Смартфон може стати мимовільним співучасником вашого пограбування

Мобільні технології займають все більше місця в житті сучасної людини. Поступово і банківські послуги переміщаються в цю сферу, що супроводжується новими ризиками. Портал Банкі.ру розслідував «справу» про те, як смартфон стає інструментом пограбування вашого банківського рахунку.

При роботі з більшістю інтернет-банків виконання будь-якої операції, а подекуди навіть простий захід у систему зажадає від вас введення додаткового одноразового коду - TAN. Найчастіше банк надсилає його клієнту за допомогою СМС-повідомлення, це найпопулярніший спосіб. Така додаткова аутентифікація дозволяє банку упевнитися, що ви не просто знаєте ім'я користувача і пароль до інтернет-банку, а ще й маєте доступ до телефонним номером клієнта кредитної організації.

Але в разі, якщо ви користуєтеся мобільним додатком банку, у вас немає окремого каналу для додаткової аутентифікації: СМС-повідомлення від банку ви, швидше за все, отримуєте на той же телефон, на якому працює додаток. Значить, все, що потрібно зловмисникам для пограбування вашого рахунку, - взяти під контроль ваш смартфон. Для цього розроблено безліч інструментів і методів.

Обмовимося відразу, що переважна більшість існуючих мобільних вірусів призначене для платформи Android. «Абсолютна більшість шкідливих програм орієнтовано на платформу Android. Якщо розглядати сучасні мобільні платформи Android, iOS і Windows Phone 8, то частка загроз для Android досягне 99%, - говорить провідний вірусний аналітик ESET Russia Артем Баранов. - Існують загрози «колишніх часів» для ОС Symbian, але їх частка в порівнянні з погрозами для Android також незначна. Для iOS виявлено не більше пари десятків сімейств шкідливих програм ».

способи зараження

Підчепити шкідливу програму на смартфон можна багатьма способами. Але спочатку все мобільні операційні системи непогано захищені від проникнення. Для того щоб підчепити вірус, користувач повинен сам відкрити йому дорогу. І люди роблять це напрочуд часто.

Справа в тому, що багато корисних програм для мобільних телефонів, що встановлюються через офіційні магазини додатків, стоять пристойних грошей. Щоб отримати можливість ставити програми, безкоштовно завантажені з піратських ресурсів, потрібно виконати на телефоні певні дії: для iOS це злом системи безпеки шляхом установки Jailbreak, для Android - дозвіл установки програм з недовірених джерел.

Але цього недостатньо, щоб стати уразливим. Є багато способів завантажити на мобільний пристрій шкідливу програму, але встановити її користувач повинен сам, добровільно. Користувача потрібно обдурити.

Розберемо основні методи проникнення шкідливої ​​програми на мобільний пристрій.

Підроблене додаток в офіційному магазині. В цьому випадку зловмисникам потрібно обдурити не так користувача, скільки компанію, яка контролює магазин додатків (Google Play, App Store і т. Д.). У разі Apple App Store будь-який додаток, викладаємо в магазин, ретельно досліджується фахівцями Apple. І випадки проникнення шкідливих програм туди виключно рідкісні. А ось в Google Play таке зустрічається значно частіше. Зазвичай такий додаток маскується під корисну утиліту, але нічого корисного не робить.

Як приклад можна привести виявлене в 2012 році додаток Findand Call, нібито що дозволяло знаходити номер телефону контакту в соціальних мережах або по електронній пошті. Насправді Findand Call відправляло своєму господареві повний список контактів жертви і розсилав СМС-спам по всьому списку. Зауважимо, що зловмисникам вдалося впровадити свою програму не тільки в Google Play, але і в App Store. Під загрозою опинилися власники невзломанних iPhone, навіть не думав про встановлення Jailbreak.

У такій ситуації захиститися від зараження дуже складно, особливо якщо додаток свіже і обурені користувачі не встигли залишити своїх коментарів. Смартфон за замовчуванням довіряє додатків з офіційного магазину, і установка проблем не складе. Частково може допомогти встановлене на смартфоні антивірусне ПЗ, яке вміє контролювати діяльність додатків.

