«99,9% мобильных финансовых угроз ориентированы именно на Android»



alttext

Кибермошенничество

Специалист «Лаборатории Касперского» Виктор Чебышев — о новых вирусах для смартфонов, которые автоматически воруют деньги

Россия всегда входила в топ стран по доле пользователей, пострадавших от мобильных банковских троянцев, заявил в интервью «Известиям» ведущий исследователь мобильных угроз «Лаборатории Касперского» Виктор Чебышев. Первую серьёзную вредоносную программу такого типа компания обнаружила именно в нашей стране. Сейчас, по словам эксперта, россиянам может угрожать новый тип банковских вирусов, которые крадут деньги практически без участия человека — автоматически. Пока их мало, но в скором времени наверняка станет много.

— Можете обозначить уровень угрозы банковских мобильных вирусов для России?

— Его точно нельзя назвать низким. Именно в России мы, «Лаборатория Касперского», нашли первый серьезный банковский троянец (тип угроз, маскирующихся под легитимное программное обеспечение. — «Известия»). Это было в 2013 году. Хотя тот же Gustuff — первый автоматический вирус — был замечен не в России, и настроен он был не на российские банки.

В целом Россия всегда была в топе стран по доле пользователей, атакованных различными финансовыми угрозами. В наших ежеквартальных отчетах Россия редко опускалась ниже 10-й строчки и не раз попадала в топ-3. Так что финансовые угрозы для нашей страны — очень актуальная история.

— Правило, согласно которому русскоговорящие хакеры не работают по России, в случае с банковскими вирусами не работает?

— Я не могу ничего сказать насчет этого правила. Возможно, оно есть. И если так, то оно не мешает многим так называемым русскоговорящим разработчикам вредоносов распространять по России финансовые угрозы. Принадлежность к языковой группе мы предполагаем по коду троянцев — в нем встречаются русские слова и характерные ошибки в них.

— Почему они рискуют и не боятся попасться спецслужбам?

— Нельзя сказать, что они совсем не боятся. Но рискуют. Возможно, это связано с тем, что жертва в виде отдельно взятого человека может быть не так заметна для правоохранительных органов, как жертва в виде какой-нибудь большой компании. Именно поэтому злоумышленникам очень интересно атаковать мобильных пользователей.

Всё зависит от суммы ущерба. Если она незначительная, то уголовное дело не будут заводить. Чтобы сумма стала значительной, надо оформлять коллективный иск. Для этого надо собрать жертв. А сделать это непросто. Мобильные угрозы до сих пор активны и продолжают развиваться, потому что очень тяжело найти пострадавших и самих злоумышленников.

При этом одна группа может орудовать десять лет подряд и за это время украсть очень много денег. Сумму, возможно, сопоставимую с ущербом от атаки на большую компанию.

— Опишите механизм работы банковского вируса.

— Обычно это происходит так: троянец сидит на устройстве и ждет, пока жертва запустит банковское приложение. Как только это случилось, происходит перекрытие: поверх окна банковского приложения накладывается окно вредоносной программы, в котором загружается веб-страница. Она содержит логотип банка, приложение которого, как думает жертва, она открыла, и форму ввода логина. Жертва видит это и ничего не подозревает, потому что всё очень похоже на то, что человек увидел бы, откройся интерфейс реального банковского приложения. Дальше жертва вводит учетные данные, и в этот момент они попадают к мошенникам.

— И как данными распоряжаются киберпреступники?

— Получив учетные данные, злоумышленники выжидают какое-то время, а потом уже с другого устройства авторизуются в банковском сервисе от лица жертвы. В ответ на попытку входа с другого устройства банк, конечно, присылает на смартфон жертвы код подтверждения по SMS или через push-уведомление. Но это не спасает, поскольку троянец всё еще сидит в устройстве жертвы, перехватывает код и пересылает мошеннику. Дальше он получает доступ к банковскому счету жертвы и переводит деньги на сумму, не превышающую лимит, установленный банком.

— Есть ли какие-нибудь иные схемы?

— Описанная выше схема требует от злоумышленников глубоко вовлечения. Приходится ждать, пока жертва совершит необходимые действия. Потом нужно поддерживать актуальность веб-страниц, которые заменяют интерфейс банковских приложений. В некоторых случаях мошенники располагают заготовками для сотни разных кредитных организаций. Всё это требует ресурсов. А им, наоборот, хочется снизить уровень своего участия в работе троянца после заражения устройства: хочется, чтобы троянец всё делал сам. И такие вирусы уже есть. Но пока их немного: только пара зловредов обладают таким функционалом.

— У них такой же принцип работы — с подлогом интерфейса?

— У них нет функции перекрытия. Разработчики таких троянцев досконально изучают структуру целевого банковского приложения. Хакеры выясняют, что в приложении есть кнопка «Войти», и в какой области экрана она отображается. Они знают, что после нажатия на «Войти» появляются поля для ввода логина и пароля. А дальше — есть кнопка перевода денег. На основе этой информации мошенники создают троянца, который в злонамеренных целях использует документированные возможности Android, так называемые специальные возможности, позволяющие ему автоматически прокликивать в банковском приложении кнопки.

