«Бабуся, чому у тебе така дивна реклама?»
фото: Союзмультфільм23 серпня на популярних сайтах Рунета з'явилася реклама сайту з мобільними додатками банків. Посилання вела на сторінку з інсталяційний файл підробленого додатки «Ощадбанку» для Android, під виглядом якого ховався банківський троянець. Портал Банкі.ру розбирався, як це сталося, і наскільки небезпечні подібні атаки.
Рекламні банери - один з улюблених кіберзлочинцями способів поширення троянців. Правда, такі банери дуже рідко прориваються в великі рекламні мережі. Найчастіше їх можна побачити на сайтах сумнівного змісту, власники яких не гребують підключатися до настільки ж сумнівним, але дуже прибутковим баннерним мереж.
Сайт, на який потрапляв користувач, клікнула по банеру, був оформлений під сайт Ощадбанку, хоча й трохи незграбно. На сайті була приведена «новина» про те, що «операційне обслуговування клієнтів переведено на роботу через мобільний додаток». З поміткою, що тепер туди вбудований антивірус. Велика помітна кнопка «Встановити додаток» містила посилання на APK-файл (інсталяційний файл для Android).
Який звір ховався в цьому APK-файл, порталу Банкі.ру розповів керівник лабораторії комп'ютерної криміналістики та дослідження шкідливого коду компанії Group-IB Валерій Баулін: «Це черговий, досить відомий, але доопрацьований банківський троян. В основі функціоналу лежить видача гойдалки вікон для введення і подальшого перехоплення даних аутентифікації (в тому числі від мобільного банку), даних про кредитну картку, СМС-повідомлень і їх приховування, а також завантаження і запуск інших виконуваних файлів. Плюс розсилка по списку контактів, що дозволяє зробити подальше зараження більш імовірним, враховуючи довіру до джерела ».
На думку Бауліна, можливості троянця, класифікованої як Marcher, дуже широкі. Він збирає дані про пристрій, на яке встановлено, і відправляє на сервер управління і контролю. Перехоплює сторінку введення даних платіжної картки і також відправляє її на сервер. За командою від сервера троянець перенаправляє вхідні дзвінки, завантажує і встановлює файли з Інтернету. Вміє працювати і з USSD-запитами, тобто здатний використовувати «Білайн.Перевод» і USSD-системи мобільного банкінгу на кшталт «Альфи-Діалогу» від Альфа-Банку.
«Підчепити» такого зловреда можна, не тільки клікнувши по банеру. Найчастіше троянці поширюються за прямими посиланнями, поширюваним за допомогою СМС або поштового спаму. Якщо ви виявилися досить безтурботні, щоб перейти по такому посиланню, то ризикуєте заразити свій телефон.
Причиною того, що шкідливі банери рідко потрапляють у великі рекламні мережі, є ретельні процедури перевірки, яким піддається кожна реклама. Сам по собі банер не повинен містити шкідливого коду. Таким чином, просто зайшовши на сторінку, яка демонструє небезпечну рекламу, ви не заразите свій пристрій. Також перевіряється вміст сайту, на який введе рекламне посилання.
«Оголошення, що приймаються для розміщення в« Яндекс.Директі », проходять модерацію, - пояснили порталу Банкі.ру в прес-службі« Яндекса ». - У неї включена перевірка на наявність шкідливого коду на сторінці, на яку веде оголошення. Програмне забезпечення, пропоноване сайтами для установки, не перевіряється. Завдання попередити людини про те, що завантажуване програмне забезпечення може завдати шкоди його пристрою, вирішують встановлені у нього антивірусні системи ».
Цього разу, очевидно, зловмисникам вдалося обхитрити модераторів «Яндекса». Як вважає Баулін, спочатку сайт за посиланням міг не містити нічого підозрілого, потім шахраї змінили вміст на шкідливе і приготувалися «рубати капусту». На жаль, в такому вигляді оголошення і сайт провисіли досить довгий час (більше доби). За цей час там багато могли «підчепити» Marcher.
Користувач смартфона з прив'язаною до номера картою Ощадбанку (а таких у нас дуже багато), який встановив собі Marcher, практично гарантовано втратить своїх грошей. Більш того, якщо у нього укладено універсальний договір банківського обслуговування (УДБО), зловмисники спустошать і інші рахунки клієнта в «Ощад», крім критичного.
Спроба аутентифицироваться в цей нібито мобільний банк Ощадбанку призведе до того, що його облікові дані стають відомі зловмиснику. Одноразові паролі, що надсилаються по СМС, Marcher в реальному часі перехоплює, відправляє господареві і стирає з телефону жертви. Таким чином, власник картки не бачить ніяких ознак шкідливих дій - хіба що його оновлений «Сбербанк Онлайн» чомусь не працює.
Троянці такого роду управляються вручну. Шахрай, отримавши дані про встановлений на смартфоні програмному забезпеченні і переглянувши СМС-повідомлення, може зазіхнути і на гроші в інших банках. Скажімо, якщо власник апарату отримував якусь розсилку від Альфа-Банку - це привід спробувати відстежити його логін і пароль для «Альфа-Кліка».
Однак на практиці не все так похмуро. Незважаючи на те що останнім часом в операційній системі Android було знайдено кілька небезпечних вразливостей, немає відомостей про їх використання Marcher або іншими банківськими троянцями. Всі вони розраховані на те, що користувач встановить їх свідомо і добровільно. На жаль, це трапляється дуже часто.
Клікнувши на посилання, користувач отримає попередження про скачуванні файлу. Але скачати - ще не означає заразитися. Щоб встановити небезпечний файл, йому доведеться глибоко забратися в налаштування вашого смартфона і дозволити встановлення програм з недовірених джерел. Але навіть якщо він зробив це, його може попередити про небезпеку попередньо встановлений мобільний антивірус.
В даному випадку спроба встановити файл з підробленим мобільним банком супроводжувалася попередженням як від антивіруса, так і від цього додатка Ощадбанку, точніше, від вбудованого в нього антивіруса. І лише подолавши всі ці перепони, жертва стане «щасливим» власником смартфона, зараженого банківським троянцем.
Виникає питання, чи міг сам Сбербанк захистити своїх клієнтів від цієї загрози. На даний момент шкідливий сайт не працює, що можна порахувати результатом роботи служби безпеки банку або зовнішньої компанії, що займається кібероборона «Ощад». Але достовірно не відомо. На запит Банкі.ру Ощадбанк не відповів.
У будь-якому випадку, на банк сподівайся, а сам не зівай. Якщо ви схильні до установки додатків, вручну скачаних з сайтів (що іноді дійсно може знадобитися), як мінімум антивірус встановити варто. Часом це реально виручає і може зберегти ваші гроші.
Михайло ДЬЯКОВ, Banki.ru
«Бабуся, чому у тебе така дивна реклама?