Интерес злоумышленников к мобильному и онлайн-банкингу не пропадёт никогда. Мы регулярно наблюдаем, как они модифицируют и совершенствуют своё главное орудие для кражи чужих денег — банковских троянцев. И даже новые версии Android оставляют простор для их маневра.



Буквально с каждым днём эти вредоносные программы становятся всё изощрённее, обрастают всё более обширным набором функций и учатся обходить всевозможные методы защиты. За примером далеко ходить не надо: прямо сейчас любителям проверить баланс банковского счёта на смартфоне угрожает троянец Gugi, который ловко обходит встроенные механизмы защиты в Android версии 6.

Речь идёт о двух обязательных разрешениях, которые должно получить любое приложение, если оно собирается отображать своё окно поверх других или же намерено совершать звонки и отправлять SMS. Прежде чем выполнить одно из этих действий, приложение, запускаемое на Android 6, или сама операционная система должны показать пользователю соответствующее диалоговое окно, и уже в этом окне человек будет решать, давать приложениям запрашиваемые права или нет.

Именно так и поступает троянец Gugi — первым же делом после проникновения на устройство показывает пользователю окно с текстом следующего содержания: «Для работы с графикой и окнами приложению необходимы права». И предлагает лишь одну кнопку — «Предоставить». Нажав на эту кнопку, пользователь, сам того не подозревая, откроет настоящий ящик Пандоры: троянец начнёт одно за другим показывать окна с различными запросами и не успокоится до тех пор, пока не получит все необходимые ему права, включая права администратора (очевидно, если устройство «рутовано».— Bankir.Ru). Если же зловред не получит тех разрешений, которые ему нужны, он полностью заблокирует зараженное устройство.

Однако, что же с кражей денег? А вот что: среди всей кучи запросов Gugi получает разрешение на перекрытие окон других приложений. Сейчас он успешно перекрывает окна приложений пяти российских банков. То есть в тот момент, когда пользователь вздумает проверить состояние своего счёта и откроет для этого на смартфоне банковское приложение, он увидит не легитимную страничку с привычным интерфейсом, а максимально похожую на неё фишинговую копию, которую ему «позаботится» показать Gugi. И, соответственно, все, что он введёт на этой страничке: а это логин и пароль к системе дистанционного банковского обслуживания, строго говоря, самые важные финансовые данные, утекут в руки злоумышленникам и откроют им прямой путь к деньгам.

Кроме банковских приложений, Gugi также старательно перекрывает окно магазина Google Play. И это не удивительно, ведь именно там пользователь указывает данные своей банковской карты, когда покупает ту или иную программу.

Не будем забывать, что троянец, помимо всего прочего, запрашивает разрешение на «обработку» SMS, что позволяет ему скрывать входящие сообщения от пользователя, самостоятельно отвечать на них или же просто отправлять SMS с определённым текстом на конкретные номера. Всё это делается, опять же, с одной-единственной целью — украсть деньги пользователя. И нет, речь не о том, чтобы потратить все деньги со счёта мобильного телефона жертвы,— таким образом Gugi ворует деньги, используя технологии SMS-банкинга.

Троянец распространяется через SMS-спам — пользователю приходит сообщение о том, что он получил MMS-фото, посмотреть которое можно, пройдя по указанной в этом же сообщении ссылке. И если пользователь кликнет на неё, то загрузит на устройство троянца Gugi. Ну а что будет дальше, вы уже знаете.

В настоящее время в зоне риска в основном находятся российские пользователи — 93% попыток заражения Gugi, которые выявила «Лаборатория Касперского», были зафиксированы именно на территории России. Вместе с тем у троянца есть все шансы освоить и новые территории, поскольку число его жертв растёт в геометрической прогрессии: в августе количество атакованных Gugi пользователей было в три раза больше, чем в июле, и почти в 20 раз больше, чем в июне.

Всё вышесказанное, однако, не повод отказываться от благ интернет-банкинга. Нужно лишь соблюдать элементарные меры безопасности: не переходить по подозрительным ссылкам, не открывать сомнительные сообщения от неизвестных отправителей, не раздавать направо и налево разрешения всем приложениям на смартфоне. И лучше, конечно же, установить защитное приложение — уж оно-то точно всегда будет начеку.

P.S. от Дмитрия Евдокимова, директора исследовательского центра Digital Security

Несмотря на то, что злоумышленники все чаще начинают атаковать сами банки или даже такие системы, как SWIFT, интерес к конечным пользователям сохраняется. Снижается ли количество таких творений, сказать сложно, ведь на место одних приходят другие. Просто одним уже такого куска пирога мало и им надо чуть ли не весь пирог.

Чтобы защитить клиентов, банки могут мониторить магазины распространения приложений на наличие подделок их продуктов и своевременно просить Google удалять их. Но остается проблема — пользователь может ставить приложения с недоверенных источников, и на это уже банк никак повлиять не может. Социальная инженерия благодаря человеческой глупости будет жить вечно. Эти методы — очень сильное оружие в руках злоумышленника.

источник