Борцы с хакерами предупредили о новом вирусе, который опасен для андроидов

Отечественные специалисты по кибербезопасности выявили новый Андроид-троян, который нацелен на пользователей маркетплейсов, онлайн-магазинов, платежных систем и мессенджеров.

Как сообщили «ВМ» в Group-IB, международной компании, специализирующейся на предотвращении киберугроз, вирус Gustuff — представитель нового поколения полностью автоматизированных вредоносных программ, «заточенных» на вывод денег и криптовалюты со счетов пользователей. Он использует Accessibility Service — сервис для людей с ограниченными возможностями, который стоит в каждом андроид-смартфоне по умолчанию. Причем, для того, чтобы стать его жертвой, вовсе не обязательно быть слабовидящим или слабослышащим, то есть, использовать этот сервис в работе с мобильником. Не спасает, как утверждают криптобойцы, и двухфакторная аутентификация, которую обычно используют в работе с «денежными» приложениями — сервис позволяет перехватывать все входящие СМС (в том числе и с присланными банком кодами) и переправлять их злоумышленникам с тем, чтобы те успели снять деньги раньше вас.

Способ, которым можно подхватить этот вирус, классический — через сообщения со ссылками на APK (Android Package Kit, формат архивных исполняемых файлов-приложений), а дальше он распространяется через базу данных сервера или базу контактов телефона. При этом Gustuff автоматом «заливается» в мобильные банковские приложения и криптокошельки, чтобы делать там свое черное дело. Вирус может воздействовать на элементы окон наиболее интересных ему приложений (банковских, криптовалютных, программ для онлайн-шоппинга, обмена сообщениями и др.). Например, помимо воли владельца смартфона, жать на нужные кнопки, изменяя значения текстовых полей в банковских приложениях. И даже, предупреждают охотники на хакеров, отключать защиту Google Protect (сервис, который обеспечивает безопасность мобильного устройства и следит за сохранением данных).

Также Gustuff может засылать владельцу смартфона фейковые push-уведомления с иконками реальных мобильных приложений. Человек кликает на уведомление, попадает в фишинговое окно (один в один имитирующее картинку официального приложения) и добровольно вводит все запрашиваемые данные карты или криптокошелька. Бывает, что вирус сам открывает такое приложение и по команде с сервера через Accessibility Service вводит в поля «правильные» данные и активирует мошенническую транзакцию.

Остальные умения трояна тоже впечатляют. Это отправка на сервер не только информации об устройстве, но и файлов (например, сканы документов, скриншоты и фотографии), чтение и отправка СМС-сообщений, USSD-запросы, запуск SOCKS5 Proxy, переход по ссылке и сброс устройства до заводских настроек.
Как отмечают борцы за кибербезопасность, особенно по душе вирусу 32 мобильных сервиса для хранения криптовалют и приложения более 100 банков. Не гнушается он и пользователями таких маркетплейсов, онлайн-магазинов, платежных систем и мессенджеров как PayPal, Western Union, eBay, Walmart, Skype, WhatsApp, Gett Taxi, Revolut, и других.

В Group-IB считают, что компании, предоставляющие пользователям свои приложения, должны взять на себя львиную долю ответственности за безопасность клиентов:

— Они должны использовать комплексные решения, которые позволяют без установки дополнительного программного обеспечения на устройства пользователей, отслеживать и предупреждать вредоносную активность, — считает Павел Крылов, руководитель направления Secure Bank. — Для этого стандартные методы обнаружения мобильных троянов необходимо усиливать технологиями анализа поведения как клиента, так и самого приложения. Также защита должна включать в себя функцию идентификации устройств с использованием технологии цифрового отпечатка, что позволит понять, когда учетная запись используется с нетипичного устройства и уже попала в руки мошенника.

Ну, а пока компании еще только обдумывают приемы против нового хакерского лома, нам остается лишь старое доброе предохранение: регулярно обновлять операционку; обращать внимание на расширения загружаемых файлов; не давать скачанным приложениям дополнительных прав в системе; не кликать на подозрительные ссылки в мессенджерах; загружать приложения только из официальных магазинов. Хотя с последним тоже бывают проблемы:

— На самом деле иногда бывает, что даже в Google Play несколько дней висит фейковое приложение, — предостерегает Павел Седаков, специалист Group-IB. — Поэтому всякий раз, когда вы хотите оттуда что-то скачать, обращайте внимание, как давно появилось приложение в магазине, сколько и каких отзывов собрало, сколько звездочек заработало… То есть, если приложение повесили недавно и в комментариях пользователи, которые его скачали, пишут, что у них ничего не работает — лучше такое проигнорировать.

Читайте также: Топ-5 самых громких хакерских атак последних лет