Bombus-Ликбез - 2
Автор текста: Андрей Тестов
В эпоху виртуальных денег воры и грабители все реже взламывают наши квартиры и все чаще — банковские счета. Во всем мире бешеными темпами растет киберпреступность. Bombus продолжает серию расследований, посвященных всем видам кибермошенничества, и тому, как соблюдать нормы информационной гигиены и защититься от типичных хакерских атак.
Расследование второе
АНДРОИД-ТРОЯНЫ: Ваш смартфон выходит из-под контроля и крадет деньги у хозяина
Вирусы для мобильных устройств, работающих на ОС Android, — это программы, которые подселяются в смартфон жертвы и выводят деньги с ее банковского счета. Андроид-трояны угрожают в первую очередь клиентам таких онлайн-сервисов, как Avito, Юла, AliExpress, Pandao, Aviasales, Booking, Trivago, такси, каршеринговых служб, а также пользователям мобильных банковских приложений. Рассказываем, как смартфоны заражают вирусами, почему никогда не стоит открывать ссылки из СМС и чем может быть опасно приложение Avito.
Как это происходит
Вы решили продать на Авито старый рояль. Или хорошую еще икеевскую кровать. Или кухонный гарнитур, новые кроссовки, не подошедшие по размеру, телескопическую удочку, участок земли в Нижегородской области. Возможно, вы продали то, что собирались. А возможно, покупатель нашелся среди друзей, и объявление потеряло актуальность. Возможно, цена не по рынку, или вы дали роялю второй шанс. Словом, не важно, как и для чего вас занесло на торговую онлайн-площадку, но ваш номер телефона теперь там.
И однажды (это может произойти на следующий день после размещения объявления или через месяц, когда вы уже забыли о том, что собирались что-то продавать) на этот номер телефона приходит СМС от неизвестного абонента с таким примерно текстом: «Ваше объявление опубликовано на сайте…» — и ссылка. Или «На ваш счет поступила сумма 13 600 рублей (цена рояля), для уточнения деталей платежа перейдите по …» — и ссылка. Такое СМС может застать вас в самой неожиданной ситуации, может обрадовать или удивить. И та, и другая эмоция заставят вас сделать то, ради чего его вам отправлили, — перейти по ссылке.
Любой переход по любой ссылке — рискованный шаг. Даже если ее присылает старый друг в фейсбук-чате, а до этого ни друг, ни чат никаких подозрений не вызывали. Возможно, аккаунт друга взломали, а он об этом еще не знает. В случае же, когда ссылка вложена в СМС, полученное с неизвестного номера, будьте уверены: на том конце вас ждет троян — программа, которая поселится в вашем смартфоне и очень скоро захватит над ним власть.
Итак, вы оставили свой телефон на Авито и получили СМС о переводе денег. После того, как вы откроете вложенную ссылку, ничего страшного не произойдет — вас перебросит на вполне безобидную страницу, где будет написано, что покупка вашего товара успешно совершена. На самом деле это не так. Ваш рояль никто не покупал, денег вам не переводил, а страница, на которую вы попали, — ненастоящая.
Там, на этой странице, будет всего одна кнопка — «Продолжить». Скорее всего, вы нажмете эту кнопку, даже не подумав, что может произойти что-то не то. Но ее нажатие загрузит вам на смартфон APK-файл, замаскированный под приложение Авито: с безобидной иконкой в фирменном стиле магазина и таким же безобидным названием.
Потом установленное приложение покажет вам окно «безопасность системы» и запросит права Accessibility Service — службы специальных возможностей, разработанных для пользователей, возможности которых так или иначе ограничены, по зрению или слуху. На первый взгляд, ничего криминального.
Многие приложения запрашивают какие-то права, а время разбираться, что это за права и для чего они нужны, есть не у всех. После того, как вы разрешите только что скачанному приложению (а это троян) использовать Accessibility Service, вы передадите хакерам полный контроль над своим смартфоном — сразу после этого согласия они получат возможность нажимать кнопки за вас. Специалисты называют это работой в «режиме Бога». То есть теперь они могут незаметно установить на ваш телефон любое приложение, в любое время делать скриншоты с экрана, записывать телефонные разговоры, перехватывать и отправлять СМС. Могут даже тайно разблокировать ваше устройство, сохраняя экран отключенным.
