Смартфон-предатель

Мобильные технологии занимают все большее место в жизни современного человека. Постепенно и банковские услуги перемещаются в эту сферу, что сопровождается новыми рисками. Портал Банки.ру расследовал «дело» о том, как смартфон становится инструментом ограбления вашего банковского счета.

При работе с большинством интернет-банков выполнение любой операции, а кое-где даже простой заход в систему потребует от вас ввода дополнительного одноразового кода – TAN. Чаще всего банк присылает его клиенту с помощью СМС-сообщения, это самый популярный способ. Такая дополнительная аутентификация позволяет банку удостовериться, что вы не просто знаете имя пользователя и пароль к интернет-банку, а еще и имеете доступ к телефонному номеру клиента кредитной организации.

Но в случае, если вы пользуетесь мобильным приложением банка, у вас нет отдельного канала для дополнительной аутентификации: СМС-сообщения от банка вы, скорее всего, получаете на тот же телефон, на котором работает приложение. Значит, все, что нужно злоумышленникам для ограбления вашего счета, – взять под контроль ваш смартфон. Для этого разработано множество инструментов и методов.

Оговоримся сразу, что подавляющее большинство существующих мобильных вирусов предназначено для платформы Android. «Абсолютное большинство вредоносных программ ориентировано на платформу Android. Если рассматривать современные мобильные платформы Android, iOS и Windows Phone 8, то доля угроз для Android достигнет 99%, – говорит ведущий вирусный аналитик ESET Russia Артем Баранов. – Существуют угрозы «прежних времен» для ОС Symbian, но их доля в сравнении с угрозами для Android также незначительна. Для iOS обнаружено не более пары десятков семейств вредоносных программ».

Способы заражения

Подцепить вредоносную программу на смартфон можно многими способами. Но изначально все мобильные операционные системы неплохо защищены от проникновения. Для того чтобы подцепить вирус, пользователь должен сам открыть ему дорогу. И люди делают это на удивление часто.

Дело в том, что многие полезные программы для мобильных телефонов, устанавливаемые через официальные магазины приложений, стоят приличных денег. Чтобы получить возможность ставить программы, бесплатно загруженные с пиратских ресурсов, требуется выполнить на телефоне определенные действия: для iOS это взлом системы безопасности путем установки Jailbreak, для Android – разрешение установки программ из недоверенных источников.

Но этого недостаточно, чтобы стать уязвимым. Есть много способов загрузить на мобильное устройство вредоносную программу, но установить ее пользователь должен сам, добровольно. Пользователя нужно обмануть.

Разберем основные методы проникновения вредоносной программы на мобильное устройство.

Поддельное приложение в официальном магазине. В этом случае злоумышленникам нужно обмануть не столько пользователя, сколько компанию, контролирующую магазин приложений (Google Play, App Store и т. д.). В случае Apple App Store любое приложение, выкладываемое в магазин, тщательно исследуется специалистами Apple. И случаи проникновения вредоносных программ туда исключительно редки. А вот в Google Play такое встречается значительно чаще. Обычно такое приложение маскируется под полезную утилиту, но ничего полезного не делает.

В качестве примера можно привести обнаруженное в 2012 году приложение Findand Call, якобы позволявшее находить номер телефона контакта в социальных сетях или по электронной почте. На самом деле Findand Call отправляло своему хозяину полный список контактов жертвы и рассылало СМС-спам по всему списку. Заметим, что злоумышленникам удалось внедрить свою программу не только в Google Play, но и в App Store. Под угрозой оказались владельцы невзломанных iPhone, даже не помышлявших об установке Jailbreak.

В такой ситуации защититься от заражения очень сложно, особенно если приложение свежее и возмущенные пользователи не успели оставить своих комментариев. Смартфон по умолчанию доверяет приложениям из официального магазина, и установка проблем не составит. Отчасти может помочь установленное на смартфоне антивирусное ПО, умеющее контролировать деятельность приложений.

