Троянский фон: россиянам угрожает Android-вирус, ворующий банковские пароли

Появился новый вирус для Android-смартфонов Vultur, который записывает и передает злоумышленникам изображение с экрана и информацию о нажатиях. Это позволяет практически в реальном времени красть любую конфиденциальную информацию с устройства, включая логины и пароли от банковских приложений и криптокошельков. Эксперты пока не зарегистрировали распространения Vultur в России, но не исключают этого в будущем. Также специалисты отмечают, что этот вирус — предвестник эволюции мобильных троянцев, которые в будущем могут стать более автоматизированными.

Моя отрава: названы опасные приложения для смартфонов

Программы-шпионы можно получить даже из официальных магазинов

Стервятник за работой

Голландские специалисты по информационной безопасности из компании ThreatFabric обнаружили новый вирус для Android-смартфонов — Vultur. По данным фирмы, он делает скриншоты экрана устройств, фиксирует данные о нажатиях и передает эту информацию злоумышленникам. С помощью Vultur операторы вредоносной программы могут красть практически любую конфиденциальную информацию со смартфона жертвы. Целевые данные — логины и пароли от банковских приложений и криптокошельков. Ценность жертвы оператор определяет, изучая список установленных приложений на устройстве, который вирус также считывает и пересылает.

Для работы Vultur необходимо пользовательское разрешение на удаленный доступ к смартфону. Оно запрашивается при первом запуске приложения-носителя. Собственно, перманентная активность режима удаленного доступа, которая визуально отмечается в меню быстрых настроек, может натолкнуть пользователя на мысль о заражении смартфона. Но даже в случае обнаружения зловреда человеку не удастся просто избавиться от вируса, потому что он автоматически нажимает кнопку «назад» всякий раз, когда система просит подтвердить удаление приложения-носителя.

Фото: РИА Новости/Владимир Астапкович

Источник заразы: шесть самых зловещих вирусов в истории интернета

Зараженный вредоносными программами ноутбук продали за $1,3 млн

Директор технического департамента RTM Group Федор Музалевский считает, что для быстрого и гарантированного избавления от Vultur пользователю придется сбросить настройки смартфона до заводских установок.

Вирус распространяется через приложения в Google Play. Сейчас специалисты ThreatFabric обнаружили по меньшей мере два приложения-носителя, которые заразили от 5 тыс. до 8 тыс. пользователей. По словам исследователя мобильных угроз «Лаборатории Касперского» Виктора Чебышева, Vultur — хоть и не самый технологичный троянец, но весьма опасен, поскольку распространяется через Google Play.

— Подобная схема распространения считается чрезвычайно эффективной, поскольку у площадки очень большая пользовательская база и доверие людей к Google Play максимально. Потенциальные жертвы, даже не раздумывая, устанавливают приложения из этого источника, доверяя свою безопасность Google, — говорит он.

«Известия» направили запрос в Google Play.

Серверное сияние: 57% приложений банков и онлайн-магазинов уязвимы для хакеров

Какие уловки пускают в ход мошенники для атак на пользователей

Золотая жила

Специалисты ThreatFabric отметили, что подавляющее большинство обнаруженных ими конфигураций зловредной программы нацелены на приложения банков Италии, Австралии, Испании, Нидерладнов и Великобритании. Однако российские эксперты говорят, что потенциальную угрозу Vultur представляет и для пользователей в нашей стране.

В «Лаборатории Касперского» сказали, что знают об этом вирусе с ноября 2020 года, но до сих пор не зарегистрировали ни одного случая заражения в РФ. Но прецеденты не исключены в будущем, хорошо развитый в стране мобильный банкинг может обратить внимание операторов Vultur на Россию, сказал Виктор Чебышев.

Похожего мнения придерживается и руководитель направления аналитики угроз ESET Александр Пирожков. По его данным, случаев заражения Vultur в России тоже не было, но злоумышленникам ничего не мешает переписать вирус под отечественные приложения.

Фото: Global Look Press/Peter Schatz

Большой пуш: активность хакеров-вымогателей в 2021 году выросла вдвое

Программы-шифровальщики стали киберугрозой номер один для бизнеса и госорганов

— Потенциал Vultur позволяет адаптировать его под новые потребности злоумышленников. Если учесть, что Россия — один из лидеров по числу держателей криптокошельков, то наша страна может стать лакомой целью для операторов нового вируса, — говорит он.

В июле 2021 года аналитическое агентство Chainalysis опубликовало рейтинг стран по доходу от реализации биткоинов. В нем Россия заняла пятое место с показателем в $600 млн.

Впрочем, некоторые эксперты считают, что до тех пор, пока вирус дойдет до нашей страны, он уже перестанет быть актуальным.

— В перспективе заражение смартфонов отечественных пользователей возможно, но маловероятно. Скорее всего, разработчики исправят уязвимость раньше, чем она докатится до России, — считает Федор Музалевский.

По его словам, сейчас важно следить за обновлениями банковских приложений и не откладывать их установку.

«Злоумышленники знают ценность интимной информации»

Эксперт по кибербезопасности Сесилия Пасторино — о том, чем индустрия гаджетов для взрослых привлекает хакеров и почему это опасно

Штамм из будущего

По мнению специалистов ThreatFabric, появление Vultur в очередной раз подтверждает тенденцию по переходу разработчиков банковских троянцев от классической методики с фишинговыми окнами к более технологичным.

— Метод кражи паролей к криптокошелькам через запись экрана является эффективным. Злоумышленники очень быстро получают доступ к похищенным данным. В результате пользователь даже не успевает понять, что стал жертвой трояна, — соглашается Александр Пирожков.

Как объяснил Виктор Чебышев, под классической методикой подразумевается подлог окон с интерфейсом банковских приложений. Обычно, после проникновения на смартфон, троянец ждет, когда жертва запустит банковское приложение. В момент, когда это происходит, вирус вклинивается в событие и показывает пользователю фальшивое окно с интерфейсом банковского сервиса. Пользователь вводит данные, и они тут же уходят злоумышленнику. После хакеры сами авторизуются в приложении и переводят деньги, подтверждая операции с помощью SMS-кодов, которые троянец также перехватывает.

Фото: ИЗВЕСТИЯ/Алексей Майшев

Жидкое достояние: утекла база данных о 40 тыс. банковских операций

Стоит ли беспокоиться покупателям бутилированной воды

— Чтобы успешно провести атаку по такой схеме, злоумышленникам нужно показать жертве качественно созданное фальшивое окно банка. И если они хотят, чтобы троянец одинаково эффективно атаковал большую выборку банков, им придется рисовать такие окна под каждый случай, что весьма трудозатратно. Подобная техника превалирует среди мобильных финансовых угроз, — говорит Виктор Чебышев.

По его мнению, следующее поколение вирусов — не предоставляющие удаленный доступ, а те, что после проникновения на смартфон самостоятельно взаимодействуют с банковскими приложениями и осуществляют переводы. По словам Виктора Чебышева, такие программы уже появляются. Они требуют больших ресурсов при разработке, поскольку киберпреступникам приходится разбираться, как работает каждое банковское приложение, но автоматизация оправдывает эти вложения.