Вы заходите в приложение своего банка, чтобы проверить баланс, но оно почему-то просит вас снова ввести все данные карты — номер, срок действия, CVV-код и имя держателя. Вы вводите, ведь это то самое приложение, которым вы пользуетесь не первый год. А потом с вашего счета начинают исчезать деньги. Вы пытаетесь что-то сделать, но телефон вам уже не подчиняется: сам нажимает на клавиши, не выключается и не дает активировать никакие средства защиты.
Что это было
Так работает FANTA — один из самых новых андроид-троянов, который появился осенью этого года. Его жертвами могут стать пользователи более тридцати онлайн-сервисов — всех самых известных магазинов, такси и каршеринговых служб. И если FANTA поселилась у вас в телефоне — вы влипли, потому что теперь вашим телефоном управляет вирус.
Как именно FANTA крадет деньги с вашего счета? Главное умение этого трояна — анализировать, какие приложения открываются на устройстве (FANTA может читать тексты уведомлений около 70 банковских приложений, систем быстрых платежей и электронных кошельков). В тот момент, когда вы заходите в мобильный банк, троян вешает поверх основного изображения фишинговое окно — фальшивую страницу, замаскированную под банковскую форму ввода данных.
И вам кажется, что данные у вас в этот момент просит не неизвестно кто, а ваш банк — дизайн хакеры обычно воспроизводят идеально. Вы заполняете форму и отправляете ее на хакерский сервер. Теперь они знают все данные вашей карты, умеют нажимать за вас клавиши и перехватывать СМС от банка. Дальше все происходит так: используя онлайн-сервис для перевода денег с карты на карту, хакеры переводят деньги с вашего счета на свой, троян перехватывает СМС-подтверждение от банка и мгновенно переправляет его им. Все. Легко и просто. Пора блокировать счет. И скорее всего — менять телефон.
Как они это делают
Года четыре назад в России фактически не осталось банков, которые не сделали бы для своих клиентов удобное мобильное приложение. Все, и молодые, и старые, окончательно перешли на смартфоны. Человечество вступило в новую эру, и этим не могли не воспользоваться хакеры. Всего за год количество хищений, совершенных с помощью мобильных троянов, увеличилось на 471%: в 2015-м общий ущерб от атак на пользователей банковских приложений составил 61 млн рублей, а в 2016-м — уже 350 миллионов.
Мобильные трояны пишутся в основном для ОС Android, потому что на ней работают около 85% всех смартфонов мира. Трояны для iOS тоже существуют, но главная цель любой хакерской группировки — быстрое обогащение, а его можно достичь, атакуя максимальное количество устройств. Кроме того, Андроид — это открытая экосистема с незначительной цензурой, и написать под нее вирус не составляет большого труда.
Чтобы создать хакерскую группировку, не обязательно хорошо разбираться в компьютерах и технологиях. Главное — понимать, как работает схема. Где-то с 2011 года путь в киберкриминал открыт любому преступнику, у которого есть стартовый капитал и четко сформулированная цель. Например — научиться красть деньги у клиентов банков, которые пользуются мобильным приложением. Троянскую программу фактически с любым функционалом можно купить в даркнете, ее аренда вместе с регулярным техническим обслуживанием обойдется примерно в 200 — 500 долларов в месяц.
После покупки программы нужно найти способ забросить ее на максимальное количество устройств. Там же, на форумах теневого интернета, регулярно появляются объявления такого типа: «Распространяю по России за такую-то сумму». Это значит, что у человека, разместившего объявление, есть некая инфраструктура — чаще всего несколько взломанных сайтов с большой посещаемостью. Получив заказ, такой человек загружает на взломанные сайты вредоносный код, который пытается проникнуть в компьютер каждого посетителя. Через одни и те же сайты по одной и той же схеме могут распространяться совершенно разные вирусы, в зависимости от того, кто заплатил владельцу инфраструктуры.
Люди, продающие доступ троянов на зараженные сайты, ведут дела по всем законам диджитал-экономики. Они собирают статистику и обеспечивают клиентам гарантированное заражение определенного количества устройств. Чем больше заражений — тем выше стоимость услуги.
Как их ловят
Одна из первых крупных хакерских группировок, занимавшаяся массовым распространением андроид-троянов, получила название CRON. Как и FANTA, троян CRON умел перехватывать СМС от банка и подкладывать пользователю фишинговые окна для ввода данных карты. В марте 2015 года CRON атаковал пользователей крупных российских банков из топ-50.