Поддельное приложение в стороннем магазине. Очень часто производители смартфонов, планшетов и приложений создают собственные магазины приложений. Особенно это любят китайские компании, такие магазины там очень популярны. При этом и другим компаниям дозволяется загрузить в магазин свое приложение. Увы, в таких магазинах зачастую приложения не проверяются вообще или проверяются лишь автоматически, с помощью антивируса, который незнакомый вирус, скорее всего, поймать не сможет.

Поддельное приложение на пиратском ресурсе. Тут все просто и очевидно – кто угодно может выложить на пиратский форум или торрент-трекер приложение, внешне похожее на легитимную программу.

Легитимное приложение с внедренным вредоносным кодом. Относительно новый способ заражения, актуальный на платформе Android. Берется Angry Birds без рекламы, внедряется дополнительный код, размещается в сторонних магазинах и на пиратских ресурсах – и успех обеспечен. Инсталляционный пакет приложения содержит цифровую подпись, что вроде бы должно сделать невозможным выполнение таких фокусов. Да вот курьез – для Android нет удостоверяющих центров. Это означает, что подписать пакет собственной подписью может кто угодно – проверить подписанта некому.

Отправка ссылок на вредоносное приложение. Это самый популярный способ распространения мобильных зловредов. Для вредоносной программы нет ничего проще: попав на смартфон, она просто отправляет по всему списку контактов СМС, ММС, электронные письма, сообщения через соцсети или Skype. В сообщении будет ссылка и какой-нибудь завлекательный текст вроде «Глянь, нашел твое фото в сети!». Конечно, после перехода по ссылке смартфон сообщит о загрузке инсталляционного пакета и попросит разрешения его установить. Увы, многие пользователи в такой ситуации просто жмут «Установить», совершенно не задумываясь над своими действиями.

Артем Баранов рассказал об одном из таких вирусов: «Не так давно наши эксперты из вирусной лаборатории в Братиславе предупредили о появлении нового трояна Samsapo с функционалом банкера. После установки под видом легального приложения Samsapo рассылает по всему списку контактов сообщение на русском языке «Это твои фото?» и ссылку на вредоносный АРК-файл. Если смартфон инфицирован Samsapo, двухфакторная аутентификация уже не поможет защитить средства на банковском счете – троян перехватывает и отправляет на удаленный сервер СМС от банка».

Взлом легитимных сайтов и размещение там вирусов. Такое бывает гораздо чаще, чем можно себе представить. Зачастую администраторы популярных сайтов не слишком заботятся об информационной безопасности, и злоумышленники легко завладевают их паролями, проникают в систему управления и вмешиваются в код HTML-страниц. Если вы зайдете на такой сайт с мобильного устройства, он будет выглядеть в точности, как и раньше, но на телефон или планшет начнется загрузка инсталляционного пакета вредоносной программы. Естественно, запрос на разрешение установки все равно появится. Но, как уже было сказано, многих это не останавливает.

В большинстве случаев вредоносный инсталляционный пакет маскируется под обновление Flash Player, без которого якобы вы не сможете полноценно посетить сайт, либо под обновление браузера, версия которого якобы устарела. Следует помнить, что на мобильных платформах никакие обновления не устанавливаются в виде отдельных программ и загружаются через официальный магазин приложений.

Bluetooth-заражение. В настоящее время этот способ считается устаревшим и вирусописателями практически не используется, но несколько лет назад такое часто практиковалось на платформе Symbian. Червь Cabir и его потомки умели включать Bluetooth на смартфоне, искать соседние смартфоны со включенным Bluetooth и отправлять себя на них. Правда, пользователь должен был разрешить прием файла.

Извлечение денег

Если вы позволили себя обмануть и установили на смартфон троянскую программу, то оказываетесь практически беззащитны перед злоумышленниками. Даже антивирусное ПО не всегда помогает, так как самые продвинутые зловреды умеют с ним справляться. Если вам совсем не повезло и вы подцепили троянца-банкера, вы можете лишиться своих денег несколькими способами.

