Клиенты Сбербанка и Альфа-банка поймали вирус

По данным Group-IB, обнаружившей эту проблему, аналогичной атаке подверглись и пользователи Альфа-банка. Среди клиентов Сбербанка зловредный софт скачали до 250 человек, Альфа-банка – до 20 человек, говорит гендиректор Group-IB Илья Сачков. По словам руководителя дирекции мониторинга электронного бизнеса Альфа-банка Алексея Голенищева, на момент обнаружения вредоносного приложения клиенты скачали его всего пять раз, причем мошеннических операций не было. После обращения Альфа-банка приложение было удалено. Представитель Сбербанка данные Group-IB не комментирует. Он знает лишь, что приложение удалено.

Сбербанк сообщил о вирусной атаке на пользователей своих мобильных приложений «Сбербанк-бизнес ОнЛ@йн» и «Сбербанк ОнЛ@йн». Атака шла через вредоносное приложение. По данным банка, внешним проявлением работы вирусного ПО было появление нового окна c требованием ввести номер мобильного телефона перед входом в систему. На самом деле Сбербанк никогда не запрашивает ни номер телефона, ни пароли, ни другую дополнительную информацию, говорится в его сообщении. Всем, кто установил вредоносное ПО, банк предлагает срочно его удалить и запросить выписку со счета. Если это не удается, то банк рекомендует хотя бы выключить телефон, на который поступают разовые sms-пароли для подтверждения операций.

Предположительно речь идет о банковском трояне Carberp, который, попадая на компьютер пользователя, выявляет, какую систему интернет-банкинга тот использует, рассказывает Сачков. Помимо хищения данных доступа к личному кабинету троян запрашивает еще и номер мобильного телефона. Как только клиент банка вводит этот номер, ему приходит sms-сообщение с рекомендацией скачать в Google Play определенное приложение для «безопасного получения смс от банка». Если человек следует этому совету, то злоумышленник получает возможность перехватить пароли, которые банк присылает на телефон. Так мошенники обходят двухступенчатую систему защиты, которую используют онлайн-банки при проведении платежей, резюмирует Сачков.

Вредоносное приложение в Google Play распространялось от имени разработчика Samsonov Sergey, пишет в своем блоге эксперт «Лаборатории Касперского» Денис Масленников. Кроме поддельного приложения Сбербанка, этот разработчик загрузил в Google Play еще два аналогичных – AlfaSafe и VkSafe. Несмотря на все усилия Google, ее магазин приложений Google Play по-прежнему страдает от регулярно появляющихся там вредоносных программ, сообщает Масленников, отмечая, что это не первая атака такого рода. Широкое распространение банковских вирусов в России связано прежде всего с ростом популярности онлайн-банкинга, считает он.

Вредоносное приложение было загружено в Google Play 28 ноября, а обнаружено 11 декабря, говорит Сачков. Group-IB пожаловалась в Google, но так и не получила ответ, сетует он. Странно, что компания не реагирует на жалобы, касающиеся распространения вредоносного ПО – деяния, уголовно наказуемого в России, удивляется он.

Представитель Google не стал комментировать ситуацию по существу, переадресовав корреспондента «Ведомостей» к справочной статье о том, как безопасно работать с приложениями Android. В этом документе утверждается, что Google регулярно проверяет Google Play на предмет вредоносного ПО и удаляет те приложения, которые содержат вредоносный код. Сачков считает, что Google не так оперативно проверяет приложения в своем магазине, как, например, Apple в AppStore. Процесс подачи жалобы и реагирования един для всех приложений, говорит представитель Google.