МОСКВА, 29 ноября. /ТАСС/. Компания Group-IB, которая занимается расследованием и предотвращением киберпреступлений, зафиксировала новую волну массового распространения вирусов, маскирующихся под мобильные приложения ведущих банков страны. Об этом говорится в сообщении Group-IB.
Основной мишенью злоумышленников стали пользователи мобильных устройств на операционной системе Android. Как отмечают в Group-IB, вирусы распространяются не через официальный магазин приложений Google Play, а через рекламные объявления в поисковых системах. Желая установить на свой смартфон мобильное приложение банка, пользователи набирают в поисковике соответствующий запрос. На первой странице поисковика появляются рекламные сообщения с предложением установить приложение банка.
Однако когда пользователь нажимает на ссылку, запускается переадресация на сторонние ресурсы, где под видом приложения банка скрывается вирус-троян. Попав на смартфон, вредоносная программа запрашивает разрешения, в том числе на чтение и отправку sms-сообщений, после чего просит ввести логин и пароль от личного кабинета и реквизиты платежной карты. Эти данные могут быть использованы для любых банковских операций в личном кабинете, включая денежные переводы.
Пользователь не знает о проведении каких-либо операций, поскольку sms-уведомления о доступе к его счету, транзакциях и любых других операциях перехватываются Android-трояном.
Как выяснили в Group-IB, распространитель этих вредоносных банковских приложений был автором мошеннических ресурсов по продаже авиабилетов, которые были популярны в 2016 и в начале 2017 года. В Group-IB пояснили ТАСС, что первый эпизод этой волны был зафиксирован в начале ноября.
"Мы оперативно предупредили банки и поисковики, после чего выявленные нами сайты были заблокированы", - отметили в компании, уточнив, что было заблокировано более десяти хорошо подготовленных сайтов. Рекламные объявления с недобросовестным контентом удалялись сотрудниками поисковых сервисов. "Мы продолжаем следить за развитием ситуации, активность группы продолжается", - уточнили в Group-IB.
Экспертная оценка
По словам руководителя Центра реагирования на инциденты информационной безопасности (CERT-GIB) Group-IB Александра Калинина, большинство пользователей не остановила даже необходимость изменить настройки безопасности своих устройств (для установки таких приложений нужно разрешить инсталляцию приложений недоверенных источников).
"Как правило, об опасности такого подхода операционная система предупреждает сразу же после получения согласия пользователя. Однако в данном случае жертвы фишинг-атаки были согласны взять на себя все риски", - пояснил он. "Стоит отметить, что качество приложений-подделок, как по дизайну, так и по механике заражения, постоянно растет, что сбивает с толку многих пользователей, не обращающих внимание на критичные детали: название домена, переадресацию на сторонний ресурс и другую информацию", - добавил эксперт.
Киберпреступники сосредоточились на пользователях Android, поскольку почти 85% смартфонов в мире работает на этой операционной системе, отмечают в Group-IB. "В отличие от iOS - это открытая экосистема с невысоким уровнем цензуры. Неудивительно, что большинство вирусов пишутся именно под нее", - уточняют эксперты.
По данным Group-IB, за последний год, рынок банковских Android-троянов оказался самым динамичным и быстрорастущим. За период с середины 2016 года по середину 2017 года преступники похитили у физических лиц в РФ $4 млн.