Для начала троянец попытается определить, клиентом какого банка вы являетесь. Он отправит на свой сервер все ваши СМС-сообщения и список приложений. Владелец троянца исследует полученную информацию и установит банк. Если банк входит в список интересующих хакера, троянец загрузит с сервера дополнительный модуль, созданный для конкретного банка. Дальше возможны несколько сценариев.

Оплата мобильного счета по СМС. Это наиболее популярная функция СМС-банкинга и наименее защищенная. Действительно, что может быть невиннее – клиент банка переводит деньги на свой мобильный счет. Никаких паролей и дополнительных кодов обычно не требуется.

Дальше все становится еще проще: деньгами с мобильного счета можно оплатить услугу подставного магазина, созданного только для вывода денег с чужих счетов, отправить пачку СМС на платные номера или командами оператора связи перевести деньги на другой номер. В этом случае, по сути, мобильный оператор выступает в роли соучастника преступления, хотя и без умысла. Получаемые при этом комиссионные (а с СМС на платные номера оператор может забирать до 60% суммы) лишают для оператора борьбу с такого рода мошенниками всякого интереса.

Перевод денег командами СМС-банкинга. Многие банки считают телефон пользователя доверенным устройством. Если номер привязан к счету, да еще есть привязка к идентификатору сим-карты, владелец телефона может выполнять многие операции без ввода паролей и одноразовых кодов. Заметим, что этим грешат даже весьма солидные банки. Таким образом, попавший на смартфон троянец спокойно отправляет банку СМС-команды на перевод денег на другую карту. С которой они, конечно же, будут очень быстро обналичены в банкомате.

Подмена интерфейса приложения банка. Это самый хитрый и сложный в исполнении способ, зато работает с приложениями любых банков. Обнаружив на смартфоне приложение мобильного банкинга, злоумышленник присылает троянцу модуль для подмены интерфейса. Запустив приложение, пользователь увидит ложную картинку, показанную ему поверх настоящей. Дальше троянец получает все данные, которые вводит пользователь (логин и пароль, СМС-коды и т. д.), и показывает ему то, что он должен видеть при работе с банковским приложением. Полученные данные передаются в настоящее приложение, но троянец может изменить и получателя, и тип операции. Тут следует внимательно читать текст приходящих СМС-сообщений с кодами: если вы пытаетесь оплатить доступ в Интернет, а в сообщении указан перевод на частное лицо, – ваш телефон заражен.

Перехват СМС-кодов. Многие мобильные троянцы умеют извлекать из телефона СМС-сообщения и отправлять их своему хозяину. Нередко злоумышленники выстраивают многоэтапную схему. Заразив компьютер кейлоггером (троянцем, записывающим нажатия клавиш), они завладевают логином и паролем для интернет-банка. Подсмотрев в интернет-банке номер владельца счета, они отправляют ему фишинговую СМС или ММС со ссылкой на мобильного троянца. Если жертва поддалась обману и установила троянца на смартфон, преступник может оформить в интернет-банке любые операции с ее счетом – одноразовые коды ему перешлет внедренный мобильный шпион.

Как избавиться

Обнаружить, что ваш телефон заражен, может быть не так-то просто. В некоторых случаях троян себя никак не проявляет. Например, шпионское ПО перехватывает на устройстве необходимую информацию и отправляет ее на удаленный сервер злоумышленников без ведома пользователя.

Наконец, некоторые вредоносные программы устанавливают в систему другое нежелательное ПО – их можно заметить по наличию незнакомых программ в операционной системе.

Так что при подозрительных списаниях с мобильного счета, внезапном появлении новых иконок в меню приложений или push-уведомлений неизвестного происхождения стоит задуматься.

