На клиентов Сбербанка охотится Android-вирус

Клиенты Сбербанка, использующие смартфоны и планшеты на операционной системе Android, оказались под угрозой кражи информации о банковских картах и денег со счетов. Об этом сообщает разработчик антивирусов – компания «Доктор Веб». Кражу совершает вирусная программа Android.BankBot.358.origin. Она существует с 2015 г., но ее последние версии нацелены непосредственно на российских клиентов Сбербанка. Заражены уже более 60 000 мобильных устройств, а общий потенциальный ущерб от трояна превышает 80 млн руб.: более 78 млн руб. может быть похищено с банковских счетов, еще 2,7 млн руб. – со счетов зараженных мобильных телефонов, подсчитали аналитики «Доктор Веб».

Вирус распространяется через sms, чаще всего жертвы получают сообщения от имени пользователей сервиса Avito.ru, обнаружили аналитики «Доктор Веб». Дальнейшая атака происходит так: жертве предлагают перейти по ссылке, чтобы увидеть ответ на объявление. Пользователь переходит на сайт злоумышленников, и оттуда скачивается установочный файл вредоносного приложения. Чтобы обмануть бдительность жертвы, троян использует значок настоящей программы Avito, другие модификации вируса маскируются под приложения для работы с Visa и Western Union.

После установки приложения троян может получить команду с сервера и заблокировать устройство сообщением, которое имитирует внешний вид приложения «Сбербанк Онлайн». В нем говорится о якобы поступившем переводе 10 000 руб., но для получения денег нужно указать полную информацию о банковской карте, включая секретный код CVV. Программа не дает закрыть окно без введения данных, поэтому пользователь вынужден подтвердить «зачисление средств». После этого мошенники могут снять все деньги со счета, используя данные банковской карты жертвы. Пока программа несовершенна – ее можно обмануть вводом произвольного набора цифр (номера карты, срока ее действия и т. д.), после она перестанет блокировать устройство, отмечают аналитики «Доктор Веб». Но в теории создатели вируса могут отдать команду на повторную блокировку после обнаружения обмана, предупреждают они.

Второй возможный сценарий атаки – с помощью услуги «Мобильный банк», если она подключена у пользователя, обнаружили в «Доктор Веб». Вредоносная программа незаметно отправляет на устройство sms с командами для выполнения операций в системе онлайн-банкинга – по сервисному номеру «900», который использует Сбербанк. Пользователь не видит этих сообщений, а троян проверяет текущий баланс карты пользователя и автоматически переводит средства либо на банковский счет злоумышленников, либо на счет их мобильного телефона. Именно из-за использования сервисного номера Сбербанка в «Доктор Веб» считают основными жертвами клиентов банка, поясняет представитель компании.

Сбербанк: деньги защищены

самом Сбербанке давно известно о существовании данного вируса и за его активностью внимательно следят, заверяет представитель банка. Он категорически не соглашается с тем, что вирус угрожает клиентам банка, а сообщение «Доктор Веб» называет «фейковой новостью» компании, ищущей рекламы, и уточняет, что банк оставляет за собой право доказать несостоятельность публикации антивирусной компании в суде. В Android-приложения Сбербанка встроен антивирус «Лаборатории Касперского», который защищает устройства от подобных атак, успокаивает она.

Но представитель «Доктор Веб» настаивает, что во время исследования были случаи, когда «Сбербанк Онлайн» никак не мешал трояну выводить деньги: атака происходила в обход мобильного приложения.

Сейчас не идет речи об атаке на «Сбербанк Онлайн»: заразиться могут любые пользователи телефонов Android и клиенты любых банков, рассказывает представитель «Лаборатории Касперского». Он уверяет, что клиенты Сбербанка защищены от этой угрозы благодаря встроенному в приложение антивирусу «Лаборатории» и вторит представителю Сбербанка, что информация об угрозе пользователям «Сбербанк Онлайн» не соответствует действительности.

С мошенническими sms-рассылками, подобными тем, которые описывают специалисты «Доктор Веб», сталкивались и в центре реагирования на киберинциденты компании Group IB, говорит руководитель центра Александр Калинин. Он рассказывает, что различные модификации AndroidBankBot и рассылки, которые он отправляет, наблюдают как минимум с лета прошлого года.

Рынок троянов для мобильных устройств на Android в последние годы самый динамичный и быстрорастущий, отмечает представитель Group IB. По оценкам компании, ущерб от вирусов под Android в России за 2017 г. вырос на 136% и на 30% превысил ущерб от банковских вымогателей, созданных для персональных компьютеров.

В отличие от iOS Android – открытая экосистема с незначительной цензурой, поэтому большинство вирусов пишутся именно под нее, объясняет представитель Group IB. Кроме того, почти 85% смартфонов в мире работают именно на Android, напоминает он. Все новые банковские трояны для Android умеют похищать деньги автоматически и собирают данные банковских карт вне зависимости от того, каким банком пользуется владелец телефона, предупреждает он. В последние годы мошенники переориентировались с атак на sms-банкинг (когда деньги переводили не через интернет-банк, а со счета на счет при помощи sms) на кражу данных банковских карт. Таким образом, им удалось повысить средний ущерб от одной атаки, резюмирует он.