Российские банки обнаружили новый вирус для хищения денег

Он может выводить средства со смартфонов на Android без дополнительных уведомлений

В 2019 году хакеры начали использовать новые вирусы для Android, которые могут сами заходить в мобильное приложение жертвы и выводить деньги. С ними столкнулись клиенты минимум двух российских банков, но пока случаи единичны

Фото: Сергей Коньков / ТАСС

Российские банки начали сталкиваться с новым видом мошенничества — трояном, который способен автоматически переводить средства через банковские мобильные приложения для операционной системы Android (так называемый автозалив). Механизм работы вируса в своем ежегодном докладе Hi-Tech Crime Trends 2019 (есть у РБК) описала компания Group-IB, которая специализируется на вопросах кибербезопасности.

РБК опросил крупнейшие банки, и два из них сообщили, что имели дело с таким вирусом, хотя масштабы его применения пока крайне малы.

Как работает вирус

Раньше вирусы для Android умели только демонстрировать на зараженном устройстве поддельные окна для ввода данных карты и перехватывать СМС-сообщения с кодом подтверждения транзакции, говорится в докладе. Новый вид зловредных программ появился в 2019 году: теперь они могут автоматически переводить деньги со счета жертвы через банковское мобильное приложение, установленное на смартфоне, на счет злоумышленника.

«Функциональные возможности новых троянов под Android практически приблизились к троянам-банкерам (вид вируса, который крадет данные учетных записей электронных банковских систем, систем электронных платежей, пластиковых карт пользователей этих услуг и отправляет злоумышленнику. — РБК). Они рассчитаны на массовое заражение и максимальную капитализацию бизнеса своих операторов», — сказал РБК представитель Group-IB.

Впервые эксперты Group-IB зафиксировали новый вид атаки весной 2019 года, когда до функции автозалива был модифицирован новый мобильный Android-троян Gustuff, созданный в декабре 2018 года русскоязычным хакером. Однако этот тип вируса угрожал только 100 иностранным банкам, в том числе в США, Польше, Австралии, Германии и Индии.

Как может заразиться смартфон

Мошенники маскируют вирусы под приложения (игры, браузеры) или файлы (книги и т.п.), затем распространяют их в виде ссылки на сайтах для взрослых, сайтах со взломанными приложениями и пиратскими фильмами, торрент-трекерах, по электронной почте и СМС. Чтобы заразить смартфон, троян надо скачать и установить. После этого он начинает выполнять свои функции без ведома пользователя.

Кто столкнулся с трояном

В 2019 году с новым видом троянов столкнулись клиенты минимум двух российских банков — Почта Банка и МКБ, рассказали РБК их представители.

«В настоящее время наблюдается увеличение доли хищений с использованием такого рода троянов. Однако такие случаи единичны и в общей доле фрода (мошенничество с использованием информационных технологий. — РБК) незначительны», — отметил директор департамента электронного бизнеса МКБ Алексей Курзяков.

В Почта Банке также фиксируют единичные случаи подобных атак, но банку удалось их предотвратить.

В ВТБ, Росбанке и Райффайзенбанке подобных атак не фиксировали (в ВТБ подчеркнули, что банк не видит, находится ли подобный вирус на устройстве клиентов, поэтому опираются на их жалобы, которых не поступало). Остальные крупные кредитные организации на запрос РБК не ответили.

Почта Банк и МКБ, клиенты которых были атакованы новым вирусом, могут отслеживать заражение смартфонов и при необходимости предупреждать клиентов, рассказали РБК в банках. «Для выявления несанкционированных операций, которые проводятся с помощью зловредного ПО, установленного на смартфоне, помимо транзакционной аналитики мы также используем специальные средства, которые позволяют нам выявлять факты установки троянов на устройства клиентов. Сопоставление нехарактерной для клиента активности с уровнем риска заражения его устройства позволяет эффективно противодействовать такого рода фроду», — объяснил вице-президент, директор по безопасности Почта Банка Станислав Павлунин.

Появление нового вида троянов в текущем году подтверждают и в антивирусной компании «Лаборатория Касперского». Однако случаи, когда он управлял банковским приложением, заставляя его провести платеж, единичны, утверждает антивирусный эксперт «Лаборатории Касперского» Виктор Чебышев.

Всего за год (с июля 2018 по июнь 2019 года) с помощью троянов для Android хакеры смогли украсть 110 млн руб., говорится в отчете Group-IB. По сравнению с аналогичным периодом годом ранее этот показатель упал на 43%. Сократилось и число группировок, которые используют эти вирусы в России, — с восьми до пяти. Перестали действовать трояны с наибольшим числом мошеннических транзакций. В среднем в день происходит около 40 успешных атак, а сумма одного хищения составляет 11 тыс. руб., посчитали в Group-IB.

Активность троянов в России снизилась после задержания владельцев крупнейших Android-бот-сетей, в результате чего хакеры переключились на международный рынок, сообщил представитель Group-IB: «Однако некоторые злоумышленники патчат (модифицируют. — РБК) приложения и продают трояны для последующих атак на пользователей в России. Это редкая практика».