Підроблене додаток в сторонньому магазині. Дуже часто виробники смартфонів, планшетів і додатків створюють власні магазини додатків. Особливо це люблять китайські компанії, такі магазини там дуже популярні. При цьому і іншим компаніям дозволяється завантажити в магазин свій додаток. На жаль, в таких магазинах часто програми не перевіряються взагалі або перевіряються лише автоматично, за допомогою антивірусу, який незнайомий вірус, швидше за все, зловити не зможе.

Підроблене додаток на піратському ресурсі. Тут все просто і очевидно - хто завгодно може викласти на піратський форум або торрент-трекер додаток, зовні схоже на легітимну програму.

Легітимне додаток з впровадженим шкідливим кодом. Відносно новий спосіб зараження, актуальний на платформі Android. Береться Angry Birds без реклами, впроваджується додатковий код, розміщується в сторонніх магазинах і на піратських ресурсах - і успіх забезпечений. Інсталяційний пакет програми містить цифровий підпис, що начебто має унеможливити виконання таких фокусів. Так ось курйоз - для Android немає засвідчувальних центрів. Це означає, що підписати пакет власним підписом може хто завгодно - перевірити підписанта нікому.

Надсилання посилань на шкідливий додаток. Це найпопулярніший спосіб поширення мобільних зловредів. Для шкідливої ​​програми немає нічого простішого: потрапивши на смартфон, вона просто відправляє по всьому списку контактів СМС, ММС, електронні листи, повідомлення через соцмережі або Skype. У повідомленні буде посилання і який-небудь заманливий текст на зразок «Глянь, знайшов твоє фото в мережі!». Звичайно, після переходу за посиланням смартфон повідомить про завантаження інсталяційного пакета і попросить дозволу його встановити. На жаль, багато користувачів в такій ситуації просто тиснуть «Встановити», абсолютно не замислюючись над своїми діями.

Артем Баранов розповів про один з таких вірусів: «Не так давно наші експерти з вірусної лабораторії в Братиславі попередили про появу нового трояна Samsapo з функціоналом Банкера. Після установки під виглядом легального додатка Samsapo розсилає по всьому списку контактів повідомлення російською мовою «Це твої фото?» І посилання на шкідливий АРК-файл. Якщо смартфон інфікований Samsapo, двофакторна аутентифікація вже не допоможе захистити кошти на банківському рахунку - троян перехоплює і відправляє на віддалений сервер СМС від банку ».

Злом легітимних сайтів і розміщення там вірусів. Таке буває набагато частіше, ніж можна собі уявити. Найчастіше адміністратори популярних сайтів не надто піклуються про інформаційну безпеку, і зловмисники легко заволодівають їх паролями, проникають в систему управління і втручаються в код HTML-сторінок. Якщо ви зайдете на такий сайт з мобільного пристрою, він буде виглядати в точності, як і раніше, але на телефон або планшет будуть завантажені інсталяційного пакета шкідливої ​​програми. Природно, запит на дозвіл установки все одно з'явиться. Але, як уже було сказано, багатьох це не зупиняє.

У більшості випадків шкідливий інсталяційний пакет маскується під оновлення Flash Player, без якого нібито ви не зможете повноцінно відвідати сайт, або під оновлення браузера, версія якого нібито застаріла. Слід пам'ятати, що на мобільних платформах ніякі оновлення не встановлюються у вигляді окремих програм і завантажуються через офіційний магазин додатків.

Bluetooth-зараження. В даний час цей спосіб вважається застарілим і вірусопісателямі практично не використовується, але кілька років тому таке часто практикувалося на платформі Symbian. Черв'як Cabir і його нащадки вміли включати Bluetooth на смартфоні, шукати сусідні смартфони з увімкненим Bluetooth і відправляти себе на них. Правда, користувач повинен був дозволити використання.

витяг грошей

Якщо ви дозволили себе обдурити і встановили на смартфон троянську програму, то опиняєтеся практично беззахисні перед зловмисниками. Навіть антивірусне ПЗ не завжди допомагає, так як самі просунуті зловредів вміють з ним справлятися. Якщо вам зовсім не пощастило і ви підчепили троянця-Банкера, ви можете позбутися своїх грошей декількома способами.

