Перейти к основному содержанию
Прямой эфир
Главный слайд
Начало статьи
Троянский фон: россиянам угрожает Android-вирус, ворующий банковские пароли
2021-07-30 18:09:04">
2021-07-30 18:09:04
Озвучить текст
Выделить главное
вкл
выкл

Появился новый вирус для Android-смартфонов Vultur, который записывает и передает злоумышленникам изображение с экрана и информацию о нажатиях. Это позволяет практически в реальном времени красть любую конфиденциальную информацию с устройства, включая логины и пароли от банковских приложений и криптокошельков. Эксперты пока не зарегистрировали распространения Vultur в России, но не исключают этого в будущем. Также специалисты отмечают, что этот вирус — предвестник эволюции мобильных троянцев, которые в будущем могут стать более автоматизированными.

Стервятник за работой

Голландские специалисты по информационной безопасности из компании ThreatFabric обнаружили новый вирус для Android-смартфонов — Vultur. По данным фирмы, он делает скриншоты экрана устройств, фиксирует данные о нажатиях и передает эту информацию злоумышленникам. С помощью Vultur операторы вредоносной программы могут красть практически любую конфиденциальную информацию со смартфона жертвы. Целевые данные — логины и пароли от банковских приложений и криптокошельков. Ценность жертвы оператор определяет, изучая список установленных приложений на устройстве, который вирус также считывает и пересылает.

Для работы Vultur необходимо пользовательское разрешение на удаленный доступ к смартфону. Оно запрашивается при первом запуске приложения-носителя. Собственно, перманентная активность режима удаленного доступа, которая визуально отмечается в меню быстрых настроек, может натолкнуть пользователя на мысль о заражении смартфона. Но даже в случае обнаружения зловреда человеку не удастся просто избавиться от вируса, потому что он автоматически нажимает кнопку «назад» всякий раз, когда система просит подтвердить удаление приложения-носителя.

перезагрузка
Фото: РИА Новости/Владимир Астапкович

Директор технического департамента RTM Group Федор Музалевский считает, что для быстрого и гарантированного избавления от Vultur пользователю придется сбросить настройки смартфона до заводских установок.

Вирус распространяется через приложения в Google Play. Сейчас специалисты ThreatFabric обнаружили по меньшей мере два приложения-носителя, которые заразили от 5 тыс. до 8 тыс. пользователей. По словам исследователя мобильных угроз «Лаборатории Касперского» Виктора Чебышева, Vultur — хоть и не самый технологичный троянец, но весьма опасен, поскольку распространяется через Google Play.

— Подобная схема распространения считается чрезвычайно эффективной, поскольку у площадки очень большая пользовательская база и доверие людей к Google Play максимально. Потенциальные жертвы, даже не раздумывая, устанавливают приложения из этого источника, доверяя свою безопасность Google, — говорит он.

«Известия» направили запрос в Google Play.

Золотая жила

Специалисты ThreatFabric отметили, что подавляющее большинство обнаруженных ими конфигураций зловредной программы нацелены на приложения банков Италии, Австралии, Испании, Нидерладнов и Великобритании. Однако российские эксперты говорят, что потенциальную угрозу Vultur представляет и для пользователей в нашей стране.

В «Лаборатории Касперского» сказали, что знают об этом вирусе с ноября 2020 года, но до сих пор не зарегистрировали ни одного случая заражения в РФ. Но прецеденты не исключены в будущем, хорошо развитый в стране мобильный банкинг может обратить внимание операторов Vultur на Россию, сказал Виктор Чебышев.

Похожего мнения придерживается и руководитель направления аналитики угроз ESET Александр Пирожков. По его данным, случаев заражения Vultur в России тоже не было, но злоумышленникам ничего не мешает переписать вирус под отечественные приложения.

вирус
Фото: Global Look Press/Peter Schatz

— Потенциал Vultur позволяет адаптировать его под новые потребности злоумышленников. Если учесть, что Россия — один из лидеров по числу держателей криптокошельков, то наша страна может стать лакомой целью для операторов нового вируса, — говорит он.

В июле 2021 года аналитическое агентство Chainalysis опубликовало рейтинг стран по доходу от реализации биткоинов. В нем Россия заняла пятое место с показателем в $600 млн.

Впрочем, некоторые эксперты считают, что до тех пор, пока вирус дойдет до нашей страны, он уже перестанет быть актуальным.

— В перспективе заражение смартфонов отечественных пользователей возможно, но маловероятно. Скорее всего, разработчики исправят уязвимость раньше, чем она докатится до России, — считает Федор Музалевский.

По его словам, сейчас важно следить за обновлениями банковских приложений и не откладывать их установку.

Штамм из будущего

По мнению специалистов ThreatFabric, появление Vultur в очередной раз подтверждает тенденцию по переходу разработчиков банковских троянцев от классической методики с фишинговыми окнами к более технологичным.

— Метод кражи паролей к криптокошелькам через запись экрана является эффективным. Злоумышленники очень быстро получают доступ к похищенным данным. В результате пользователь даже не успевает понять, что стал жертвой трояна, — соглашается Александр Пирожков.

Как объяснил Виктор Чебышев, под классической методикой подразумевается подлог окон с интерфейсом банковских приложений. Обычно, после проникновения на смартфон, троянец ждет, когда жертва запустит банковское приложение. В момент, когда это происходит, вирус вклинивается в событие и показывает пользователю фальшивое окно с интерфейсом банковского сервиса. Пользователь вводит данные, и они тут же уходят злоумышленнику. После хакеры сами авторизуются в приложении и переводят деньги, подтверждая операции с помощью SMS-кодов, которые троянец также перехватывает.

банк
Фото: ИЗВЕСТИЯ/Алексей Майшев

— Чтобы успешно провести атаку по такой схеме, злоумышленникам нужно показать жертве качественно созданное фальшивое окно банка. И если они хотят, чтобы троянец одинаково эффективно атаковал большую выборку банков, им придется рисовать такие окна под каждый случай, что весьма трудозатратно. Подобная техника превалирует среди мобильных финансовых угроз, — говорит Виктор Чебышев.

По его мнению, следующее поколение вирусов — не предоставляющие удаленный доступ, а те, что после проникновения на смартфон самостоятельно взаимодействуют с банковскими приложениями и осуществляют переводы. По словам Виктора Чебышева, такие программы уже появляются. Они требуют больших ресурсов при разработке, поскольку киберпреступникам приходится разбираться, как работает каждое банковское приложение, но автоматизация оправдывает эти вложения.

Читайте также