Бум смартфонов, проникновение которых за пару лет превысило 50% «мобильного» населения, принес с собой одну серьезную проблему - мобильные киберугрозы. Если на компьютере пользователи более-менее привыкли соблюдать правила «информационной гигиены», то смартфон в сознании большинства - всего лишь телефон, устройство сродни утюгу или стиральной машине. Чего тут бояться?

Между тем современный смартфон - это полноценный компьютер, помощнее того, что стоял у вас на столе каких-нибудь 10 лет назад. И очень опасный компьютер. На диске домашнего компьютера может не быть ничего ценного, кроме пары хранящихся со студенческих времен собственноручно написанных рефератов да груды фотографий из поездки в Турцию. А вот смартфон почти наверняка содержит данные, ценные не только для вас, но и для злоумышленников.

Дело в том, что если у вас есть смартфон, то велика вероятность и наличия банковской карты. А поскольку банки используют мобильные номера для авторизации (например, отправляют SMS с одноразовыми паролями для подтверждения операций), возникает соблазн этот канал коммуникации перехватить и совершать переводы и платежи с вашего банковского счета от вашего имени.

Неудивительно, что банковские троянцы являются сегодня наиболее распространенной мобильной киберугрозой: к ним относится до 95% зловредов для смартфонов. Свыше 98% из них предназначены для платформы Android, что неудивительно. Во-первых, она наиболее массовая (занимает свыше 80% рынка смартфонов). Во-вторых, единственная среди популярных платформ, принципиально допускающая установку ПО из неизвестных источников.

Несмотря на то что троянцы куда менее опасны, чем вирусы, так как обязательно требуют участия пользователя для установки в систему, существует большое количество эффективных методов социальной инженерии, подталкивающих «клиента» установить троянца под видом, скажем, важного обновления или бонусных уровней к популярной игре. Есть и эксплойты, загружающие зловредов автоматически, стоит пользователю случайно запустить один из них.

Основных методов работы банковских троянцев три:

Они могут скрывать от пользователя банковские SMS с паролями и тут же перенаправлять их злоумышленнику, который воспользуется ими, чтобы перевести ваши деньги на свой счет.

Таким же образом банковские троянцы могут действовать в автоматическом режиме, время от времени отправляя относительно небольшие суммы на счета преступников.

Либо зловреды сразу мимикрируют под мобильные приложения банков и, получив доступ к реквизитам для входа в мобильный интернет-банк, делают все то же самое.

Больше всего банковских троянцев - до 50% - ориентировано на Россию и страны СНГ; довольно распространены они также в Индии и Вьетнаме, в последнее время стали популярны универсальные зловреды, способные загружать обновляемые профили банков разных стран: США, Германии, Великобритании.

«Дедушкой» мобильных банковских троянов является Zeus , он же Zitmo (Zeus-in-the-mobile), появившийся еще в 2010 году (а его предок для ПК, оригинальный Zeus, был создан вообще в 2006 году) и успевший в одних только США заразить свыше 3,5 млн устройств, создав крупнейший в истории ботнет.

Это классический «перехватчик», он сохраняет вводимые пользователем в браузере логины и пароли для доступа к интернет-банку и затем отсылает их злоумышленнику, который впоследствии может войти в систему под указанными реквизитами и совершить переводы (двухфакторную авторизацию Zitmo тоже обходил).

Кроме того, при помощи Zeus удалось украсть более 74 тыс. FTP-паролей от различных сайтов, включая сайт Bank of America, и изменить на них код таким образом, чтобы получить данные кредитных карт при попытке ими что-то оплатить. Zeus был особенно активен до конца 2013 года, когда его начал вытеснять более современный Xtreme RAT, однако ядро трояна до сих пор популярно у создателей зловредов.

В 2011 году появился SpyEye - один из самых успешных банковских троянцев в истории. Его автор - Александр Андреевич Панин продавал код на черном рынке по цене от $1000 до $8500; по данным ФБР, деанонимизировавшего создателя SpyEye, всего было около 150 покупателей троянца, создавших его модификации для хищений у клиентов различных банков. Один из покупателей кода за шесть месяцев смог украсть $3,2 млн.

В 2012 году обнаружился Carberp - компонент, маскировавшийся под Android-приложения крупнейших российских банков: Сбербанка и Альфа-Банка - и ориентированный на клиентов этих банков в России, Белоруссии, Казахстане, Молдавии и на Украине. Одним из интересных моментов этой истории стало то, что преступникам удалось разместить фейковые приложения в Google Play.

Злоумышленники в количестве 28 человек были обнаружены и арестованы российской и украинской полицией. Однако исходный код Carberp оказался опубликован в 2013 году, так что теперь любой желающий может на его основе написать свой собственный зловред. И если оригинальный Carberp встречался в странах бывшего СССР, то его клоны сейчас обнаруживаются то в Европе, то в США, то в Латинской Америке.

В 2013 году из Турции через Португалию и Чехию победное шествие начал Hesperbot: этот троян помимо прочего создает на зараженном устройстве скрытый VNC-сервер, при помощи которого злоумышленник может получить доступ к удаленному управлению смартфоном.

