Нами были обнаружены банковские троянские программы, которые нацелены на малайзийских пользователей. Злоумышленники распространяют их под видом мобильных приложений-магазинов. При этом в отличие от многих других эти банкеры не только имеют значки и названия магазинов, но и имитируют полноценную работу таких программ, чтобы выглядеть более правдоподобно и не вызывать лишних подозрений. Данные трояны похищают логины и пароли доступа от учетных записей систем дистанционного банковского обслуживания, а также перехватывают СМС с одноразовыми кодами подтверждения банковских операций. Кроме того, они похищают персональную информацию жертв, включая дату рождения, номер мобильного телефона и номер индивидуальной карты, удостоверяющей личность.
Киберпреступники прибегают к различным способам маскировки вредоносных Android-программ, и, в частности, банковских троянов. Один из них ― создание поддельных или модификация настоящих банковских приложений, которые затем распространяются под видом оригиналов. В том числе ― через сторонние сайты. Однако владельцы мобильных устройств регулярно слышат предупреждения специалистов о том, что скачивать мобильный банк следует только из официальных каталогов ПО или напрямую с сайта кредитной организации. Кроме того, становясь более опытными пользователями, они чаще обращают внимание на признаки, которые могут выдать подделку (непривычный интерфейс, грамматические или графические ошибки в оформлении программы, отсутствие тех или иных функций и т. д.). Поэтому по мере роста грамотности владельцев Android-устройств в вопросе информационной безопасности подобные методы могут терять эффективность.
Другой способ ― «спрятать» банковского трояна там, где потенциальные жертвы атаки будут меньше всего ждать подвох. Например, в программах, не имеющих отношения к банкам, но так или иначе представляющих интерес для пользователей. Это могут быть самые разнообразные приложения: для общения в социальных сетях, работы с документами, доступа к онлайн-кинотеатрам и многие другие. Именно такой подход выбрали создатели вредоносных программ Android.Banker.5097 и Android.Banker.5098, которые обнаружили наши вирусные аналитики.
Эти банковские трояны распространяются под видом мобильных приложений-магазинов под названиями Olivia Beauty, 44 Speed Mart, Eco Queen и Pinky Cat, каждое из которых посвящено отдельной категории товаров: продуктам питания, косметике, товарам для дома, детей и животных.
Злоумышленники делают ставку на то, что пользователи все больше привыкают к современным тенденциям в цифровой экономике и набирающей популярность концепции «Сервис ― Приложение». То есть к тому, что у многих компаний, онлайн-магазинов, а иногда даже сообществ в социальных сетях есть собственная мобильная программа. Из-за меньшей осведомленности о потенциальной опасности и недооценки рисков владельцы мобильных устройств склонны скачивать подобные приложения даже с неизвестных сайтов. А поскольку главная функция онлайн-магазина ― предоставить возможность покупать товары и услуги, потенциальные жертвы с большей долей вероятности раскроют такой программе данные банковской карты и другую конфиденциальную информацию. Этим и пользуются вирусописатели.
Android.Banker.5097 и Android.Banker.5098 нацелены на малайзийских пользователей. Они распространяются через вредоносные сайты с применением стандартных методов социальной инженерии. Так, посетившим их потенциальным жертвам предлагается скачать приложение того или иного магазина в каталоге Google Play или AppGallery. На самом деле загрузка APK-файлов происходит непосредственно с самих сайтов, и известные каталоги указаны лишь для ввода пользователей в заблуждение. Для установки скачиваемых троянских программ пользователям необходимо разрешить соответствующее действие в настройках своих мобильных устройств.
Эти трояны на первый взгляд действительно выглядят как настоящие приложения-магазины. В них представлен список товаров, которые пользователь может изучить, добавить в корзину и попытаться купить. Однако это лишь уловка, и какой-либо реальной функциональности в них на самом деле нет. При этом для большей привлекательности программы предлагают приобрести товары со скидкой от 49% до 95%.
При попытке купить добавленные в корзину товары потенциальной жертве предлагается указать персональные данные, якобы необходимые для доставки заказа. Информация включает имя клиента, адрес проживания, номер телефона, номер индивидуальной карты, удостоверяющей личность (Identification Card Number), а в некоторых модификациях ― дополнительно дату рождения. После того, как данные указаны, они передаются на удаленный сервер.
Затем трояны предлагают выбрать банк для оплаты. При выборе одного из них с управляющего сервера загружается фишинговая форма, созданная в стиле соответствующей кредитной организации. Она содержит поля для ввода логина и пароля от учетной записи системы дистанционного банковского обслуживания. На момент анализа сервер имел заготовленные формы для атаки на клиентов следующих кредитных организаций:
Maybank
HLB Connect
CIMB Group
Public Bank Berhad
Affin Bank
BSN (Bank Simpanan Nasional)
Bank Islam
AmBank
Alliance Bank
Тем не менее со временем он может быть изменен и пополнен новыми целями.
После того как пользователь «авторизуется» в системе банка через такую поддельную форму, он видит сообщение об ошибке, и на данном этапе процесс «покупки» завершается. На самом деле указываемые данные поступают злоумышленникам, после чего те могут от имени жертвы войти в похищенную учетную запись и получить доступ к управлению счетами.
Чтобы обойти двухфакторную систему аутентификации, а также чтобы жертва киберпреступников не заподозрила противоправные действия раньше времени, в этих банковских троянах предусмотрена возможность перехвата СМС-сообщений с одноразовыми кодами. При этом данная функциональность в Android.Banker.5097 и Android.Banker.5098 реализована различными методами. Например, в трояне Android.Banker.5097 используется специализированный фреймворк, основанный на JavaScript, в то время как в Android.Banker.5098 применяется плагин для фреймворка Flutter.
Таким образом, при помощи этих вредоносных приложений киберпреступники не только похищают данные, необходимые для доступа к банковским счетам, но и ценную персональную информацию, которая в дальнейшем может быть использована при совершении новых атак или продана на черном рынке.
