03.08.2021

Обнаружен вирус, ворующий пароли

Голландские специалисты по информационной безопасности из компании ThreatFabric обнаружили новый вирус для Android-смартфонов – Vultur. По данным фирмы, он делает скриншоты экрана устройств, фиксирует данные о нажатиях и передает эту информацию злоумышленникам. С помощью Vultur операторы вредоносной программы могут красть практически любую конфиденциальную информацию со смартфона жертвы. Целевые данные – логины и пароли от банковских приложений и криптокошельков. Ценность жертвы оператор определяет, изучая список установленных приложений на устройстве, который вирус также считывает и пересылает. Эксперты пока не зарегистрировали распространения Vultur в России, но не исключают этого в будущем. Также специалисты отмечают, что этот вирус – предвестник эволюции мобильных троянцев, которые в будущем могут стать более автоматизированными.

Для работы Vultur необходимо пользовательское разрешение на удаленный доступ к смартфону. Оно запрашивается при первом запуске приложения-носителя. Собственно, перманентная активность режима удаленного доступа, которая визуально отмечается в меню быстрых настроек, может натолкнуть пользователя на мысль о заражении смартфона. Но даже в случае обнаружения вируса человеку не удастся просто от него избавиться, потому что он автоматически нажимает кнопку «назад» всякий раз, когда система просит подтвердить удаление приложения-носителя.

Директор технического департамента RTM Group Федор Музалевский считает, что для быстрого и гарантированного избавления от Vultur пользователю придется сбросить настройки смартфона до заводских установок.

Вирус распространяется через приложения в Google Play. Сейчас специалисты ThreatFabric обнаружили по меньшей мере два приложения-носителя, которые заразили от 5 тыс. до 8 тыс. пользователей. По словам исследователя мобильных угроз «Лаборатории Касперского» Виктора Чебышева, Vultur – хоть и не самый технологичный троянец, но весьма опасен, поскольку распространяется через Google Play.

– Подобная схема считается чрезвычайно эффективной, поскольку у площадки очень большая пользовательская база и доверие людей к Google Play максимально. Потенциальные жертвы, даже не раздумывая, устанавливают приложения из этого источника, доверяя свою безопасность Google, – говорит он.

Специалисты ThreatFabric отметили, что подавляющее большинство обнаруженных ими конфигураций зловредной программы нацелены на приложения банков Италии, Австралии, Испании, Нидерладнов и Великобритании. Однако российские эксперты говорят, что потенциальную угрозу Vultur представляет и для пользователей в нашей стране.

В «Лаборатории Касперского» сказали, что знают об этом вирусе с ноября 2020 года, но до сих пор не зарегистрировали ни одного случая заражения в РФ. Однако, по мнению Виктора Чебышева, прецеденты не исключены в будущем: хорошо развитый в стране мобильный банкинг может обратить внимание операторов Vultur на Россию. 

– Потенциал Vultur позволяет адаптировать его под новые потребности злоумышленников. Если учесть, что Россия – один из лидеров по числу держателей криптокошельков, то наша страна может стать лакомой целью для операторов нового вируса, – говорит руководитель направления аналитики угроз ESET Александр Пирожков.

Впрочем, некоторые эксперты считают, что, когда вирус дойдет до нашей страны, он уже перестанет быть актуальным.

– В перспективе заражение смартфонов отечественных пользователей возможно, но маловероятно. Скорее всего, разработчики исправят уязвимость раньше, чем оно докатится до России, – считает Федор Музалевский.

По его словам, сейчас важно следить за обновлениями банковских приложений и не откладывать их установку.

По мнению специалистов ThreatFabric, появление Vultur в очередной раз подтверждает тенденцию по переходу разработчиков банковских троянцев от классической методики с фишинговыми окнами к более технологичным.

– Метод кражи паролей к криптокошелькам через запись экрана является эффективным. Злоумышленники очень быстро получают доступ к похищенным данным. В результате пользователь даже не успевает понять, что стал жертвой трояна, – соглашается Александр Пирожков.

Как объяснил Виктор Чебышев, под классической методикой подразумевается подлог окон с интерфейсом банковских приложений. Обычно после проникновения на смартфон, троянец ждет, когда жертва запустит банковское приложение. В момент, когда это происходит, вирус вклинивается в событие и показывает пользователю фальшивое окно с интерфейсом банковского сервиса. Пользователь вводит данные, и они тут же уходят злоумышленнику. После хакеры сами авторизуются в приложении и переводят деньги, подтверждая операции с помощью SMS-кодов, которые троянец также перехватывает.

 – Чтобы успешно провести атаку по такой схеме, злоумышленникам нужно показать жертве качественно созданное фальшивое окно банка. И если они хотят, чтобы троянец одинаково эффективно атаковал большую выборку банков, им придется рисовать такие окна под каждый случай, что весьма трудозатратно. Подобная техника превалирует среди мобильных финансовых угроз, – говорит Виктор Чебышев.

По его мнению, следующее поколение вирусов – не предоставляющие удаленный доступ, а те, что после проникновения на смартфон самостоятельно взаимодействуют с банковскими приложениями и осуществляют переводы. По словам Виктора Чебышева, такие программы уже появляются. Они требуют больших ресурсов при разработке, поскольку киберпреступникам приходится разбираться, как работает каждое банковское приложение, но автоматизация оправдывает эти вложения.

В Российском профсоюзе моряков добавляют: не секрет, что в основном кража личных данных происходит из-за того, что люди не соблюдают простые правила безопасности. Чтобы не стать легкой целью для мошенников, нужно тщательно следить за своими действиями в интернете. В противном случае можно поставить под угрозу не только персональные данные, но и даже конфиденциальные сведения о работодателе.

Источник: Известия; фото: Известия/Алексей Майшев


↑ 

Наверх