Чому небезпечно використовувати смартфони (планшети) з os android для дистанційного банківського

Чому небезпечно використовувати смартфони (планшети) з os android для дистанційного банківського

Міф другий.
Якщо вірус таки спрацював і грошики вкрали, то банк поверне вкрадене за рахунок прибутку банку (або, як вважають деякі клієнти, за рахунок якогось страхового фонду), так як він надав небезпечну послугу.

На жаль, судова практика в РФ говорить про зворотне. Досить скористатися пошуком на порталі банки точка ру.

За договором про надання ДБО всю відповідальність за збереження паролів і файлів електронного підпису несе клієнт, пояснює заступник керівника лабораторії комп'ютерної криміналістики Group-IB Сергій Нікітін. Розкрадання, як правило, відбуваються через компрометації клієнта за допомогою банківського трояна (вид шкідливого софту), погоджуються Нікітін і Царьов. Зрозуміло, чому судові рішення в основному на стороні банку: жоден банк не може гарантувати безпечне середовище на стороні клієнта, вказує Нікітін.

Можливості вірусів на платформі ОС Андроїд воістину фантастичні.

Як випливає з повідомлення МВС, в управління «К» надійшла інформація про появу на території РФ нового виду шкідливого програмного забезпечення, метою якого є пристрої, що працюють на платформі Android. Після потрапляння в пристрій шкідлива програма запитувала баланс прив'язаною до номера банківської картки, приховувала надходять повідомлення і починала переказувати грошові кошти з банківського рахунку потерпілого на рахунки, підконтрольні зловмисникам, пояснюють правоохоронці.

Оперативники встановили, що злочинна група складалася з чотирьох осіб, які проживають на території Приволзького федерального округу. Її організатором був раніше судимий 28-річний житель Йошкар-Оли. У кримінальному бізнесі був задіяний і його 24-річний брат, який проживав в Казані на знімній квартирі.

«В результаті злагоджених заходів на території двох регіонів Росії зловмисники були затримані», - звітує поліція.

Зараження Tordow починається з установки одного з популярних додатків, наприклад, «ВКонтакте», «ДругВокруг», «Покемон Go», «телеграм», «Однокласники» або «Subway Surf». В даному випадку мова йде не про оригінальні додатках, а про їх копіях, які розповсюджуються поза офіційного магазину Google Play. Вірусописьменники скачують законне програмне забезпечення, розбирають їх і додають новий код і нові файли.Провесті таку операцію може будь-яка людина, що володіє невеликими знаннями в області розробки під Android. В результаті виходить новий додаток, що дуже схоже на оригінальне і виконує заявлені легітимні функції, але при цьому володіє необхідною для зловмисників шкідливої ​​функціональністю.

У досліджуваному випадку впроваджений в легітимне додаток код розшифровує файл, доданий зловмисниками в ресурси програми, і запускає его.Запущенний файл звертається до сервера зловмисників і викачує основну частину Tordow, яка містить посилання на скачування ще кількох файлів - експлойта для отримання рута, нових версій зловреда і так далі. Кількість посилань може змінюватися в залежності від планів зловмисників, більш того, кожен скачаний файл може додатково завантажити з сервера, розшифрувати і запустити нові компоненти. В результаті на заражене пристрій завантажуються кілька модулів зловреда, їх кількість і функціональність також залежать від побажань господарів Tordow. Так чи інакше, у зловмисників з'являється можливість дистанційно керувати пристроєм за допомогою відправки команд з керуючого сервера.В підсумку кіберзлочинці отримують повний набір функцій для крадіжки грошей користувача методами, які вже стали традиційними для мобільних банківських троянців і здирників.

Крім скачування модулів власне банківського троянця, Tordow (в рамках прописаної ланцюжка завантаження модулів) викачує ще і популярний пакет експлойтів для отримання прав root, що надає зловредів новий вектор атаки і унікальні можливості.

По-перше, троянець встановлює один з викачаних модулів в системну папку, що робить його трудноудаляємиє.

Майже в кожному оновленні операційної системи Android з'являються нові захисні механізми, які ускладнюють життя кіберзлочинцям. А зловмисники, звичайно ж, намагаються їх обходити.

Троянець Gugi поширюється, головним чином, через SMS-спам із посиланням, по якій користувач потрапляє на фішингову сторінку з текстом: «Шановний користувач, вам прийшла ммс-фотографія! Подивитися її ви можете за посиланням нижче ».

Натиснувши на посилання, користувач завантажує троянця Gugi на своє Android-пристрій.

