Asacub перешел в атаку
АО "Лаборатория Касперского" зафиксировало масштабную кампанию по заражению мобильным банковским троянцем Asacub. По оценке экспертов, количество пользователей, которые сталкиваются с этим зловредом, достигает 40 тыс. в день. Причем 98% случаев заражения Asacub (225 тыс.) приходятся на Россию, также среди пострадавших стран числятся Украина, Турция, Германия, Белоруссия, Польша, Армения, Казахстан, США и др.
Этот мобильный банковский троянец распространяется посредством фишинговых SMS-сообщений с предложением посмотреть фото или MMS по ссылке. Перейдя на соответствующую веб-страницу, пользователь видит кнопку для скачивания, при нажатии на которую загружается файл вредоноса. Нередко фишинговые сообщения содержат обращение по имени, поскольку адресно рассылаются со смартфона предыдущей жертвы (в них используются имена, под которыми номера записаны в телефонной книге зараженного гаджета).
Asacub попадает на устройство только в том случае, если владелец смартфона разрешил в настройках установку из неизвестных источников. Как правило, троянец маскируется под приложения для работы с MMS или популярные сервисы бесплатных объявлений. При установке он запрашивает права администратора или разрешение на использование службы специальных возможностей.
Как только жертва предоставляет вредоносу все необходимое, тот назначает себя приложением для обработки SMS-сообщений по умолчанию и переходит к злонамеренным действиям. В первую очередь Asacub начинает взаимодействовать с командным сервером злоумышленников, в частности передает им информацию о модели смартфона, версии ОС, операторе сотовой связи и своей версии.
Троянец может красть деньги с привязанной к номеру телефона банковской карты, отправляя SMS-сообщения для перевода средств на другой счет по номеру карты или мобильного телефона. Некоторые его версии даже способны самостоятельно извлекать из входящих SMS-сообщений коды подтверждения операций и отправлять их на нужный номер. При этом пользователь не сможет проверить баланс через мобильный банк или поменять в нем какие-либо настройки, так как после получения специальной команды Asacub запрещает открытие на устройстве банковского приложения.
Антивирусный эксперт "Лаборатории Касперского" Татьяна Шишкова рассказала, что семейство Asacub эволюционировало, как полагают в компании, из троянца Smaps и впервые заявило о себе еще в 2015 г. "Сейчас оно продолжает приносить злоумышленникам финансовую прибыль - наблюдается резкий рост числа заражений. Это лишний раз подтверждает, что зловред может на протяжении длительного времени распространяться одним и тем же способом, при этом только прогрессируя. Ведь пользователи по-прежнему переходят по подозрительным ссылкам, устанавливают ПО из неизвестных источников и дают приложениям любые разрешения", - добавила Татьяна Шишкова.
Чтобы не стать жертвой злоумышленников, "Лаборатория Касперского" рекомендует придерживаться основных правил: скачивать приложения только из официальных магазинов, запретить в настройках смартфона установку приложений из сторонних источников, не переходить по подозрительным ссылкам от неизвестных отправителей, внимательно проверять, какие права запрашивает приложение при установке и в ходе работы, установить надежное защитное решение на свое мобильное устройство.
Антивирусный эксперт "Лаборатории Касперского" Виктор Чебышев рассказал, что во II квартале 2018 г. выросло как количество финансовых угроз, так и их активность. "Это глобальная ситуация, и Россия - в числе лидеров по количеству атакованных пользователей", - подчеркнул он. По мнению Виктора Чебышева, количество таких вирусов точно будет расти. "Мы наблюдаем эту ситуацию, и пока нет никаких предпосылок к снижению активности киберпреступников", - добавил он.
Как считает специалист компании "Доктор Веб" Александр Вураско, банковские троянцы, ориентированные на платформу Android, находятся сейчас на пике популярности. "Этой популярности способствует широкое распространение электронных платежей и возможность управлять операциями по банковскому счету с мобильного устройства. К сожалению, подобными удобствами пользуются в том числе злоумышленники. Платформа Android выбрана неслучайно: это самая популярная мобильная ОС, а значит, шансы найти потенциальных жертв среди пользователей Android-устройств достаточно высоки ввиду их многочисленности. В ближайшие годы не стоит ожидать существенного снижения активности подобных вредоносных программ", - добавил эксперт.
Как сообщил Александр Вураско, в августе специалистами компании "Доктор Веб" было выявлено несколько новых семейств мобильных банковских троянцев, причем загрузчики некоторых из них распространялись через официальный магазин приложений Google Play под видом легитимных приложений. "Пример: Android.Banker.2843 распространялся в августе под видом официального приложения одной из турецких кредитных организаций и предназначался для кражи логинов и паролей для доступа к банковской учетной записи пользователя", - рассказал Александр Вураско.
