Как с помощью «безобидного» приложения мошенники могут получить доступ к банковским данным и счетам

Любопытная новость опубликована на сайте «Лаборатории Касперского». В ней рассказывается о приложении, которое было опубликовано на маркетплейсе Google Play, и содержало вредоносный код, нацеленный на кражу данных из банковских приложений.

Приложение, предназначенное для просмотра документов в формате PDF, загрузили десятки тысяч пользователей. Особую популярность оно нашло у российских пользователей —  к 21 апреля достигло 185 места по скачиваемости в разделе «Инструменты» в российском сегменте маркетплейса.

При этом, помимо основных функций, приложение содержало банковский троянец, который фигурирует в вирусных базах под названием Anatsa.

Какой вред может нанести банковский троянец

Название «банковский троянец» здесь употребляется не случайно. Это целый класс вредоносных приложений, цель которых воровать информацию, связанную с банковскими приложениями — пароли, коды доступа и т.п.

Если говорить конкретно об Anatsa, то на сайте производителя антивируса «Доктор Веб» приводятся следующие возможности зловреда:

• использование прав администратора;
• получение информации об активных администраторах устройства;
• создание заданий в системном планировщике;
• отображение собственных окон поверх других приложеий;
• получение информации об отправленны/принятых SMS-сообщениях;
• перехват пуш-уведомлений.

В итоге приложения, заражённые этим троянцем, могут незаметно работать в фоновом режиме независимо от основного приложения, нарисовать свой поддельный экран поверх экрана банковского приложения, и узнать пароль или пин-код для входа, перехватывать SMS-сообщения и уведомления.

Соответственно, злоумышленники могут получить доступ к чужим учётным записям и подтверждать операции кодами, которые приходят на заражённое устройство.

Anatsa существует не первый год — в вирусной базе «Доктор Веб» зафиксировано более 40 тыс. модификаций. Его жертвами становятся люди по всему миру; он рассчитан на более чем 600 банковских приложений, включая приложения крупных российских банков: Сбербанка, ВТБ, Тинькофф-банка, ОТП-банка и других.

Как злоумышленники распространяют банковские трояны

Самое неприятное в этой ситуации заключается в том, что жертвой такого вредоносного приложения может стать любой пользователь.

Модификации этого банковского зловреда распространялись под видом разных приложений.

Вам потребовалось приложение для каких-то банальных действий — открыть файл определённого формата, прочитать QR-код или приложение-фонарик? Вы легко можете загрузить заражённое приложение, которое даже будет нормально работать. Более того, обычное приложение тоже внезапно может стать вредоносным.

Распространение троянца происходит по такой схеме:

• Сначала публикуется незараженная версия приложения, которая начинает рекламироваться.
• Когда приложение набирает популярность, выпускается обновление, содержащее вредоносный код.
• Приложение обновляется на устройствах пользователей и начинает «вредоносную деятельность».

К тому моменту, как эту деятельность заметят, и приложение удалят из маркетплейсов, оно уже может быть установлено на тысячах устройств.

Как защитить себя от банковских троянов

К сожалению, полностью исключить риск заражения невозможно, но, если соблюдать базовые правила безопасности, риск будет существенно ниже.

Проверяйте разрешения приложения перед установкой. Например, приложению-фонарик или сканеру QR-кодов не нужны права на доступ к SMS или контактам.

Ещё один повод насторожиться, если приложение запросило расширенные права после очередного обновления.

Выбирайте известных и проверенных разработчиков. В маркетплейсах опубликовано множество однотипных приложений — выбор есть практически всегда. Поэтому не помешает, прежде чем установить приложение, узнать чуть больше о нём и о его разработчике. Риск получить троянца в приложении с десятилетней историей ниже, чем в том, которое выпущено пару месяцев назад.

Не устанавливайте лишние приложения. Своё приложение-фонарик есть в любом современном телефоне, QR-коды умеет сканировать камера, да и читалку для PDF тоже, скорее всего, установил производитель телефона.

Не пренебрегайте антивирусами. Современные антивирусы, включая тех, которые встроены в приложения некоторых банков, умеют выявлять известные модификации банковских троянов и предупреждают о потенциальной угрозе.