Если вы осознали, что ваш друг-смартфон уже не совсем друг или, точнее, не совсем ваш, троянца нужно удалить. Самые простые вредоносные программы можно просто деинсталлировать, как и любое другое приложение. Большинство вирусописателей отнюдь не семи пядей во лбу, и сложные технологии противодействия удалению им недоступны. Найдите в списке приложений подозрительную программу, которую вы не ставили, и просто удалите ее – в большинстве случаев это поможет. Если это окажется что-то важное, установленное производителем смартфона, – не волнуйтесь, система все равно не позволит вам это удалить.

Иные, более продвинутые продукты киберпреступного творчества не дадут удалить себя так просто. Защищаются они разными способами, например, на диалог подтверждения удаления программы накладывают свой диалог с запросом вида «Удаление этого приложения повлечет за собой очистку памяти устройства». Причем никакой очистки на самом деле не будет, табличка с текстом призвана попросту перекрыть кнопку ОК, нажатие которой требуется для удаления программы. В таких случаях может помочь антивирусная программа, умеющая справляться с данным типом троянца.

Если же троянец обучен блокировать попытки удаления со стороны антивирусов, дело плохо. Но не безнадежно! Всегда есть выход – так называемый жесткий сброс (hardreset). Для каждого смартфона существует способ полностью вернуть память устройства в изначальное состояние. Обычно это делается через меню настроек. И тут троянец может помешать, но всегда есть и запасные способы: с помощью нажатий на аппаратные клавиши (включения и регулировки громкости) или посредством подключения к компьютеру. Увы, все данные и установленные программы будут потеряны.

Михаил ДЬЯКОВ, Banki.ru

Спросили у «Касперского»

О том, как распознать мобильные троянцы-банкеры и как с ними бороться, IT-обозревателю Банки.ру Михаилу ДЬЯКОВУ рассказал антивирусный эксперт «Лаборатории Касперского» Роман УНУЧЕК.

– Как распределяются по платформам существующие мобильные зловреды?

– В 2013 году было обнаружено около 143 тысяч новых модификаций вредоносных программ для мобильных устройств. Количество образцов мобильных зловредов для кражи данных кредитных карт и хищения денег с банковских счетов пользователей увеличилось почти в 20 раз.

Платформа Android по-прежнему остается наиболее подверженной угрозам — более 99% всех мобильных вредоносных программ нацелены именно на нее. Для их распространения злоумышленники использовали более 10 миллионов вредоносных установочных пакетов в 2013 году.

На данный момент различия в мобильных операционных системах достаточно критичны, так что это не позволяет создавать «универсальные» вредоносные объекты. Однако такие угрозы, как фишинг и спам, не зависят от типа операционной системы и угрожают пользователям всех мобильных систем.

– Троянцы-банкеры существуют только для Android или есть и на других мобильных операционных системах?

– Нам известны троянцы-банкеры, созданные под Android, Symbian и Blackberry. Банковские троянцы – основная угроза для пользователей сегодня. Подобных вирусов становится все больше, они используют все более изощренные методы для самозащиты, а также для заражений телефонов и кражи денег. Вирусописатели следят за развитием сервисов мобильного банкинга и при успешном инфицировании смартфона сразу проверяют, привязан ли телефон к банковской карте. Сюда относятся мобильный фишинг, кража информации о кредитных картах, перевод денег с банковских карт пользователей на мобильный счет злоумышленников. В 2013 году появились также мобильные троянцы, способные проверять баланс счета жертвы, чтобы «доход» был максимальным.

– Как внешне определить наличие троянца на смартфоне?

– В большинстве случаев только по косвенным признакам, таким как пропажа денег с мобильного или банковского счета, рассылка CМC-спама по вашим контактам от вашего лица, по недошедшим СМС...

– Что делать, если на смартфоне троянец?

– Если вы обнаружили на своем устройстве троянец, следует немедленно установить антивирусное программное обеспечение и удалить зловред. Также мы советуем перестраховаться и сменить пароли от сервисов, использовавшихся на телефоне. В первую очередь, от онлайн-банкинга.