Для початку троянець спробує визначити, клієнтом якого банку ви є. Він відправить на свій сервер всі ваші СМС-повідомлення і список додатків. Власник троянця досліджує отриману інформацію і встановить банк. Якщо банк входить в список цікавлять хакера, троянець завантажує з сервера додатковий модуль, створений для конкретного банку. Далі можливі кілька сценаріїв.

Оплата мобільного рахунку по СМС. Це найбільш популярна функція СМС-банкінгу і найменш захищена. Дійсно, що може бути невиннее - клієнт банку переводить гроші на свій мобільний рахунок. Ніяких паролів і додаткових кодів звичайно не потрібно.

Далі все стає ще простіше: грошима з мобільного рахунку можна оплатити послугу підставного магазину, створеного тільки для виведення грошей з чужих рахунків, відправити пачку СМС на платні номери або командами оператора зв'язку перевести гроші на інший номер. В цьому випадку, по суті, мобільний оператор виступає в ролі співучасника злочину, хоча і без наміру. Отримувані при цьому комісійні (а з СМС на платні номери оператор може забирати до 60% суми) позбавляють для оператора боротьбу з такого роду шахраями будь-якого інтересу.

Переказ грошей командами СМС-банкінгу. Багато банків вважають телефон користувача довіреною пристроєм. Якщо номер прив'язаний до рахунку, та ще є прив'язка до ідентифікатора сім-карти, власник телефону може виконувати багато операцій без введення паролів і одноразових кодів. Зауважимо, що цим грішать навіть вельми солідні банки. Таким чином, потрапив на смартфон троянець спокійно відправляє банку СМС-команди на переказ грошей на іншу карту. З якої вони, звичайно ж, будуть дуже швидко переведені в готівку в банкоматі.

Підміна інтерфейсу додатку банку. Це самий хитрий і складний у виконанні спосіб, зате працює з додатками будь-яких банків. Виявивши на смартфоні додаток мобільного банкінгу, зловмисник надсилає троянцу модуль для підміни інтерфейсу. Запустивши додаток, користувач побачить неправдиву картинку, показану йому поверх справжньою. Далі троянець отримує всі дані, які вводить користувач (логін і пароль, СМС-коди і т. Д.), І показує йому те, що він повинен бачити при роботі з банківськими додатком. Отримані дані передаються в даний додаток, але троянець може змінити і одержувача, і тип операції. Тут слід уважно читати текст приходять СМС-повідомлень з кодами: якщо ви намагаєтеся оплатити доступ в Інтернет, а в повідомленні вказано переклад на приватну особу, - ваш телефон заражений.

Перехоплення СМС-кодів. Багато мобільні троянці вміють витягати з телефону СМС-повідомлення і відправляти їх своєму господареві. Нерідко зловмисники вибудовують багатоетапну схему. Заразивши комп'ютер кілоггерів (троянцем, записуючим натискання клавіш), вони заволодівають логіном і паролем для інтернет-банку. Підглянувши в інтернет-банку номер власника рахунку, вони відправляють йому фішингову СМС або ММС з посиланням на мобільного троянця. Якщо жертва піддалася обману і встановила троянця на смартфон, злочинець може оформити в інтернет-банку будь-які операції з її рахунком - одноразові коди йому перешле впроваджений мобільний шпигун.

як позбутися

Виявити, що ваш телефон заражений, може бути не так-то просто. У деяких випадках троян себе ніяк не проявляє. Наприклад, шпигунське ПЗ перехоплює на пристрої необхідну інформацію і відправляє її на віддалений сервер зловмисників без відома користувача.

Нарешті, деякі шкідливі програми встановлюють в систему інше небажане ПО - їх можна помітити по наявності незнайомих програм в операційній системі.

Так що при підозрілих списаних з мобільного рахунку, раптовою появою нових іконок в меню додатків або push-повідомлень невідомого походження варто задуматися.