На устройства жертвы троян доставлялся двумя основными способами: через СМС-рассылку с текстом, заставляющим задуматься и занервничать, вроде «Ваши фотографии размещены здесь», и ссылкой, ведущей на вредоносный ресурс, или через фейковые приложения, замаскированные под легитимные. Троян маскировался под приложения Navitel, Framaroot или Pornhub. Попав на телефон жертвы, он мог автоматически переводить деньги с банковского счета пользователя на счета, подконтрольные злоумышленникам.
Для этого хакеры открыли более 6 тыс. счетов. После установки программа помещалась в автозагрузку устройства и сама могла отправлять SMS-сообщения на указанные преступниками телефонные номера, пересылать текст получаемых жертвой SMS-сообщений на удаленные сервера, а также скрывать поступающие по SMS уведомления от банка. Каждый день вредоносная программа пыталась похитить деньги у 50 — 60 клиентов разных банков. Средняя сумма, которую хакеры выводили с одного счета, около 8 тыс. рублей.
За год CRON успел заразить более миллиона устройств. К тому времени практически все банки запустили мобильные приложения. Мобильным банкингом, по данным ЦБ, пользовалось 20% взрослого населения России. Смартфон практически превратился в кошелёк, чем кибермошенники и пользовались.
В 2015 году появились десять новых групп, которые похищали деньги с помощью мобильных троянов, а количество инцидентов выросло втрое.
В апреле 2016 года троян CRONBOT — главное оружие группировки, был выставлен на продажу на одном из форумов в даркнете. В подробном описании сообщалось, что он умеет перехватывать СМС-сообщения и звонки, отправлять USSD-запросы (пример типичной USSD-команды — сообщение «*100#», после которого приходит автоматический ответ от мобильного оператора с балансом счета) и принудительно включать на зараженном устройстве wi-fi (чтобы не терять связи с удаленным сервером). Продавать троян хакеры были готовы только в одни руки, об этом в объявлении была специальная пометка.
Специалисты по информационной безопасности из компании Group-IB, усилиями которых участники CRON были вычислены и задержаны, считают, что эти объявления размещались для того, чтобы найти в группу еще одного специалиста. К тому моменту в состав CRON кроме организаторов, уже входили заливщики (открывали поддельные счета и переводили на них деньги со счетов жертв), крипторы ( «перепрошивали» троян, как только его начинали узнавать антивирусные программы), трафферы (специалисты по размещению трояна на скомпрометированных сайтах) и обнальщики.
К ноябрю 2016 года правоохранители с помощью киберкриминалистов Group-IB установили личности 20 членов группы CRON и собрали цифровые доказательства совершенных ими преступлений. 22 ноября 2016 года в результате масштабной операции в шести регионах России 16 участников группы CRON были задержаны.
Что делать, чтобы не стать жертвой андроид-трояна
Как и любая современная технология, андроид-трояны стремительно эволюционируют. В первую очередь, это выражается в том, что хакеры стремятся автоматизировать все процессы. В конце 2017 года авторы одного из андроид-троянов под названием Catelites Android Bot сообщили, что сделали универсальный веб-фейк (страницу, которая маскируется под легитимную, выманивает у пользователя данные карты и отправляет их на удаленный сервер) для 2249 приложений из Google Play.
Это значит, что сейчас, чтобы стать жертвой андроид-трояна, не обязательно устанавливать на телефоне приложение Pornhub или продавать рояль на Авито. Опасность поджидает вас буквально на каждом шагу. И если вы — владелец устройства на Android, вам стоит наизусть выучить несколько правил цифровой гигиены:
— устанавливайте приложения только из официального магазина Google Play и ниоткуда больше;
— обращайте внимание на расширение загружаемых файлов — с особенным подозрением стоит относиться к исполняемым архивным файлам с расширением APK (аndroid-аналог EXE-файлов). Именно в таком формате обычно рассылаются андроид-трояны;
— никогда не переходите по ссылкам, полученным в СМС-сообщениях, мессенджерах или чатах в соцсетях от незнакомых людей. У знакомых, впрочем, тоже лучше уточнять, что это за ссылка и стоит ли ее открывать. Как может выяснится, ваш знакомый вообще ничего вам не отправлял, а его аккаунт взломали;
— всегда устанавливайте обновления для отдельных программ, приложений и для всей системы;
— в случае подозрительной активности с вашим банковских счетом сразу обращайтесь в банк.
