деанонимизировавшего создателя SpyEye, всего было около 150 покупателей троянца, создавших его модификации для хищений у клиентов различных банков. Один из покупателей кода за шесть месяцев смог украсть $3,2 млн.

В 2012 году обнаружился Carberp — компонент, маскировавшийся под Android-приложения крупнейших российских банков: Сбербанка и Альфа-Банка — и ориентированный на клиентов этих банков в России, Белоруссии, Казахстане, Молдавии и на Украине. Одним из интересных моментов этой истории стало то, что преступникам удалось разместить фейковые приложения в Google Play.

Злоумышленники в количестве 28 человек были обнаружены и арестованы российской и украинской полицией. Однако исходный код Carberp оказался опубликован в 2013 году, так что теперь любой желающий может на его основе написать свой собственный зловред. И если оригинальный Carberp встречался в странах бывшего СССР, то его клоны сейчас обнаруживаются то в Европе, то в США, то в Латинской Америке.

В 2013 году из Турции через Португалию и Чехию победное шествие начал Hesperbot: этот троян помимо прочего создает на зараженном устройстве скрытый VNC-сервер, при помощи которого злоумышленник может получить доступ к удаленному управлению смартфоном.

Даже после удаления трояна доступ остается, и вор может перехватить все сообщения, как если бы аппарат был у него в руках, и, конечно же, снова установить зловреда. Кроме того, Hesperbot был замечен не только в роли банковского трояна, но и в качестве похитителя биткойнов. Распространяется Hesperbot с помощью фишинга под видом сообщений от почтовых сервисов.

В 2014 году был открыт исходный код Android.iBanking — готового комплекса для перехвата банковских SMS-паролей и удаленного управления смартфоном. Ранее он продавался за $5000, публикация кода привела к значительному всплеску заражений.

Комплекс состоит из вредоносного кода, заменяющего собой уже установленное на смартфоне приложение банка (функциональность оригинального приложения при этом сохраняется, но появляется широкий набор новых возможностей), и программы под Windows с удобным графическим интерфейсом, позволяющим управлять всеми подконтрольными смартфонами из автоматически обновляемого списка.

Интересно, что, несмотря на наличие бесплатной версии, все равно существует и пользуется спросом платная: владельцам «премиум-аккаунтов» предоставляются регулярные обновления и качественная техподдержка. В конце того же года в Google Play было обнаружено два троянца, ориентированных на бразильских пользователей, созданных без каких-либо навыков программирования при помощи универсального конструктора приложений.

Бразилия вообще особенный регион в плане «банковских» атак. Дело в том, что в стране очень популярна мобильная платежная система Boleto, которая позволяет переводить средства друг другу путем создания виртуальных чеков с уникальным идентификатором платежа, преобразованным в штрихкод на экране смартфона, откуда его можно сосканировать камерой другого смартфона.

Специальные троянцы, ориентированные на Boleto, вроде Infostealer.Boleteiro перехватывают генерируемые чеки в момент их отображения в браузере и буквально «на лету» модифицируют их таким образом, чтобы платеж был отправлен не первоначальному адресату, а злоумышленнику.

Дополнительно троянец мониторит ввод ID в системе Boleto на сайтах и в банковских приложениях (при пополнении счета в системе) и затем скрыто подставляет при отправке формы ID злоумышленника — таким образом пополняется его счет.

В России в июне 2015 года обнаружен троянец Android.Bankbot.65.Origin, распространяющийся под видом пропатченного официального приложения «Сбербанк Онлайн», — мол, при удалении старой версии и установке новой пользователь получит полный доступ к функциям мобильного банка, а не только к шаблонам платежей.

Так как троян после установки сохранял все функции оригинального приложения, пользователи поначалу не замечали подвоха. А в июле со счетов 100 тыс. клиентов Сбербанка было похищено в общей сложности более 2 млрд рублей. Все жертвы использовали скомпрометированное приложение «Сбербанк Онлайн».

Разумеется, история банковских троянов все еще пишется, постоянно появляются все новые и новые приложения, преступники находят все более и более эффективные приемы для заманивания своих жертв. Так что стоит защитить свой смартфон как следует.

Ответный взлом: шесть оправданий и бессмысленность каждого из них

Если идея «ответного взлома» киберпреступников, которые навредили вам или вашей компании, кажется вам, вашим сотрудникам или вашему супругу/вашей супруге разумной, тогда читайте далее. Это невероятно рискованная стратегия (ссылка на предыдущий

Советы

Как защитить умный дом

Чтобы умный дом принес вам больше пользы, чем вреда, его нужно правильно настроить и полноценно защитить. Разберем защиту умного дома в деталях.