«Доктор Веб» говорит о возможных убытках клиентов Сбербанка на сумму 78 млн. рублей

«Доктор Веб» говорит о возможных убытках клиентов Сбербанка на сумму 78 млн. рублей
Специалисты «Доктор Веб» обнаружили стремительно распространяющийся троянец Android.BankBot.358.origin, направленный на российских пользователей «Сбер
Варшавское шоссе, д. 35, стр. 1 Москва, Россия +7(495) 926-85-96

Специалисты «Доктор Веб» обнаружили стремительно распространяющийся троянец Android.BankBot.358.origin, направленный на российских пользователей «Сбербанк онлайн». Он может воровать данные о банковских картах и переводить деньги со счетов клиентов, в случае неудачи способен блокировать мобильное устройство с требованием выкупа. По оценкам компании, потенциальный ущерб от работы трояна составляет 78 млн. руб.

Первые версии зловреда появились в российском киберпространстве еще в конце 2015 года, одна с тех пор он значительно «поумнел» и представляет собой серьезную опасность. Основным способом его распространения являются фишинговые СМС, которые рассылаются как зловредом, так и злоумышленниками. Основная масса сообщений приходит с распространенного ресурса объявлений Авито. Не редки случаи СМС об одобренных кредитах, переводах средств от друзей и пр.

Если пользователь перейдет по ссылке в СМС, то на его мобильное устройство скачается установочный файл зловреда. Чтобы завоевать доверие пользователя, он содержит оригинальный логотип Avito, в некоторых случаях вирус маскируется под приложение для работы с пластиковыми картами.

После запуска троян пытается получить права администратора. В старых версиях Android это ему удается без труда, в более новых устройствах он будет запрашивать разрешение от пользователя устройства бесконечно. После получения запрашиваемых прав он выводит сообщение об ошибке и визуально удаляется с устройства, переходя в скрытый режим. Однако при попытке удалить его вручную, он закрывает окно настроек, не позволяя пользователю выполнить данную процедуру. Иногда он самостоятельно меняет/устанавливает секретный код разблокировки экрана.

После «укоренения» в системе, Android.BankBot.358.origin отправляет сообщение на сервер о своей готовности к работе. По команде злоумышленника или по внутреннему таймеру зловред выводит на весь экран сообщение якобы от приложения «Сбербанк онлайн» о поступившем переводе и просит ввести номер карты и все сопутствующие реквизиты, включая CVV код. Сразу после ввода данные передаются на сервер злоумышленнику, который может перевести все средства со скомпрометированной карты.

Из-за ошибки в коде вируса он не проверяет номер карты, поэтому пользователь может ввести в поля любые цифры, тем самым сняв блокировку устройства. После этого сразу необходимо загрузить антивирус и провести полную проверку смартфона или планшета. Проблема в том, что хозяева трояна могут вручную отдать команду на повторную блокировку экрана после проверки введенного номера карты.

Основную опасность для пользователей представляет подключенный «мобильный банк», вирус способен автоматически определять остаток средств по карте и переводить их на заранее определенный счет или класть на телефон.

Некоторые модификации трояна Android.BankBot.358.origin вместо окна ввода кредитных карт используют блокировку и требуют штраф за «якобы» просмотренные видеоролики 18+. Вид сообщения, параметры могут меняться в зависимости от команды злоумышленника.

По внешней команде или внутреннему таймеру вирус способен проверять и загружать свои собственные обновления, провести рассылку СМС по адресной книге вашего устройства, скачивать и отправлять на сайт киберпреступника тексты СМС и идентификационные данные вашего телефона, формировать ложные входящие и исходящие сообщения.

Продукты DrWeb для мобильных устройств надежно распознают и удаляют данную вредоносную программу. В соответствии с соглашением об обмене данными, все сведения о трояне-вымогателе и алгоритме его работы переданы в Сбербанк. Специалисты «Доктор Веб» постоянно наблюдают за активностью вредоносного приложения.