Android-троянец под видом банковского приложения

Компания Group-IB сообщила о деятельности хакера из Волгоградской области, обвиняемого в хищениях у клиентов российских банков при помощи Android-трояна. Анализируя «цифровые следы» совершенных краж, специалисты Group-IB выяснили, что используемый банковский троян был замаскирован под финансовое приложение «Банки на ладони», выполняющего роль «агрегатора» систем мобильного банкинга ведущих банков страны.

Пользователь мог загрузить в приложение все свои банковские карты, чтобы не носить их с собой, но при этом иметь возможность просматривать баланс карт на основе входящих SMS по всем транзакциям, переводить деньги с карты на карту, оплачивать онлайн услуги и покупки в интернет-магазинах. Приложение распространялось через спам-рассылки, на форумах и через официальный магазин GooglePlay. Впервые активность этой вредоносной программы была зафиксирована в 2016 г., предположительно за ней стояла группа злоумышленников.

Заинтересовавшись возможностями финансового агрегатора, клиенты банков скачивали приложение «Банки на ладони» и вводили данные своих карт. Запущенный троянец отправлял данные банковских карт или логины/пароли для входа в интернет-банкинг на сервер злоумышленникам. После этого злоумышленник переводил деньги на заранее подготовленные банковские счета суммами от 12 до 30 тыс. руб. за один перевод, вводя SMS-код подтверждения операции, перехваченный с телефона жертвы. Сами пользователи не подозревали, что стали жертвами киберпреступников – все SMS-подтверждения транзакций блокировались. В среднем похищалось от 100 тыс. до 300 тыс. руб. ежедневно, а к началу 2018 г. суммы ущерба выросли до 500 тыс. руб. в день. Часть денег переводилась в криптовалюту для безопасного вывода денег и маскировки следов преступления.