Даже после удаления трояна доступ остается, и вор может перехватить все сообщения, как если бы аппарат был у него в руках, и, конечно же, снова установить зловреда. Кроме того, Hesperbot был замечен не только в роли банковского трояна, но и в качестве похитителя биткойнов. Распространяется Hesperbot с помощью фишинга под видом сообщений от почтовых сервисов.

В 2014 году был открыт исходный код Android.iBanking - готового комплекса для перехвата банковских SMS-паролей и удаленного управления смартфоном. Ранее он продавался за $5000, публикация кода привела к значительному всплеску заражений.

Комплекс состоит из вредоносного кода, заменяющего собой уже установленное на смартфоне приложение банка (функциональность оригинального приложения при этом сохраняется, но появляется широкий набор новых возможностей), и программы под Windows с удобным графическим интерфейсом, позволяющим управлять всеми подконтрольными смартфонами из автоматически обновляемого списка.

Интересно, что, несмотря на наличие бесплатной версии, все равно существует и пользуется спросом платная: владельцам «премиум-аккаунтов» предоставляются регулярные обновления и качественная техподдержка. В конце того же года в Google Play было обнаружено два троянца, ориентированных на бразильских пользователей, созданных без каких-либо навыков программирования при помощи универсального конструктора приложений.

Бразилия вообще особенный регион в плане «банковских» атак. Дело в том, что в стране очень популярна мобильная платежная система Boleto, которая позволяет переводить средства друг другу путем создания виртуальных чеков с уникальным идентификатором платежа, преобразованным в штрихкод на экране смартфона, откуда его можно сосканировать камерой другого смартфона.

Специальные троянцы, ориентированные на Boleto, вроде Infostealer.Boleteiro перехватывают генерируемые чеки в момент их отображения в браузере и буквально «на лету» модифицируют их таким образом, чтобы платеж был отправлен не первоначальному адресату, а злоумышленнику.

Дополнительно троянец мониторит ввод ID в системе Boleto на сайтах и в банковских приложениях (при пополнении счета в системе) и затем скрыто подставляет при отправке формы ID злоумышленника - таким образом пополняется его счет.

Банковские трояны: главная мобильная киберугроза

В России в июне 2015 года обнаружен троянец Android.Bankbot.65.Origin, распространяющийся под видом пропатченного официального приложения «Сбербанк Онлайн», - мол, при удалении старой версии и установке новой пользователь получит полный доступ к функциям мобильного банка, а не только к шаблонам платежей.

Так как троян после установки сохранял все функции оригинального приложения, пользователи поначалу не замечали подвоха. А в июле со счетов 100 тыс. клиентов Сбербанка было похищено в общей сложности более 2 млрд рублей. Все жертвы использовали скомпрометированное приложение «Сбербанк Онлайн».

Разумеется, история банковских троянов все еще пишется, постоянно появляются все новые и новые приложения, преступники находят все более и более эффективные приемы для заманивания своих жертв. Так что стоит защитить свой смартфон как следует .

Банковские трояны: главная мобильная киберугроза

Банковский троян Lurk распространялся с официальным ПО, работающим во многих крупных банках России

• Финансы в IT

Создатели вредоносного ПО, позволившего похитить миллиарды рублей из банков РФ, загрузили его на официальный сайт разработчика систем удаленного управления компьютерными системами

Сегодня стали известны детали расследования по делу о хищении злоумышленниками более 1,7 млрд рублей со счетов клиентов российских банков за пять лет. В уголовном деле фигурирует сообщество хакеров из 15 регионов России, которые использовали троян Lurk для взлома банковских сетей, пишет «Коммерсант». Специалисты по информационной безопасности, принимающие участие в расследовании, считают, что в случившемся косвенно виновны системные администраторы ИТ-отделов банков. Именно они способствовали проникновению вируса в корпоративные сети, скачивая из Сети зараженный трояном софт.

Следователями следственного департамента МВД РФ установлены возможные методы распространения вируса по банковским сетям. Ситуация несколько прояснилась после того, как в июне было задержано около 50 злоумышленников из 15 регионов России, причастных к похищению 1,7 млрд рублей из российских банков. Эта же группа киберпреступников, по мнению следствия, причастна к попыткам вывода еще 2,2 млрд рублей. От действий преступной группы пострадали, в частности, московские банки Металлинвестбанк и банк «Гарант-инвест», а также якутский банк «Таата».

Проникновение в сети банков производилось при помощи трояна Lurk, за разработку которого отвечают представители задержанной группы. Основные члены и лидеры группировки - жители Свердловской области. 14 членов группировки были задержаны в Екатеринбурге и доставлены в Москву. Предполагаемые лидеры сообщества - Константин Козловский и Александр Еремин.

