Компания ESET обнаружила 29 банковских троянов, замаскированных под безвредные программы в Google Play. Пользователи официального каталога приложений скачали их в общей сложности более 30 000 раз. Трояны маскировались под легитимные программы: гороскопы, инструменты для очистки системы или экономии заряда аккумулятора и пр.
После установки на планшет или смартфон большинство приложений сообщало о несовместимости с устройством и имитировало удаление из системы (по факту иконка просто скрывалась от глаз пользователя). Некоторые подделки (например, приложения-гороскопы) выполняли заявленные в описании функции.
Вне зависимости от способа маскировки, на втором этапе атаки на устройстве происходила расшифровка полезной нагрузки с функционалом банкера. Далее троян выбирал цель среди приложений, установленных на устройстве, и внедрял соответствующую фишинговую форму для ввода логина и пароля. Кроме того, вредоносная программа перехватывала и пересылала текстовые сообщения, чтобы обойти двухфакторную аутентификацию через SMS, и могло устанавливать на устройство другое ПО.
Вредоносные приложения были загружены в Google Play от лица разных компаний-разработчиков. Тем не менее, сходство исходного кода и один и тот же управляющий сервер позволяют предположить, что у подделок один и тот же автор (группа авторов).
Подделки удалены из Google Play в период с августа по октябрь 2018 года. Рекомендуется загружать приложения только из официальных магазинов. Это не гарантирует безопасность на 100%, однако Google Play все же значительно безопаснее, чем сторонние площадки. Обращайте внимание на запросы разрешений, проверяйте рейтинги, оценки других пользователей и читайте отзывы.
Тренд уходящего года среди киберпреступлений, который будет лишь набирать обороты, — рост числа банковских троянов. Ориентированы они в первую очередь на владельцев Android-устройств. Такая активность вполне объяснима: Android занимает почти 85 процентов рынка мобильных операционных систем и в силу своей открытости гораздо хуже защищен, чем, например, вторая по популярности мобильная операционка iOS.
Только за 2017-й хакеры украли у владельцев Android-смартфонов более миллиарда рублей, по сравнению с прошлым годом ущерб вырос на 136 процентов. Мобильные устройства для хакеров — привлекательная мишень, ведь антивирусы на них работают не столь эффективно, как на ПК. А с повсеместным распространением мобильного банкинга смартфон фактически стал вторым кошельком.
Написание вредоносных приложений под мобильные устройства гораздо проще, чем под ПК с учетом всех существующих средств защиты. Так, год назад пользователей Android атаковал Catelites Bot — банковский троян, который загружается на устройство под видом системного приложения, а потом, получив нужные права доступа, меняет иконку на значки почты Gmail, маркета Google Play или браузера Chrome.
При запуске банковского приложения вирус подменяет его на фейковое окно, куда пользователь вводит персональные данные. В итоге они оказываются в руках у мошенников. Вредоносный код тогда заразил более десяти тысяч гаджетов. Аналитики подсчитали, что за сутки Android-трояны снимают со счетов россиян порядка трех миллионов рублей. Средняя сумма одного хищения — 11 тысяч.
Тогда же киберпреступники запустили фейк одного из самых популярных в России приложений мобильного банкинга — «Сбербанк Онлайн». Пострадали снова владельцы Android-платформ.
Не случайно в Cбербанке для борьбы с троянами внедрили в свое приложение антивирус — он выявляет вредоносные программы и блокирует их установку. И дали совет клиентам: скачивать прикладные программы нужно только с официальных ресурсов, следить, к чему они просят доступ, и пользоваться антивирусом.