Новая волна фальшивых банковских приложений

Как сообщила компания Group-IB, зафиксирована новая волна массового распространения троянцев, маскирующихся под мобильные приложения ведущих банков. Специалисты Центра реагирования на инциденты информационной безопасности (CERT-GIB) Group-IB оперативно блокируют ресурсы, с которых идет распространение фальшивых банковских приложений, и отмечают, что их объем постоянно растет.

Троянцы для мобильных устройств под управлением ОС Android распространяются не через официальный магазин Google Play, а через рекламные объявления в поисковых системах. Пользователи, желающие установить на свой смартфон мобильное приложение банка, набирали в поисковике характерный запрос формата «скачать приложение банка ХХХ». После чего на первых страницах поисковиков им выдавались рекламные сообщения, сопровождавшиеся стандартным текстовым сопровождением: «Установите приложение ХХX банка прямо сейчас, оплачивайте услуги, делайте переводы и открывайте вклады!». При нажатии на ссылку, запускалась переадресация на сторонние ресурсы, где и предлагалось скачать мобильное приложение, под которым скрывался банковский троянец.

Как подчеркивают в CERT-GIB, большинство пользователей не остановило даже то, что для установки такого рода программ необходимо разрешить инсталляцию приложений из недоверенных источников в настройках безопасности своих устройств. Как правило, операционная система предупреждает об опасности такого подхода сразу после получения согласия пользователя, однако жертвы фишинг-атаки были согласны взять на себя все риски. Кроме того, качество приложений-подделок как по дизайну, так и по механике заражения постоянно растет, что сбивает с толку многих пользователей, не обращающих внимание на критичные детали: название домена, переадресацию на сторонний ресурс и др.

Кража денег у жертвы происходит следующим образом: после получения соответствующих разрешений, в том числе на чтение и отправку СМС-сообщений, установленное фейковое приложение запрашивает логин/ пароль от личного кабинета и реквизиты платежной карты. Таким образом, жертва дает злоумышленникам доступ к своим конфиденциальным данным, которые могут быть использованы для любых банковских операций в личном кабинете, включая денежные переводы. При этом СМС-уведомления о доступе к счету, транзакциях и любых других операциях перехватываются Android-троянцем.

Для противодействия злоумышленникам специалисты CERT-GIB оперативно блокировали все выявленные ресурсы, с которых распространялись фальшивые банковские приложения, рекламные объявления с недобросовестным контентом удалялись сотрудниками поисковых сервисов. В ходе дальнейшего расследования эксперты Group-IB при помощи системы Threat Intelligence (киберразведка) выявили связь распространителя этих вредоносных банковских приложений и автора мошеннических ресурсов по продаже авиабилетов, которые были популярны в 2016 г. и в начале 2017 г. CERT Group-IB продолжает следить за развитием ситуации.