Клиенты Сбербанка и Альфа-банка подверглись масштабной вирусной атаке

Сбербанк сообщил о вирусной атаке на пользователей своих мобильных приложений «Сбербанк-бизнес ОнЛ@йн» и «Сбербанк ОнЛ@йн». Атака шла через вредоносное приложение. По данным банка, внешним проявлением работы вирусного ПО было появление нового окна c требованием ввести номер мобильного телефона перед входом в систему. Сбербанк же никогда не запрашивает номер телефона и другую дополнительную информацию (например, пароли), говорится в сообщении банка. Всем установившим вредоносное ПО банк предлагает срочно его удалить и запросить выписку со счета. Если это сделать не удается, то банк рекомендует хотя бы выключить телефон, на который поступают разовые sms-пароли для подтверждения операций.

По данным Group-IB, обнаружившей эту проблему, аналогичной атаке подверглись и пользователи Альфа-банка. Среди клиентов Сбербанка зловредный софт скачали до 250 человек, Альфа-банка – до 20 человек, говорит гендиректор Group-IB Илья Сачков. По словам руководителя дирекции мониторинга электронного бизнеса Альфа-банка Алексея Голенищева, на момент обнаружения вредоносного приложения было произведено всего пять скачиваний, причем мошеннических операций проведено не было. А после обращения Альфа-банка приложение было удалено. Представитель Сбербанка данные Group-IB не комментирует. Он говорит лишь, что знает, что приложение удалено.

Предположительно речь идет о банковском трояне Carberp, который, попадая на компьютер пользователя, выявляет, какую систему интернет-банкинга он использует, рассказывает Сачков. Помимо хищения данных доступа к личному кабинету троян запрашивает еще и номер мобильного телефона. Как только клиент банка вводит свой номер, ему приходит sms-сообщение с рекомендацией скачать в Google Play определенное приложение для «безопасного получения sms от банка». Если человек устанавливает его, то злоумышленник получает возможность перехвата паролей, которые банк присылает на телефон. Таким образом, мошенники обходят двухступенчатую систему защиты, которую используют онлайн-банки при проведении платежей, резюмирует Сачков.

Вредоносное приложение в Google Play распространялось от имени разработчика Samsonov Sergey, пишет в своем блоге эксперт «Лаборатории Касперского» Денис Масленников. Кроме поддельного приложения Сбербанка этот разработчик загрузил в Google Play еще два приложения с тем же функционалом: AlfaSafe и VkSafe. Несмотря на все прилагаемые компанией Google усилия, их магазин приложений Google Play по-прежнему страдает от регулярно появляющихся там вредоносных программ, сообщает Масленников, отмечая, что это не первая атака такого рода. Широкое распространение банковских вирусов в России связано прежде всего с ростом популярности онлайн-банкинга, считает он.

Вредоносное приложение было загружено в Google Play 28 ноября, а обнаружено 11 декабря, говорит Сачков. Group-IB пожаловалась в Google, но так и не получила ответа, сетует он. Странно, что компания не реагирует на жалобы, касающиеся распространения вредоносного ПО – деяния, уголовно наказуемого в России, удивляется он.

Представитель Google не стал комментировать ситуацию по существу, переадресовав корреспондента «Ведомостей» к справочной статье о том, как безопасно работать с приложениями Android. В этом документе утверждается, что Google регулярно проверяет Google Play на предмет вредоносного ПО и удаляет те приложения, которые содержат вредоносный код. Сачков считает, что Google не так оперативно проверяет приложения в своем магазине, как, например, Apple в AppStore. Процесс подачи жалобы и реагирования един для всех приложений, говорит представитель Google.