Как троянские приложения на Android-устройствах воруют деньги
Мобильный телефон сейчас под рукой у каждого, он обретает всё новые функции. Многие из нас уже привыкли использовать его для доступа к своему банковскому счёту, оплаты услуг и так далее, констатирует глава службы консалтинга и аудита Group-IB Андрей Брызгин. Однако, если речь идёт о гаджетах под системой Android, то следует иметь в виду: она гораздо более гибкая по отношению к исполняемым приложениям и желаниям пользователя, и в качестве оборотной стороны — разрешает сделать многие вещи, немыслимые под другими ОС для смартфонов. Если прибавить к этому тот факт, что Android захватила до 80% рынка мобильных устройств, становится понятно, почему злоумышленники выбрали целью своих вирусных атак именно её.
Руководитель отдела безопасности приложений Solar Security Даниил Чернов указывает на то, что платформа Android далека от совершенства с точки зрения устойчивости ко взлому и несанкционированному доступу к информации. Ситуацию ухудшает ещё и то, что очень многие фирмы-изготовители вносят в ОС свои собственные уникальные изменения, а по прошествии времени просто перестают предоставлять покупателям обновления. Многие из этих обновлений были бы важны, так как закрывают обнаруженные «дыры» в безопасности, но пользователю ничего не остаётся делать, как продолжать работать с не полностью защищённым устройством.
Android-трояны за последнее время научились многому, в том числе и бесшумной работе без каких-то симптомов, деньги пропадают незаметно. Зловредные программы в первую очередь собирают информацию об используемых кредитках, что делает совершенно неважным, в каком именно банке у владельца открыт счёт. Помимо данных собственно платёжных карт, устройство отправляет хакерам шпионскую информацию: куда звонил хозяин телефона, что находится в списке СМС, вытягивает необходимые файлы из самого телефона и облачного хранилища, фиксирует местоположение устройства.
Типичное заражение, как правило, происходит через установку некоего представляющего определённый интерес приложения (календаря, скринсейвера, счётчика калорий, игры и подобного), в одном архиве с которым идёт троян. Даниил Чернов (Solar Security) укоризненно говорит, что очень редко пользователи Android внимательно читают те права, которые просит себе вновь устанавливаемая программа, и просто слепо жмут «Разрешить», обрекая себя тем самым на денежные потери. Он рекомендует серьёзно проанализировать, зачем кулинарной программе или игре для работы могут потребоваться права на сканирование внутренней информации телефона или изучение и отправку СМС.
Вторым набирающим обороты способом заражения является адресная доставка, когда пользователю под обманным предлогом присылают и просят открыть ссылку, на самом деле ведущую к программе-трояну. Человек может продавать машину и получить ответ на своё объявление с предложением обмена. Полную информацию о предлагаемом автомобиле и его фото злоумышленник якобы расположил по высылаемой жертве ссылке. Стоит её открыть — никаких фото там, разумеется, не будет, а вот устройство окажется заражённым.
Когда вирус попал в систему, при первой возможности он пытается снять деньги со счёта. Если троян обнаруживает на смартфоне мобильный банк с известными ему уязвимостями в безопасности, он использует их, чтобы получить логин, пароль и даже данные банковской карты. Этого вполне достаточно, чтобы провести выглядящую вполне легально транзакцию и лишить пользователя денег. Если же подобного онлайн-банкинга не обнаружено, вирус проверяет наличие СМС банкинга, которым тоже может воспользоваться не менее успешно.
И даже если банк не разрешает отправлять деньги в другие кредитные организации при помощи СМС, следует последняя атака. На счёт мобильного телефона настраивается популярная сейчас услуга автоматического пополнения, после чего «умное» устройство входит в порочный круг: отправляет СМС на короткие (и что важно — платные) номера, принадлежащие злоумышленнику, ждёт пополнения счёта и повторяет всё сначала.
Самым неприятным является то, что данная активность внешне совершенно никак не заметна, в том числе ни входящих, ни исходящих СМС с информацией о списаниях пользователь так и не увидит — об этом троян позаботится. Лишь через некоторое время владелец счёта замечает непонятное отсутствие на нём денег и пытается предъявить претензию банку. Но с точки зрения последнего всё случившееся полностью соответствует обычному протоколу обмена дистанционными платёжными поручениями по инициативе клиента. В этой ситуации, где обе стороны считают себя правыми, изредка случаются счастливые для пользователя моменты, когда банк возвращает украденное хакерами. Но в большинстве случаев деньги пропадают безвозвратно.
Предоставленная Group-IB статистика говорит о том, что в прошлом году троянские программы под Android украли у физических лиц более 61 млн. руб., что превосходит даже деятельность аналогичных вирусов для обычных ПК. Сами же случаи воровства стали происходить в три раза чаще.
Андрей Брызгин (Group-IB) видит решение проблемы в усилении контроля как за разработчиками систем мобильного банкинга, так и со стороны владельца ОС компании Google. Мало того, что сами платёжные приложения (особенно отечественные) недостаточно защищены и плохо протестированы — даже магазин официально проверенного программного обеспечения зачастую пропускает к загрузке программы со скрытыми фишинговыми или иными хакерскими возможностями.
Он предлагает банкам не ждать свершения инцидентов, а самим или с помощью соответствующих компаний превентивно отслеживать появляющиеся на рынке троянские приложения, после чего внедрять методы борьбы с ними непосредственно в свои мобильные системы. Что же касается обычных пользователей, то им эксперты Solar Security рекомендуют инсталлировать приложения исключительно из официальных источников, настроить антивирус с обновляемой вирусной базой, а также внимательно читать права, которые новая программа требует предоставить себе при установке.