Причем совсем не факт, что пользователь увидит самостоятельное выполнение приложением каких-то функций. Учитывайте, что это всё-таки программное выполнение. Пока жертва будет кликать что-то одно, троянец уже сто тысяч раз успеет нажать и перевести. Даже SMS-код для подтверждения он может получить и вбить в нужное поле самостоятельно, а потом удалить сообщение. Так жертва далеко не сразу поймет, что произошло.

— А как хакеры получают информацию о кнопках из банковских приложений?

— Киберпреступники скачивают приложение и проводят нетривиальную процедуру — «реверс инжиниринг». Представьте, что приложение — это собранный конструктор. В рамках «реверс инжиниринга» программисты по деталям разбирают этот конструктор в обратном сборке порядке и тем самым понимают, как работает приложение.

— Вирус вообще всё делает за хакеров?

— Почти. Автоматический троянец без участия человека не может только одного — авторизоваться в банковском приложении. Чтобы обойти это ограничение, мошенники прибегают к разным приемам социальной инженерии. Например, отправляют ложное push-уведомление с текстом вроде «Зайдите в приложение банка, чтобы принять срочное решение по кредиту». Жертва запускает приложение, вводит пароль, прикладывает палец к Touch ID или авторизуется через Face ID, а дальше начинает работать троянец.

— Почему до сих пор таких угроз была обнаружена только, как вы сказали, парочка?

— Я бы даже уточнил, что в дикой природе был пойман только один такой вирус — Gustuff. Его нашла другая российская компания еще в 2019 году. За всё время этот троянец обрел некоторую популярность, но не сказать что большую. Сложность в работе с подобными вредоносами заключается в том, что нужно хорошо деконструировать целевое банковское приложение, освоить функции «Спецвозможностей». Это ресурсоемкая задача, за которую мало кто берется.

— И вы считаете, что в скором времени именно таких мобильных вирусов станет много?

— Да. Во-первых, адаптация вируса к банковским приложениям мне не кажется очень сложной. До тех пор пока банки не станут активно с ними бороться. Во-вторых, именно среди банковских троянцев на Android популярна сервисная модель распространения. По ней вирус перестает быть эксклюзивом одного хакера, а продается в даркнете всем желающим. На рынок вирус попадает либо по решению самого разработчика, либо чаще всего вследствие утечки исходного кода.

Я думаю, что вирусы вроде Gustuff со временем станут очень востребованными на черном рынке. То, что от злоумышленников ничего не требуется — достаточно только заразить, — может быть очень привлекательно для мошенников. Особенно тех, которые не так сильно подкованы в техническом плане. Все киберпреступники в этом точно заинтересованы.

— Есть ли эффективный способ противодействия таким вирусам?

— Самый эффективный и наиболее вероятный — это обфускация, умышленное засорение программного кода, из которого состоит приложение. Обилие «мусора» в коде сильно усложнит мошенникам «реверс инжиниринг». Если банки начнут раз в неделю обфусцировать приложения, то это вообще сведет на нет возможность использования автоматических вирусов. Потому что хакеры банально станут не успевать разбирать приложения.

— Пользователи Android или iOS больше рискуют столкнуться с банковскими троянцами?

— Однозначно Android. 99,9% мобильных финансовых угроз ориентированы именно на Android. Во многом потому, что Android позволяет устанавливать приложения не только из официального магазина. А именно из сторонних источников — с вредоносных сайтов — пользователи обычно и скачивают вирусы.

Есть и другие причины. Приложения для Android, как правило, пишутся на Java — это самый популярный язык программирования, который изучают даже в школах. Таким образом вирус под Android может написать почти кто угодно. А программирование под iOS долгое время велось на Objective-С. Это сложный в освоении язык, который требует от разработчика высокой компетенции.

В конце концов Android занимает большую долю мирового рынка смартфонов. То есть у Android-вирусов априори больше выборка потенциальных жертв.

— Сброс настроек смартфона до заводских установок поможет избавиться от вируса?

— По идее — да. Но я бы не стал надеяться, что исчезнут вообще все следы. Специфика памяти гаджетов такова, что все предыдущие файлы удаляются, только если их перезаписать. Но сброс настроек этого не делает. К слову, именно поэтому я не рекомендую продавать свои старые смартфоны. При должной сноровке из них можно вытащить интересную информацию даже после отката до заводских установок.

— Банковские троянцы — это самая актуальная мобильная угроза для массового пользователя?

— Я бы еще отметил сомнительные рекламные модули, которые встраиваются в приложения. Последнее время мы замечаем, что они собирают много личной информации и отправляют ее на непонятные серверы. По идее, они могут и закачивать на устройства вредоносные файлы. В таком случае едва ли спасет даже модерация Google Play или App Store. Потому что сегодня модуль работает с правильными серверами, а завтра — с неправильными.

Роман Кильдюшкин, Известия