Мошенники ограбили пользователей интернет-банкинга

Владельцы пластиковых карт, пользующиеся системами интернет-банкинга, стали жертвами масштабной вирусной атаки. Вредоносная программа распространялась через мобильное приложение для устройств на базе Android. Эксперты объяснили вредоносную атаку уязвимостью интернет-магазина Google Play и повысившейся в преддверии праздников активностью интернет-мошенников.

Система интернет-банкинга в очередной раз подверглась атаке мошенников. На сей раз жертвами крупной вирусной акции стали пользователи системы, которые использовали на своих смартфонах соответствующие мобильные приложения.

В среду, 12 декабря, стало известно, что в интернет-магазине Google Play появилось вредоносное мобильное приложение, которое позволяло злоумышленникам перехватывать одноразовые пользовательские пароли. Ввод таких паролей в систему интернет-банкинга сопутствует стандартной процедуре оплаты какой-либо покупки или перевода денежных средств онлайн. Поэтому, естественно, жертвы злоумышленников, скачавшие вредоносное приложение, ничего не подозревали. Мобильное приложение «Сбербанк-СМС» находилось в магазине Google Play в открытом доступе более суток, и только в четверг исчезло из магазина.

Угрозу обнаружили специалисты по безопасности компании Group-IB. После этого эксперты из компаний Group-IB, «Лаборатория Касперского» и «Доктор Веб» составили письменное обращение в российское и американское представительство компании Google, где сообщили об инциденте. Официального ответа от Google до настоящего момента не последовало.

Специалисты по интернет-безопасности выяснили, что вирусное мобильное приложение использует многоэтапную атаку, жертвами которой становятся как компьютер пользователя, так и его смартфон. На оба устройства при скачивании зараженного файла попадают две вредоносные программы, которые действуют сообща. Программа, предназначенная для компьютеров (вирус Carberp), попадала на устройства жертв с зараженного сайта или по ссылке в электронной почте. Затем, стоило пользователю воспользоваться системой интернет-банкинга, на дисплее компьютера всплывало окно с требованием ввести номер мобильного телефона. Объяснялось это стремлением обеспечить дополнительную безопасность. После того как пользователь вводил свой номер, ему приходило SMS со ссылкой на страницу приложения в Google Play. По этой ссылке и скачивалось вредоносное приложение. А уже после того как зараженная программа попадала на смартфон или планшет, она начинала перехватывать одноразовые пароли, которые всегда приходят от банка для проведения транзакций.

Почти одновременно с приложением «Сбербанк-СМС» в Google Play появилось еще одно приложение со схожим названием – «Альфа СМС». Специалисты по компьютерной безопасности предполагают, что оно также было создано в мошеннических целях – для атаки на пользователей интернет-банкинга от «Альфа-Банка». Сейчас подозрительный сервис также удален из интернет-магазина Google.

По сообщению департамента безопасности «Сбербанка», масштабную вирусную атаку организовала хакерская группа. Начиная с 11 декабря 2012 года ОАО «Сбербанк России» совместно с компанией GROUP-IB, антивирусными компаниями ЗАО «Лаборатория Касперского» и ЗАО «Доктор Веб» при содействии международных центров по реагированию на компьютерные инциденты CERT обращались в компанию Google для удаления вредоносного приложения. Однако скорость реакции компании Google на данные запросы нас действительно не удовлетворяет в условиях, когда речь идет о финансовых рисках наших клиентов, особенно в предпраздничный период».

Иначе говоря, вредоносное приложение сейчас недоступно для скачивания, но работы по его полному удалению из Google Play еще продолжаются. Именно этой «медлительностью» американской компании недовольны представители российских банковского и интернет-сегментов. Известно также, что зараженное мобильное приложение «Сбербанк-СМС» успели скачать несколько сотен человек. Как отметил генеральный директор компании Group-IB Илья Сачков, «приложение было загружено в Google Play 28 ноября. За это время среди клиентов «Сбербанка» зловредный софт успели скачать до 250 человек, «Альфа-Банка» – до 20 человек». При этом информации об общем объеме материального ущерба пользователей интернет-банкинга пока нет.

Эксперт компании «Лаборатория Касперского» Денис Масленников рассказал, что вредоносное мобильное приложение распространял в Google Play «разработчик» по имени Samsonov Sergey. «Этот же разработчик загрузил в Google Play еще два приложения: AlfaSafe и VkSafe. Эти приложения обладают точно таким же функционалом – кражей определенных SMS-сообщений». «Несмотря на все усилия компании Google, ее магазин приложений по-прежнему страдает от регулярно появляющихся там вредоносных программ, – продолжает Денис Масленников. – К тому же, нет ничего удивительного в том, что атаки, подобные недавней, добрались до России. Ведь чем активнее развиваются сервисы интернет-банкинга, тем активнее действуют злоумышленники. И маловероятно, что они остановятся в ближайшем будущем».

«В связи с участившимися случаями мошеннических и хакерских атак всем интернет-пользователям и владельцам смартфонов и планшетов следует проявлять повышенную бдительность, – советует системный администратор Сергей Прохоренко. – Уже известно, что у компьютерных мошенников две «хлебные» поры – сезон летних отпусков и новогодние праздники. Если пользователь не уверен в степени своей компетенции, то не стоит самостоятельно скачивать и устанавливать на свой компьютер или портативное устройство никакое программное обеспечение. Часто именно за «невинными» развлекательными программами и приложениями или, наоборот, за сервисами, которые максимально востребованы в повседневной жизни, скрываются зловреды. Всегда следует внимательно читать, куда ведут ссылки, пришедшие по почте или по SMS, и лишний раз не кликать по ним. Это тот самый случай, когда обычным пользователям лучше вести себя максимально осторожно и контролировать каждый свой шаг в Интернете».