Компания Symantec опубликовала документ, в котором поясняется схема работы троянов семейства iBanking. Они поражают смартфоны с ОС Android и позволяют злоумышленникам обходить механизмы двухфакторной аутентификации, широко используемые в социальных сетях и системах электронных платежей. На сегодня это самые сложные трояны для мобильных операционных систем – и, похоже, корни у них российские.

По данным Symantec, вредоносные программы, нацеленные на пользователей мобильных гаджетов с ОС Android, стали исключительно востребованными на чёрном рынке. Многие из них обладают огромной функциональностью и продаются за баснословные суммы. Цена самых сложных доходит до $5 000.

За эти деньги атакующая сторона получает весьма сложного трояна, способного перенаправлять голосовые вызовы на смартфоне жертвы, скрыто включать встроенный микрофон и отслеживать перемещения по сигналам GPS/Wi-Fi/GSM/CDMA. Злоумышленник обретает также полный удалённый доступ к файловой системе смартфона. Всё это способствует распространению мобильных ботнетов, заражённые устройства в которых координируются по HTTP или даже посредством СМС – в зависимости от доступности интернета в текущий момент.

«Трояны семейства iBanking часто маскируются под легитимные программы, – поясняет представитель Symantec. – Они выглядят как клиенты социальных сетей, платёжных систем или даже как специализированные приложения для повышения уровня безопасности. Такая схема распространения используется при построении мобильных ботнетов и скрытого наблюдения за жертвами».

Фальшивое сообщение от имени администрации Facebook приведёт к загрузке трояна (изображение: welivesecurity.com).
Фальшивое сообщение от имени администрации Facebook приведёт к загрузке трояна (изображение: welivesecurity.com).

Высокая цена и сложность троянов свидетельствуют о том, что изначально они разрабатывались по заказу крупных ОПГ, получающих основной нелегальный доход от преступлений в сфере высоких технологий. Вероятно, затем произошла утечка кода, поскольку в последнее время специалисты Symantec отмечают значительное увеличение активности разных версий троянов семейства iBanking. Прогнозируется, что число заражений в ближайшей перспективе будет только расти.

Как это работает

Внедрение трояна на смартфон обычно происходит в результате многоходовой атаки. Сначала заражается персональный компьютер или ноутбук под управлением ОС Windows. Этот процесс бывает непросто определить, так как первое время никаких странных действий троянец не выполняет. У него минимальная сетевая активность, нет стремления внедриться в активные процессы или захватить побольше вычислительных ресурсов. Поэтому эвристика часто пасует перед такими тихонями, а сканер файловой системы определит трояна только в случае точного совпадения сигнатур с имеющимися в базе.

В какой-то момент при посещении страниц платёжных систем или социальных сетей браузер на инфицированном компьютере начинает показывать фальшивые рекомендации. Например, отображается уведомление о необходимости установить мобильный клиент или дополнительное приложение для продолжения работы с банковским сервисом либо социальной сетью. На уровне интерфейса всё выглядит убедительно, а поскольку жертвы считают программу легитимной, то большинство неискушённых пользователей не видят в ней никакой угрозы. Дополнительным каналом распространения стали QR-коды, содержащие ссылку на вредоносные инсталляционные пакеты *.apk.

Ссылка на вредоносный файл для ОС Android в QR-коде
Ссылка на вредоносный файл для ОС Android в QR-коде.

После установки компонентов трояна iBanking на ПК и смартфон злоумышленники получают полный контроль над аккаунтами жертвы, включая системы мобильных платежей. Обычно уже с этого момента они могут выполнять любые операции от имени владельца и подтверждать их с его же смартфона.

Одноразовые пароли перехватываются из входящих СМС (зачастую – скрытно). Даже секретные фразы, произносимые хозяином счёта при общении с живым оператором, могут записываться в аудиофайл и отправляться злоумышленникам. Для этого достаточно вести запись только тех разговоров, которые происходят после набора одного из номеров горячей линии популярных платёжных систем.

О подобной тенденции среди вирусописателей ещё месяц назад сообщал специалист компании Eset Жан-Ян Бутин (Jean-Ian Boutin): «Способ, которым внедряются трояны семейства iBanking, довольно обычный, однако впервые мы наблюдаем столь массовую атаку. Двухфакторная защита в соцсети Facebook и других системах становится всё более распространённой, поэтому традиционные методы кражи пароля теряют свою эффективность. В то же время изменение политики безопасности – отличный предлог подсунуть трояна».

Аналитик группы противодействия сетевому мошенничеству компании RSA Security Даниэль Коэн (Daniel Cohen) отмечает, что при написании многих троянцев iBanking использовались продвинутые техники обфускации кода и защиты от реверс-инжиниринга. В них применяются шифрование связанных XML-файлов по алгоритму AES, определение запуска в виртуальной машине и другие методы, затрудняющие как ручной анализ специалистами, так и автоматическое распознавание антивирусами.

«Это типично для высококлассных вредоносных программ, ориентированных на ПК, но впервые было столь тщательно реализовано на уровне мобильных приложений», – поясняет Коэн.

Авторами троянов iBanking называет себя группа GFF. Она продолжает продавать их даже после утечки исходного кода. “Публикация исходного кода троянов совпала со значительным всплеском активности модификаций iBanking, – сообщил во вторник представитель Symantec. – Наши исследования показывают: несмотря на наличие бесплатной версии, большинство крупных ОПГ продолжают делать выбор в пользу платной. По всей видимости, так они хотят заручиться обновлениями и технической поддержкой со стороны GFF”.

Если раньше вирусы и другие вредоносные программы писали преимущественно ради забавы, то сейчас они используются в основных схемах получения дохода в теневой экономике. Установить антивирусные программы на свои компьютеры и мобильные гаджеты желательно, хотя и недостаточно. Главный способ противодействия современным сетевым угрозам – постоянное повышение своего технического уровня и соблюдение правил безопасности.