Якщо ви усвідомили, що ваш друг-смартфон вже не зовсім друг або, точніше, не зовсім ваш, троянця потрібно видалити. Найпростіші шкідливі програми можна просто деінсталювати, як і будь-яке інше додаток. Більшість вірусів аж ніяк не семи п'ядей у ​​чолі, і складні технології протидії видалення їм недоступні. Знайдіть в списку додатків підозрілу програму, яку ви не ставили, і просто видаліть її - в більшості випадків це допоможе. Якщо це виявиться щось важливе, встановлене виробником смартфона, - не хвилюйтеся, система все одно не дозволить вам це видалити.

Інші, більш просунуті продукти кіберзлочинністю творчості не дадуть видалити себе так просто. Захищаються вони різними способами, наприклад, на діалог підтвердження видалення програми накладають свій діалог із запитом виду «Видалення цього додатка спричинить за собою очищення пам'яті пристрою». Причому ніякої очищення насправді не буде, табличка з текстом покликана просто перекрити кнопку ОК, натиснувши яку потрібно для видалення програми. У таких випадках може допомогти антивірусна програма, яка вміє справлятися з даним типом троянця.

Якщо ж троянець навчений блокувати спроби видалення з боку антивірусів, справи кепські. Але не безнадійно! Завжди є вихід - так званий жорсткий скидання (hardreset). Для кожного смартфона існує спосіб повністю повернути пам'ять пристрою в початковий стан. Зазвичай це робиться через меню налаштувань. І тут троянець може перешкодити, але завжди є і запасні способи: за допомогою натискань на апаратні клавіші (включення і регулювання гучності) або за допомогою підключення до комп'ютера. На жаль, всі дані і встановлені програми будуть втрачені.

Михайло ДЬЯКОВ, Banki.ru

Запитали у «Касперського»

Про те, як розпізнати мобільні троянці-Банкер і як з ними боротися, IT-оглядачеві Банкі.ру Михайлу Дьякова розповів антивірусний експерт «Лабораторії Касперського» Роман УНУЧЕК.

- Як розподіляються по платформах існуючі мобільні зловредів?

- У 2013 році було виявлено близько 143 тисяч нових модифікацій шкідливих програм для мобільних пристроїв. Кількість зразків мобільних зловредів для крадіжки даних кредитних карт і розкрадання грошей з банківських рахунків користувачів збільшилася майже в 20 разів.

Платформа Android як і раніше залишається найбільш схильною до погроз - більше 99% всіх мобільних шкідливих програм націлені саме на неї. Для їх поширення зловмисники використовували понад 10 мільйонів шкідливих настановних пакетів в 2013 році.

На даний момент відмінності в мобільних операційних системах досить критичні, так що це не дозволяє створювати «універсальні» шкідливі об'єкти. Однак такі загрози, як фішинг і спам, що не залежать від типу операційної системи і загрожують користувачам всіх мобільних систем.

- Троянці-Банкер існують тільки для Android або є і на інших мобільних операційних системах?

- Нам відомі троянці-Банкер, створені під Android, Symbian і Blackberry. Банківські трояни - основна загроза для користувачів сьогодні. Подібних вірусів стає все більше, вони використовують дедалі витонченіші методи для самозахисту, а також для заражень телефонів і крадіжки грошей. Вірусописьменники стежать за розвитком сервісів мобільного банкінгу і при успішному інфікуванні смартфона відразу перевіряють, прив'язаний чи телефон до банківської карти. Сюди відносяться мобільний фішинг, крадіжка інформації про кредитні картки, переказ грошей з банківських карт користувачів на мобільний рахунок зловмисників. У 2013 році з'явилися також мобільні троянці, здатні перевіряти баланс рахунку жертви, щоб «дохід» був максимальним.

- Як зовні визначити наявність троянця на смартфоні?

-У більшості випадків тільки за непрямими ознаками, таким як пропажа грошей з мобільного або банківського рахунку, розсилка CМC-спаму по вашим контактам від вашого обличчя, по недошедшім СМС ...

- Що робити, якщо на смартфоні троянець?

-Якщо ви виявили на своєму пристрої троянець, слід негайно встановити антивірусне програмне забезпечення і видалити зловредів. Також ми радимо перестрахуватися і змінити паролі від сервісів, що використовувалися на телефоні. В першу чергу, від онлайн-банкінгу.