Подписаться arrow_upward

Вячеслав

Group-IB обнаружила троян-хамелеон, который маскируется под Android-приложения российских банков


Эксперты Group-IB зафиксировали массовое распространение трояна под Android-устройства, который маскируется под мобильные приложения ведущих российских банков – в зависимости от поискового запроса жертвы. Об этом  рассказали в компании, специализирующейся на предотвращении и расследовании киберпреступлений.

«Сейчас известно о примерно 10 ресурсах, через которые распространялся троян. Первый из них был зафиксирован в начале ноября. Активность хакеров всё ещё продолжается», - сообщили  в пресс-службе компании. Злоумышленники маскируют троян под Android-приложение и распространяют его не через официальный магазин Google Play, а через рекламные объявления в поисковых системах. Жертвами хакеров становились пользователи, которые набирали в поисковиках запросы формата «скачать приложение банка ХХХ». Таким потенциальным жертвам на первых страницах поисковиков отображались объявления, при переходе по которым они попадали на сайты, где под видом приложения на мобильное устройство загружался троян.

Причем в объявлении указывалось название именно того банка, запрос о котором вводил пользователь, подчеркивают в Group-IB. Эксперты объяснили, что злоумышленники легально выкупают рекламные места в поисковиках таким образом, чтобы при запросах пользователям в приоритетном порядке (рекламные ссылки, как правило, всегда выводятся первыми) отображались объявления, через которые распространялся троян.

В Group-IB добавили, что троян может маскироваться под приложения трех ведущих российских банков.

Для загрузки вредоносной программы жертву перенаправляли на сторонние ресурсы - в доменных именах которых использовались названия банков для большей убедительности.

Причем пользователям мобильных устройств необходимо было самостоятельно разрешить установку приложений из недоверенных источников - настройки безопасности мобильных устройств обычно предупреждают о подобных рисках. Если жертва устанавливала приложение и давала ему доступ к чтению и отправке смс-сообщений - троян запрашивал логин и пароль от личного кабинета банка. То есть жертва давала хакерам абсолютно все конфиденциальные данные, которые необходимы для проведения банковских операций в мобильном банке. С учетом того, что программе открывали доступ к чтению и отправке смс - троян перехватывал и уведомления о доступе к счету и проведению транзакций. Group-IB уведомила банки о распространении троянов, чтобы финансовые организации предприняли меры для защиты клиентов. Специалисты также уведомили «Яндекс» - в частности чтобы отдел безопасного поиска оперативно блокировал распространение рекламы вредоносных приложений. Центр реагирования на инциденты информационной безопасности (CERT-GIB) также работает над оперативным выявлением и блокировкой сайтов-распросторанителей троянов. «Независимо от банка, под который создано мобильное приложение, за этим стоит одна и та же группа лиц. Злоумышленники русскоговорящие, так как и рекламные объявления на русском, а целевые банки – российские, все сайты, используемые для мобильных приложений-подделок, на грамотном русском языке», – указали в Group-IB. При этом собственное расследование Group-IB указало на связь распространителей банковских Android-троянов с авторами мошеннических ресурсов по продаже авиабилетов.

«Мы уже не первый раз сталкиваемся с «работой» этой преступной группы. В прошлом году она же запустила фальшивые сайты по продаже авиабилетов с целью кражи реквизитов банковских карт. Речь идет о ресурсах типа letimranshe.ru. В конце 2016 года специалисты Group-IB зафиксировали и заблокировали более 40 подобных ресурсов. На этот раз использована схема камуфляжем для вредоноса, который представляется мобильным приложением банков», - рассказал руководитель Центра реагирования на инциденты информационной безопасности (CERT-GIB) Group-IB Александр Калинин

Чтобы не стать жертвой мошенничества в Group-IB рекомендуют использовать для загрузки приложений только официальные магазины, отключить на своем устройстве функцию использования непроверенных источников для установки приложений, а также обращать внимание на домен с сайта которого пользователь хочет что-то скачать.

Сергей И. и 2 пользователям это нравится

Чтобы упомянуть другого пользователя в комментарии, введите знак @

Упомянуть можно тех, на кого Вы подписаны или тех, кто принимал участие в дискуссии


Чтобы упомянуть ценную бумагу в комментарии, введите ее тикер после знака ^