Обхід механізмів захисту

Для захисту користувачів від наслідків фішингу та шкідливих атак в системі Android 6 додатків необхідно запитувати дозвіл на відображення своїх вікон поверх інших. У більш ранніх версія операційної системи додатки могли перекривати інші вікна автоматично.

Головна мета троянця - перекрити банківський додаток фішингових вікном, щоб викрасти дані, що використовуються користувачем для мобільного банкінгу. Він також перекриває вікно додатка Google Play Store з метою викрадення даних кредитної картки.

Дана модифікація троянця Trojan-Banker.AndroidOS.Gugi.c просить користувача надати необхідне їй дозвіл на відображення свого вікна поверх інших. Потім вона блокує екран пристрою, вимагаючи доступ до все більш небезпечним діям.

Перше, з чим стикається заражений користувач, це вікно з текстом: «Для роботи з графікою і вікнами з додатком необхідні права» і однією кнопкою: «Надати».

Натиснувши на цю кнопку, користувач бачить діалогове вікно, яке дозволяє перекриття додатків ( «малювання поверх інших додатків»).
Але як тільки користувач дасть Gugi такий дозвіл, троянець заблокує пристрій і буде показувати своє вікно поверх будь-яких інших вікон і діалогів.

Троянець не залишає користувачеві вибору, виводячи вікно з єдиною кнопкою «Активувати». Як тільки користувач натискає цю кнопку, він отримує серію запитів на отримання всіх необхідних троянцу прав. Користувач не може повернутися в головне меню, поки не дасть згоду на всі запити.

Наприклад, після першого натискання на кнопку, троянець запросить права адміністратора пристрою. Вони необхідні йому для самозахисту, оскільки з такими правами користувачеві буде набагато важче його видалити.

Цікаво, що можливість динамічних запитів дозволів в Android 6 була представлена ​​як новий механізм захисту. Більш ранні версії операційної системи показували дозволу додатки тільки в момент установки. Але, починаючи з Android 6, система буде запитувати у користувача дозволу на виконання небезпечних дій, таких як відправка SMS або здійснення дзвінків, при першій спробі здійснення таких дій, або дозволить додатком запитувати їх в будь-який час - і це як раз те, що робить троянець Gugi.

Троянець буде продовжувати запитувати у користувача кожний дозвіл, поки не отримає його. Якщо перший раз користувач відмовився від надання троянцу цих прав, то вдруге буде можливість відключити ці запити. Але якщо троянець не отримає всіх дозволів, які йому потрібні, він повністю заблокує заражене пристрій. В такому випадку єдиним виходом для користувача буде перезавантажити пристрій в безпечному режимі і спробувати видалити троянця.

Якщо не брати до уваги здібності обходити механізми захисту Android 6 і використовувати протокол Websocket, Gugi є типового банківського троянця. Він перекриває додатки фішинговими вікнами з метою викрадення даних, що використовуються для мобільного банкінгу, а також даних кредитних карт. Крім того, він викрадає SMS, контакти, здійснює USSD-запити і може відправляти SMS по команді керівника сервера.

Висновок - використовувати пристрої з ОС Андроїд - великий ризик.

Ще можна додати використання безкоштовного WiFi в громадських місцях.


Навіщо його додавати? Ви бачили хоч один банк яка не https дані передає? Який-небудь вконтакте так, краще не переглядати по безкоштовному вай фаю, а банківський додаток апріорі має трафік шифрувати.

Камо Haiku_OS_User пише:
Хм, для отримання смс з банку я використовую бабушкафон / дедушкафон.

Популярні повідомлення

QR код який не читається, як побороти?

Побачивши в Яндекс.Деньги QR оплату, вирішив спробувати. Легко переконався що читає додаток далеко не всі коди. Але чому це відбувається не став розбиратися.

Венера в Скорпіоні

Які облігації краще купити на ІВС?

На форумі регулярно спливають подібні питання. Я спробував скомпілювати відповіді, які найчастіше звучать на гілках форуму. Оскільки це компіляція,

Розборки з Ренесансом, або як повернути гроші за сервіс-пакет «Зручний» та послугу «СМС оповіщення»

Ситуації в житті бувають різні, часом знаходиш доцільним взяти швидкий кредит без підтвердження доходу в кредитних банках з сумнівною репутацією.

Ціни на нафту відновили помірне зниження. Учасники ринку продовжують оцінювати перспективи продовження угоди ОПЕК + з оглядкою на останній звіт

нові повідомлення

Ціни на нафту відновили помірне зниження. Учасники ринку продовжують оцінювати перспективи продовження угоди ОПЕК + з оглядкою на останній звіт

Почав кар'єру міністра сільського господарства. Влаштувався фасувальником насіння.