05.07.2017
Антивирусы больше не помогут
Group-IB предупреждает о новом вирусе, направленном на пользователей Android
Система раннего обнаружения киберугроз компании Group-IB зафиксировала активное распространение новой вредоносной программы, работающей под ОС Android. По угрозой оказались клиенты российских банков, использующие SMS-банкинг.
Многие пользователи телефонов на этой ОС получили SMS-сообщения со ссылкой от кого-то из своего контакт-листа. В начале сообщения вирус подставлял имя из записной книжки зараженного лица:
При переходе по ссылке пользователь видел надпись «Уважаемый пользователь, вам пришла cмс-фотография. Посмотреть вы ее можете по ссылке ниже». Также злоумышленники заботливо сопроводили спам инструкцией «Во время установки, нажмите НАСТРОЙКИ -> Разрешить установку из неизвестных источников -> OK».
При нажатии на кнопку «Посмотреть» на устройство загружалась вредоносная программа с расширением .APK.
Уведомление о том, какие права получит новое приложение при установке, должно было бы смутить внимательного пользователя. Но практика показала, что это далеко не так:
Уведомление о том, какие права получит новое приложение при установке, должно было бы смутить внимательного пользователя. Но практика показала, что это далеко не так:
Уведомление об успешной установке программы:
Троян "незаметно" устанавливается на устройство:
Вредонос запрашивает права администратора, чтобы получить полный доступ к устройству:
Вредоносная программа заменяет собой стандартное приложение для работы с СМС-сообщениями:
Устройство запрашивает дополнительное подверждение на отправку приложением платных СМС-сообщений:
Механизм работы вируса
Попадая на устройство, вредоносная программа рассылает себя по контактным листам жертвы. Параллельно она делает запрос на номер SMS-банкинга жертвы, узнает баланс счета и переводит деньги на счета, подконтрольные злоумышленникам. При этом происходит перехват входящих SMS-сообщений, в результате чего жертва не подозревает, что у нее снимают деньги, даже если подключена функция SMS-оповещений о списаниях.
Также в функционал программы входит показ т.н. веб-фейков – окон браузера, визуально схожих с окошками авторизации банковских приложений. Вводя в них данные банковских карт, жертва отправляла их злоумышленникам напрямую. В ряде случаев вредоносная программа могла также блокировать телефон.
Данная угроза направлена на пользователей ОС Android - клиентов банков, использующих SMS-банкинг и пользователей мобильных банковских приложений. Характерно, что антивирусные программы, установленные на телефонах жертв, не детектировали приложение как вредоносное.
Также в функционал программы входит показ т.н. веб-фейков – окон браузера, визуально схожих с окошками авторизации банковских приложений. Вводя в них данные банковских карт, жертва отправляла их злоумышленникам напрямую. В ряде случаев вредоносная программа могла также блокировать телефон.
Данная угроза направлена на пользователей ОС Android - клиентов банков, использующих SMS-банкинг и пользователей мобильных банковских приложений. Характерно, что антивирусные программы, установленные на телефонах жертв, не детектировали приложение как вредоносное.
Эта угроза направлена на пользователей ОС Android — клиентов банков, использующих SMS-банкинг и пользователей мобильных банковских приложений. Характерно, что антивирусные программы, установленные на телефонах жертв, ни на одном из этапов работы вируса не детектировали приложение как вредоносное (и продолжают его не детектировать). Антивирусы в этой ситуации просто не помогают!
Рустам Миркасымов
Руководитель отдела динамического анализа вредоносного кода Group-IB
Банки, которые хотят защитить своих клиентов, должны использовать комплексные решения: сервисы, которые позволяют без установки дополнительного программного обеспечения на устройства клиентов выявлять подготовку к хищениям денежных средств, данные Threat Intelligence, позволяющие отслеживать и предупреждать атаки на пользователей еще на этапе подготовки, а также взаимодействовать с компетентными организациями для оперативной блокировки сайтов, распространяющих вредоносное ПО с использованием символики и брендов финансовых учреждений.
Атаки на Android
Смартфон практически превратился в кошелёк: 33%, или 18,1 млн российских интернет-пользователей пользуются мобильным банком хотя бы в одном российском банке. На этот факт давно уже обратили внимание кибермошенники. Трояны для телефонов и планшетов окончательно вытеснили трояны для компьютеров.
Основной мишенью стали пользователи ОС Android почти 85% смартфонов в мире работает на платформе Android и большинство вирусов пишутся именно под нее. Смартфон, зараженный вредоносной программой, фактически превращается в мобильного шпиона, но главная его задача — украсть деньги. Например, ликвидированная МВД в прошлом году группировка Cron меньше чем за год установила вирус на 1 млн устройств, а общий ущерб от их действий оценивается как минимум в 50 млн рублей.
