Потери банковских клиентов от нового трояна, ворующего данные с карт, составят $40 млн в случае его распространения в Австралии, Новой Зеландии и Турции (целевой ориентир хакеров). Если банковский троян дойдет до России, убытки граждан достигнут $5 млн. Это следует из расчетов, которые специально для "Известий" подготовила компания Zecurion. По словам руководителя Zecurion Analytics Владимира Ульянова, распространение нового банковского трояна возможно после его появления на черном рынке, где успешно продаются вредоносные программы, ворующие данные с карт банковских клиентов.
О новом банковском трояне - Spy.Agent.SI - стало известно на днях из заявления компании ESET. Специалисты компании предупредили, что программа способна успешно обходить двухфакторную аутентификацию и похищать учетные данные пользователей мобильных банковских приложений. Используя украденную информацию, нарушители могут получить удаленный доступ к личному кабинету жертвы (на сайте банка) и вывести все средства со счета. Параллельно троян перехватывает SMS с одноразовыми паролями, отправляемыми банками для подтверждения трансакций.
"Троян распространяется под видом мобильного приложения Flash Player, - следует из сообщения ESET. - После загрузки и установки вредоносная программа запрашивает доступ к функциям администратора устройства с целью защиты от удаления со смартфона или планшета. Далее троян проверяет гаджет на наличие банковских приложений. Если таковые имеются, троян загружает с сервера злоумышленников фальшивые страницы авторизации для каждой программы. При запуске какого-либо банковского приложения на дисплее устройства отображается подложный экран логина и пароля, блокирующий настоящую страницу авторизации до ввода учетных данных. Spy.Agent.SI быстро развивается, и обнаружить каждую новую модификацию становится всё сложнее. В настоящее время целевыми для разработчиков вируса являются банки Австралии, Новой Зеландии и Турции".
По словам Владимира Ульянова, успешные вредоносные программы хорошо продаются на черном рынке и могут быть быстро адаптированы под конкретных заказчиков. Значит, в списке уязвимых скоро могут оказаться и российские банки, считает эксперт. Так было, например, с вирусом Tyupkin, который пришел в марте 2015 года в Россию из США.
- Если троян появится в продаже на черном рынке ПО, весьма вероятно его появление и в России. При благоприятном для распространителей вредоноса раскладе убытки клиентов российских банков составят до $5 млн (учитывая уровень распространения мобильного банка в стране), - отмечает собеседник.
Директор департамента IT Модульбанка Илья Титов уверен, что троян Spy.Agent.SI скоро появится в России. По мнению собеседника, "это вопрос 1–2 месяцев".
- Мы фиксируем появление новых версий вредоносных программ почти каждый месяц, - говорит руководитель отдела расследований и сервиса киберразведки Group-IB Дмитрий Волков. - Они активно продаются на хакерских форумах. Пользователи сами скачивают и устанавливают такие трояны. В основном атакующие рассылают SMS от имени соцсетей или известных порталов с ссылками на загрузку таких вредоносных программ, но иногда они покупают рекламное место в поисковых системах. Конечно, такая вредоносная реклама тоже ведет на мошеннический сайт, где посетителям предлагают скачать троян.
По словам специалиста департамента аудита защищенности Digital Security Сергея Белова, трюк с Flash Player очень подкупает пользователей.
- Множество владельцев телефонов на базе Android хотели бы нормально воспроизводить флэш-игры и ролики на сайтах, но это невозможно по ряду технических ограничений, особенно на старых моделях устройств, - пояснил собеседник. - Поэтому не стоит пытаться скачивать и устанавливать на свой телефон подобные решения, используемые для маскировки вируса. Максимум, можно скачать специальные браузеры только из официального магазина Google Play, позволяющие воспроизводить флэш-ролики при помощи их удаленного рендеринга на серверах разработчиков (но все равно будут задержки, в том числе со звуком) или просто оставить эту идею и пользоваться флэш-ресурсами только с PC. Хорошо, что общая тенденция в мире технологий идет к сокращению флэш-технологий и переходу на HTML5, который уже частично работает на мобильных устройствах, в том числе, основанных на Android.
Белов также отмечает, что банки начинают встраивать антивирусы в свои мобильные приложения.
- Это может частично помочь с проблемой, но полностью защитить своих клиентов, если человек сам того захочет и будет игнорировать все предупреждения от банка, невозможно, - указал эксперт.
Ведущий эксперт по информационной безопасности InfoWatch Мария Воронова отмечает, что самый верный способ защиты на стороне клиентов - не допускать заражения своих устройств, то есть соблюдать "гигиенические" или базовые меры защиты: не заходить по непонятным ссылкам, не скачивать и не запускать приложения из непроверенных источников.
- Антивирус также крайне желателен, - говорит собеседница. - Важно понимать, что если устройство заражено, если на стороне банка дополнительных средств защиты не внедрено, велика вероятность кражи денег со счета. Также может спасти разделение устройств: на одном пусть используется мобильный банк, а на второй телефон пусть приходит SMS. Это неудобно и мало кем применяется, но повышает безопасность - речь идет о том, что даже если телефон заражен и происходит попытка проведения мошеннической операции, то SMS с одноразовым кодом придет на второй, не зараженный, телефон. Ну а на стороне банков наиболее эффективная мера защиты - это "антифрод" мобильных платежей, то есть автоматизированная проверка потока платежей и выявление по определенным правилам подозрительных трансакций, с последующим их подтверждением.