Как понять, что в вашем телефоне завелся вирус, и удалить его раньше, чем он получит доступ к банковской карте?

В смартфонах на Android распространяется новый вирус. Если раньше злоумышленники пытались потратить деньги со счетов владельцев телефонов, то теперь их цель – банковские карты. Вирус проверяет, подключен ли на устройстве «Мобильный банк», а дальше может перевести деньги со счета владельца телефона на номер злоумышленников.

Это второй за всю историю вирусов троянец с подобным функционалом. Первый заметили летом этого года, он использовал ранее неизвестную уязвимость в Android и активно противодействовал удалению.

Акцент — на банковские карты

«Наиболее распространенным способом кражи денег у владельцев Android-смартфонов является отправка SMS на премиум номера, — рассказал Aif.ru Виктор Чебышев, антивирусный эксперт «Лаборатории Касперского». — При этом жадность злоумышленников чаще всего приводит к тому, что троянец отправляет не одно сообщение, ценой, скажем, 100 рублей, а два-три общей стоимостью до 1000 рублей, и в результате привлекает внимание жертвы. Но даже успешная кража заветной тысячи не приносит владельцу троянца большого дохода. Дело в том, что при такой схеме монетизации часть денег уходит посредникам (зачастую не подозревающим о причинах внезапной популярности дорогостоящего премиум номера)».

К посредникам относятся оператор сотовой связи (он получает около 50% процентов от стоимости сообщения), контент-провайдер (ещё 5-10%), партнёрская программа (ещё 10-20%). В итоге злоумышленникам, занимающимся распространением троянцев, достаётся немного. А если жертвы троянца пожалуются сотовому оператору на пропажу денег и тот оштрафует посредников, то и того меньше. В такой ситуации появление новых способов отъема денег у населения было лишь вопросом времени.

Задача «осеннего» троянца — выполнение команд, поступающих с удаленного сервера. «Такой подход характерен для большинства вредоносных программ класса Trojan-SMS, поскольку обеспечивает более гибкую реакцию владельца троянца на изменение окружающих условий: сотового оператора, баланса счета, времени суток», — объясняет Виктор Чебышев.

Владельцы вируса проверяли, подключен ли в смартфоне «Мобильный банк»

Попав на мобильное устройство, этот троянец никак не проявляет себя, пока не получит какую-либо команду от своих хозяев. Для общения с удаленным C&C сервером и получения команд троянец использует POST запросы. Обычно SMS-троянцы автоматически рассылают дорогостоящие SMS, получив команду хозяина. Но этот экземпляр лишен самостоятельности, вся его деятельность привязана к командному серверу – он получает команду, выполняет ее, сообщает хозяевам результат и ждет новую команду.

«Нам удалось перехватить несколько поступивших команд, — говорит представитель «Лаборатории Касперского». — В ходе выполнения одной из них троянец отправил SMS со словом BALANCE на короткий номер одного из крупнейших банков страны. На коротком номере работает сервис взаимодействия с услугой «Мобильный банк». Таким образом, владельцы троянца проверяли, привязан ли данный мобильный номер к счету в банке и узнавали баланс этого счета.

Сервис «Мобильный банк» в ответном сообщении предлагает пополнить счет любого мобильного телефона. Это позволяет предположить, что следующим шагом хозяев троянца будет перевод любой доступной в «Мобильном банке» суммы на мобильный номер злоумышленников. Также можно предположить, что аналогичным способом хозяева троянца проверяют наличие у жертвы подключенного мобильного сервиса других банков.

Вирус не дает жертве связаться с банком

Дальнейшая судьба похищенных денег может быть разной. Сервисы, созданные во благо пользователя, теперь будут играть против него. Например, у «большой тройки» операторов сотовой связи есть возможность перевода денег с лицевого счета на QIWI кошелек, средства на котором впоследствии можно обналичить. Для того чтобы жертва как можно дольше оставалась в неведении, троянец тщательно заметает следы своей деятельности и препятствует общению жертвы и банка. В частности, он перехватывает SMS и звонки с принадлежащих банку номеров — их список также поступает к троянцу с C&C сервера. В результате жертва ещё долгое время может не подозревать о том, что все деньги с ее банковского счета украдены.

Что еще может сделать вирус?

- Собирать и отправлять хозяевам данные о телефоне (IMEI, название сотового оператора, страна).
- Красть все входящие и исходящие сообщения.
- Красть информацию обо всех входящих и исходящих звонках.
- Передавать списки запущенных на смартфоне процессов.
- Отправлять SMS.
- Блокировать входящие и исходящие звонки с указанного номера.

Хакеры любят Android

Эксперты уверенно называют Android самой атакуемой хакерами платформой.

«Около 97% обнаруженных нами мобильных угроз за все время их существования нацелены на платформу Android, и стремительный рост угроз для этой ОС продолжается, — рассказал Aif.ru Алексей Чиков, менеджер по развитию мобильных продуктов «Лаборатории Касперского». — Этому способствует целый ряд факторов. Во-первых, рост количества гаджетов на платформе Android у разных производителей. Они представлены абсолютно во всех ценовых категориях — от самых бюджетных до премиальных. Во-вторых, среди частных пользователей интенсивно растет количество тех, кто пользуется онлайн-банкингом с мобильных устройств. Их киберпреступники тоже очень любят атаковать. В-третьих, развивается концепция BYOD (Bring your own device). Все больше корпоративных пользователей в России применяют личные мобильные устройства для использования в рабочих целях, соответственно, эта область сейчас сильно интересует киберпреступников. Таким способом они могут получить доступ к ценным корпоративным данным. Соответственно, киберпреступники разрабатывают и выпускают в мир все новые и новые образцы зловредов.

Кроме того, платформа Android является открытой операционной системой с большими возможностями для разработчиков. Это, с одной стороны хорошо: «больше приложений хороших и разных», но, с другой стороны, такая открытость ОС облегчает жизнь и киберпреступникам». Как защитить свой смартфон от вирусов?

Роман Унучек, антивирусный эксперт «Лаборатории Касперского»:

• Не включать «режим разработчика».
• Не включать галочку «установка приложений из сторонних источников».
• Устанавливать приложения только из официальных каналов (e.g. Google play, Amazon store etc.).
• Внимательно следить за теми правами, которые приложения запрашивают при установке. • Использовать защитное ПО.