Александр Вураско также отметил, что помимо классических банковских троянцев на Android мигрируют и так называемые клиперы - например, Android.Clipper.1.origin, который отслеживает буфер обмена и подменяет копируемые в него номера электронных кошельков популярных платежных систем и криптовалют. Вредоносную программу "интересуют" номера кошельков Qiwi, Webmoney, "Яндекс.Деньги", Bitcoin, Monero, zCash, DOGE, DASH, Etherium, Blackcoin и Litecoin. Когда пользователь копирует один из них в буфер обмена, троянец перехватывает его и передает на управляющий сервер. В ответ Android.Clipper.1.origin получает информацию о номере кошелька злоумышленников, на который заменяет номер жертвы. "В результате владелец зараженного устройства рискует перевести деньги на счет вирусописателей", - добавил Александр Вураско.
Руководитель отдела технического сопровождения продуктов и сервисов Eset Russia Сергей Кузнецов считает, что популярность мобильных банковских троянов для рынка ИБ является нормальной. "Ничего нового и сверхъестественного. Мы фиксируем периодические всплески активности различных банковских троянов параллельно с запуском очередной фишинговой рассылки и/или рассылки спама", - уточнил Сергей Кузнецов.
По информации Сергея Кузнецова, в последние несколько лет активно развивается рынок кастомизируемых троянов, шифраторов, майнеров и подобного ПО. "Нет смысла тратить ресурсы на "изобретение велосипеда", когда можно купить или арендовать уже готовую вредоносную программу, дополнить ее нужными данными - своим текстом, кошельком, картинкой и т.д. - и запустить кампанию in the wild. Так что количество новых троянов, скорей всего, скоро расти перестанет. Это косвенно подтверждает и статистика AV-Test", - отметил он.
Технический директор Check Point Software Technologies Ltd. Никита Дуров отметил, что, согласно последним исследованиям Check Point, в августе текущего года в топ-3 активных мобильных угроз вошли сразу два трояна - Lokibot и Triada. Также в августе резко возросло число атак с использованием другого банковского трояна - Ramnit.
По информации Check Point Software Technologies, активность вредоносного ПО в последние месяцы увеличилась в два раза. Анализ киберугрозы показал, что причиной ее активности стала широкомасштабная кампания, в ходе которой устройства жертв становились вредоносными прокси-серверами. "В августе 2018 г. Ramnit подскочил до шестого места в рейтинге угроз Threat Index и стал самым распространенным банковским трояном в восходящем тренде банковских угроз", - добавил Никита Дуров.
По его словам, сейчас активность банковских троянов связана с низким уровнем киберобразованности в России. "Если компаниям с подобными угрозами помогают справиться ИБ-департаменты, то обычные пользователи часто даже не подозревают о киберрисках, которые их окружают ежедневно", - рассказал Никита Дуров. Он также добавил, что мобильные банковские трояны постоянно появляются в рейтингах самых активных мобильных киберугроз. "Полагаю, мы будем продолжать наблюдать их высокую активность и далее", - спрогнозировал он.
Глава департамента мобильных угроз и мобильной безопасности Avast Николаос Крисайдос считает, что киберпреступники персонализируют атаки и оптимизируют механизмы для распространения угроз в зависимости от географии их целей. "В последние полгода мы наблюдаем заметный рост числа мобильных банковских угроз. Мы ожидаем, что мы продолжим наблюдать эту тенденцию", - говорит он.
Вероятные причины роста активности, по мнению Николаоса Крисайдоса, могут заключаться в утечке вредоносного кода в даркнет, в неэффективных проверках безопасности, которые позволяют киберугрозам проникать в Google Play, а также в появлении новых кибермошенников, цель которых - пользователи мобильных устройств. "Все эти факторы могут вызвать всплеск роста новых сложных вредоносных банковских семейств. Мы уже становились свидетелями того, как киберпреступники тестируют различные семейства вредоносных программ, чтобы понять, насколько они выгодны", - отметил Николаос Крисайдос.
По его словам, одной из причин популярности мобильных банковских троянов является популярность мобильных приложений. Как показывает исследование Avast, проведенное в феврале, их используют 57% россиян. "Киберпреступники принимают во внимание растущий пул своих целевых потенциальных жертв и используют банковские трояны для получения прибыли. Причем 34% пользователей, которые не используют приложения для мобильного банкинга, в качестве главной причины назвали отсутствие безопасности", - говорит он.
Другой причиной популярности банковских мобильных троянов, как рассказал Николаос Крисайдос, стала проблема безопасности, вызванная трудностями у пользователей, связанными с определением подлинности банковских интерфейсов: "В рамках исследования мы также попросили респондентов сравнить на подлинность официальные и поддельные интерфейсы банковских приложений. Почти четверть россиян (24%) определили настоящий интерфейс как фейк, а 29% ошибочно приняли поддельный интерфейс за реальный. Это наглядно показывает, что выявление фальшивых интерфейсов банковских приложений - непростая задача, и многие пользователи рискуют стать жертвой банковских троянов, если не будут защищены должным образом", - подчеркнул Николаос Крисайдос.