Основной мишенью стали пользователи ОС Android почти 85% смартфонов в мире работает на платформе Android и большинство вирусов пишутся именно под нее. Смартфон, зараженный вредоносной программой, фактически превращается в мобильного шпиона, но главная его задача — украсть деньги. Например, ликвидированная МВД в прошлом году группировка Cron меньше чем за год установила вирус на 1 млн устройств, а общий ущерб от их действий оценивается как минимум в 50 млн рублей.
Что делать, чтобы не заразиться:
1
Настоятельно рекомендуем с максимальной осторожностью относится к «странным» сообщениям, полученных даже от знакомых их списка контактов.
2
Обращайте внимание на расширения загружаемых файлов.
3
Никогда не устанавливайте приложения для Android (.APK) из недоверенных источников и не давайте им дополнительных прав в системе.
Что делать, если вы уже заразились:
1
Сделайте копию информации с телефона в Google Cloud, чтобы сохранить базу контактов. Этот контент можно безопасно скопировать на ПК.
2
Сделайте на устройстве «factory reset» – возврат к заводским установкам.
3
Восстановите данные из облака и скопируйте с ПК.
4
Если вы ввели данные своей карты в регистрационной форме веб-фейка – немедленно заблокируйте карту.
O GROUP-IB
Group-IB — одна из ведущих международных компаний по предотвращению и расследованию киберпреступлений и мошенничеств с использованием высоких технологий. С 2003 года работает в сфере компьютерной криминалистики, консалтинга и аудита систем информационной безопасности, обеспечивая защиту крупнейших российских и зарубежных компаний от финансовых и репутационных потерь.
Международное признание
Первый российский поставщик threat intelligence решений, вошедший в отчеты Gartner. В 2015 году Group-IB была названа в числе 7 самых влиятельных игроков в сфере информационной безопасности по версии британской редакции издания Business Insider. В 2017 году компания IDC опубликовала свое первое исследование российского рынка услуг по исследованию киберугроз, назвав Group-IB лидером рынка.
Клиенты Group-IB
Клиентами Group-IB являются крупнейшие компании по всему миру — банки и финансово-кредитные организации, FMCG-бренды и промышленные корпорации, предприятия энергетической и нефтеперерабатывающей отрасли, производители ПО и цифрового контента, IT-компании и телекоммуникационные операторы РФ и зарубежных государств.
CyberCrimeCon2017
Ежегодная конференция Group-IB — это уникальная площадка для обсуждения тенденций развития киберпреступлений и обмена данными киберразведки. В конференции примут участие независимые эксперты в области борьбы с киберпреступлениями со всего мира. Узнайте больше: 2017.group-ib.ru
Международное признание
Первый российский поставщик threat intelligence решений, вошедший в отчеты Gartner. В 2015 году Group-IB была названа в числе 7 самых влиятельных игроков в сфере информационной безопасности по версии британской редакции издания Business Insider. В 2017 году компания IDC опубликовала свое первое исследование российского рынка услуг по исследованию киберугроз, назвав Group-IB лидером рынка.
Клиенты Group-IB
Клиентами Group-IB являются крупнейшие компании по всему миру — банки и финансово-кредитные организации, FMCG-бренды и промышленные корпорации, предприятия энергетической и нефтеперерабатывающей отрасли, производители ПО и цифрового контента, IT-компании и телекоммуникационные операторы РФ и зарубежных государств.
CyberCrimeCon2017
Ежегодная конференция Group-IB — это уникальная площадка для обсуждения тенденций развития киберпреступлений и обмена данными киберразведки. В конференции примут участие независимые эксперты в области борьбы с киберпреступлениями со всего мира. Узнайте больше: 2017.group-ib.ru
Если материал вам понравился, расскажите о нём друзьям!
Другие интересные статьи:
Узнавайте первыми
о новейших киберугрозах и расследованиях
*Нажимая «Подписаться», вы соглашаетесь на получение новостей компании,
защиту и обработку своих персональных данных в соответствии с ФЗ РФ
защиту и обработку своих персональных данных в соответствии с ФЗ РФ
Предотвращение
Реагирование
Расследование
Продукты
Threat Intelligence & Attribution
Threat Hunting Framework
Fraud Hunting Platform
Digital Risk Protection
Anti-Piracy
Threat Hunting Framework
Fraud Hunting Platform
Digital Risk Protection
Anti-Piracy
Компания
Связаться с нами
Круглосуточная линия +7 495 984-33-64
Электронная почта
info@group-ib.ru
info@group-ib.ru
Адрес офиса
Москва, улица Шарикоподшипниковская, д.1, БЦ «Прогресс Плаза», 9 этаж
Москва, улица Шарикоподшипниковская, д.1, БЦ «Прогресс Плаза», 9 этаж