Следователи считают, что представители сообщества внедряли троянскую программу Lurk, используя ПО Ammyy Admin. В расследовании помогает «Лаборатория Касперского», опубликовавшая специальный отчет с результатами анализа происшествия. Следует отметить, что «Лаборатория Касперского» в ходе расследования работала совместно со специалистами Сбербанка. В отчете указано, что злоумышленники использовали два основных пути распространения вируса. Первый - использование эксплойт-паков, второй - работа со взломанными сайтами. В первом варианте применялось распространение зловреда через профильные сайты: специализированные новостные сайты со скрытыми ссылками на файлы с вирусом и бухгалтерские форумы. Второй вариант - взлом сайта Ammyy и заражение ПО для удаленной работы прямо с сайта производителя. Клиентами Ammyy выступают МВД РФ, «Почта России», система правовой информации «Гарант».

Специалисты «Лаборатории Касперского» обнаружили, что файл программы, размещенный на сайте Ammyy, не имеет цифровой подписи. После запуска скачанного дистрибутива исполняемый файл создавал и запускал еще два исполняемых файла: это установщик утилиты и троян Trojan-Spy.Win32.Lurk. Представители преступной группы использовали специальный алгоритм проверки принадлежности зараженного компьютера корпоративной сети. Проверкой занимался модифицированный php-скрипт на сервере Ammyy Group.

По мнению участников расследования, вирус в систему, скорее всего, запускали работники ИТ-отделов пострадавших компаний. Вина специалистов косвенная, поскольку они могли и не подозревать о заражении дистрибутива ПО, скачиваемого с официального сервера компании-разработчика. Также оказалось, что после задержания группы подозреваемых содержимое распространяемого дистрибутива изменилось. Так, с сайта начала распространяться программа Trojan-PSW.Win32.Fareit, ворующая персональную информацию, а не троян Lurk. «Это позволяет предположить, что злоумышленники, стоящие за взломом сайта Ammyy Admin, за определенную плату предлагают всем желающим „место“ в трояне-дроппере для распространения с ammyy.com»,- сообщается в отчете «Лаборатории Касперского».

По словам специалистов по информационной безопасности, избежать подобных происшествий можно с использованием процедуры контроля использования стороннего программного обеспечения.

«В своей деятельности программы удаленного администрирования мы не используем. Это запрещено и строго контролируется. А любые готовые программные продукты проходят комплексную проверку безопасности, которая позволяет исключить наличие скрытых кодов»,- заявили в пресс-службе Уральского банка Сбербанка РФ.

В некоторых банках РФ, включая Уральский банк реконструкции и развития (УБРиР) использование внешних решений для удаленного управления рабочими станциями запрещено.

Банковский троян Qadars, созданный для банковской сферы, стал известным около двух лент назад. С самого начала он без проблем обходил механизмы двух этапной верификации (технология, при которой аутентификация пользователя проходит с применением двух разных технологий). Вирус использовал для этого мобильный контент.

Эксперты в области ИБ считают, это программное обеспечение применяет различные WEB-инъекции для попадания на ПК пользователей. Цель у Qadars одна – проникнуть на компьютер пользователя, похитить логин и пароль от Клиент-Банка и совершить перевод средств в пользу заинтересованного лица.

Для выполнения этих действий необходимо обойти банковскую систему защиты, поэтому вирус пытается склонить пользователя к установке специального ПО. Эта программа (мобильное приложение) является вирусом Android_Perkele. Пользователь получает данное приложение вместе с WEB-инъекцией, которая устанавливает вредоносный код. В дальнейшем, приложение перехватывает необходимые СМС (например, СМС с логином и паролем от Клиент-Банка). Как только пользователь заходит в Клиент-Банк, вирус предлагает установить приложение на мобильный телефон клиента. Выглядит это всё, как рекомендованное банком ПО.

Эта схема известна уже давным-давно, называется она Men_In_The_Browser. Сначала код внедряется в браузер (IE, Mozilla, Opera и т.д.). Когда это сделано, создатель вируса может самостоятельно проводить операции в Интернет-Банке. Для реализации перевода используется скрипт написанный на JavaScript. Перевод проходит незаметно для клиента банка.

Казалось бы, информация о вирусе появилась уже достаточно давно, прошло уже несколько лет, но специалисты так и не могут с ним справится. А хуже всего-то, что создатели Qadars постоянно занимаются его доработкой и обновлением. Сейчас, вирус особенно популярен в Объединенном Королевстве Великобритании (UK).

Помимо Британии, в разные годы вирус атаковал банковские организации Голландии, Соединенных штатов Америки и Канады.

Данный вирус был достаточно хорошо изучен. Вот несколько основных инструментариев которые он использует:

Возможность брать под свой контроль некоторые функции браузеров (Mozilla, IE); Подделка Cookies; Заполнение форм; WEB-инъекции; Full Information Grabber;

Вирус может использовать Tor (The Onion Route, система прокси-серверов, позволяющая устанавливать анонимное сетевое соединение) на клиентском устройстве.

Помимо этого, в его арсенале присутствует возможность выявления доменных имен, сгенерированных с использованием Domain Generation Algorithm. Данная технология помогает создателям скрывать свои ресурсы.

Зачастую, установка вируса выглядит как установка обычного обновления для OS. Как только нажимается кнопка «Обновить», начинается запуск ShellExecuteEx_Win32_API.

На сегодняшний день это уже третья версия вируса, Qadars_v3. Вирус хорошо развивается, получает новый функционал и найти его становится всё сложнее.