Как понять, что в вашем телефоне завелся вирус, и удалить его раньше, чем он получит доступ к банковской карте?
Часто можно услышать в новостях что в смартфонах на платформе Android появился очередной новый вирус. Если раньше злоумышленники пытались потратить деньги со счетов владельцев телефонов, то теперь их цель – банковские карты. Вирус проверяет, подключен ли на устройстве «Мобильный банк», а дальше может перевести деньги со счета владельца телефона на номер злоумышленников.
Акцент – на банковские карты
«Ранее наиболее распространенным способом кражи денег у владельцев Android-смартфонов являлась отправка SMS на премиум номера, — рассказал Виктор Чебышев, антивирусный эксперт «Лаборатории Касперского», — При этом жадность злоумышленников чаще всего приводит к тому, что троянец отправлял не одно сообщение ценой, скажем, 100 рублей, а два-три общей стоимостью до 1000 рублей, и в результате привлекал внимание жертвы. Но даже успешная кража заветной тысячи не приносила владельцу троянца большого дохода. Дело в том, что при такой схеме монетизации часть денег уходит посредникам (зачастую не подозревающим о причинах внезапной популярности дорогостоящего премиум номера)».
К посредникам относятся оператор сотовой связи (он получает около 50% процентов от стоимости сообщения), контент-провайдер (ещё 5-10%), партнёрская программа (ещё 10-20%). В итоге мошенникам, занимающимся распространением троянцев, достаётся немного. А если жертвы троянца пожалуются сотовому оператору на пропажу денег и тот оштрафует посредников, то и того меньше. В такой ситуации появление новых способов отъема денег у населения было лишь вопросом времени.
Задача телефонного троянца — выполнение команд, поступающих с удаленного сервера. «Такой подход характерен для большинства вредоносных программ класса Trojan-SMS, поскольку обеспечивает более гибкую реакцию владельца троянца на изменение окружающих условий: сотового оператора, баланса счета, времени суток», — объясняет Виктор Чебышев.
Владельцы вируса проверяли, подключен ли в смартфоне «Мобильный банк». Попав на мобильное устройство, этот троянец никак не проявляет себя, пока не получит какую-либо команду от своих хозяев. Для общения с удаленным C&C сервером и получения команд троянец использует POST запросы. Обычно смс-троянцы автоматически рассылают дорогостоящие SMS, получив команду хозяина. Но этот экземпляр лишен самостоятельности, вся его деятельность привязана к командному серверу – он получает команду, выполняет ее, сообщает хозяевам результат и ждет новую команду.
«Нам удалось перехватить несколько поступивших команд, — говорит представитель «Лаборатории Касперского», — В ходе выполнения одной из них троянец отправил SMS со словом BALANCE на коротки номер одного из крупнейших банков страны. На коротком номере работает сервис взаимодействия с услугой «Мобильный банк». Таким образом владельцы троянца проверяли, привязан ли данный мобильный номер к счету в банке и узнавали баланс этого счета.
Сервис «Мобильный банк» в ответном сообщении предлагает пополнить счет любого сотового телефона. Это позволяет предположить, что следующим шагом хозяев троянца будет перевод любой доступной в «Мобильном банке» суммы на мобильный номер злоумышленников. Также можно предположить, что аналогичным способом хозяева троянца проверяют наличие у жертвы подключенного мобильного сервиса других банков.
Вирус не дает жертве связаться с банком
Дальнейшая судьба похищенных денег может быть разной. Сервисы, созданные во благо пользователя, теперь будут играть против него.
Например, у «большой тройки» операторов сотовой связи есть возможность перевода денег с лицевого счета на QIWI кошелек, средства на котором впоследствии можно обналичить. Для того чтобы жертва как можно дольше оставалась в неведении, троянец тщательно заметает следы своей деятельности и препятствует общению жертвы и банка. В частности, он перехватывает SMS и звонки с принадлежащих банку номеров – их список также поступает к троянцу с C&C сервера. В результате жертва ещё долгое время может не подозревать о том, что все деньги с ее банковского счета украдены.
Что еще может сделать вирус?
— Собирать и отправлять злоумышленникам данные о телефоне (IMEI, название мобильного оператора, страна)
— Красть все входящие и исходящие сообщения
— Получать информацию обо всех входящих и исходящих звонках
— Передавать списки запущенных на смартфоне процессов
— Отправлять СМС
— Блокировать входящие и исходящие звонки с указанного номера
Хакеры любят Андроид
Эксперты уверенно называют операционную систему Android самой атакуемой хакерами платформой.
«Около 97% обнаруженных нами мобильных угроз за все время их существования нацелены на платформу Android, и стремительный рост угроз для этой ОС продолжается, — рассказал Aif.ru Алексей Чиков, менеджер по развитию мобильных продуктов «Лаборатории Касперского», — Этому способствует целый ряд факторов.
Во-первых, рост количества гаджетов на операционке Android у разных производителей. Они представлены абсолютно во всех ценовых категориях – от самых бюджетных до премиальных.
Во-вторых, среди частных пользователей интенсивно растет количество тех, кто пользуется онлайн-банкингом с мобильных устройств. Их киберпреступники тоже очень любят атаковать.
В-третьих, развивается концепция BYOD (Bring your own device). Все больше корпоративных пользователей в России применяют личные мобильные устройства для использования в рабочих целях, соответственно эта область сейчас сильно интересует киберпреступников. Таким способом они могут получить доступ к ценным корпоративным данным. Соответственно, киберпреступники разрабатывают и выпускают в мир все новые и новые образцы зловредов.
Кроме того, платформа Android является открытой операционной системой с большими возможностями для разработчиков. Это, с одной стороны хорошо: «больше приложений хороших и разных», но, с другой стороны, такая открытость ОС облегчает жизнь и киберпреступникам».
Как защитить свой смартфон от вирусов?
Роман Унучек, антивирусный эксперт «Лаборатории Касперского»:
• Не включать «режим разработчика»
• Не включать галочку «установка приложений из сторонних источников»
• Устанавливать приложения только из официальных каналов (например, Google play, Galaxy store и пр.)
• Внимательно следить за теми правами, которые приложения запрашивают при установке
• Использовать защитное программное обеспечение