Что такое FakeBank? Новое банковское вредоносное ПО может перехватывать SMS-сообщения для кражи конфиденциальных данных и средств
Что такое Фейкбанк? Новое банковское вредоносное ПО может перехватывать SMS-сообщения для кражи конфиденциальных данных и средств
11 января 2018 г.
Гиацинт Маскареньяс
FakeBank может украсть конфиденциальную информацию с устройства, включая номера телефонов, баланс привязанной банковской карты и данные о местоположении.
Исследователи безопасности обнаружили штамм мобильного вредоносного ПО, которое может перехватывать конфиденциальные SMS-сообщения пользователей для кражи их банковских реквизитов и средств. По словам исследователей Trend Micro, вредоносное ПО, получившее название FakeBank, было обнаружено в нескольких приложениях для управления SMS/MMS и в первую очередь нацелено на жертв в России и других русскоязычных странах.
«Эти рекламируемые возможности управления SMS-сообщениями направлены против жертвы. Вредоносная программа перехватывает SMS-сообщения с целью кражи средств у зараженных пользователей через их мобильные банковские системы», — говорится в сообщении блога Trend Micro, опубликованном в среду (10 января).
Исследователи наблюдали вредоносное ПО, нацеленное на клиентов многих российских финансовых учреждений, таких как Сбербанк, Лето Банк и Банк ВТБ24. Он также был замечен в Китае, Украине, Румынии и Германии среди других стран.
После установки на зараженный телефон вредоносное ПО заменяет стандартную программу управления SMS на устройстве, заменяет ее собственной и скрывает значок. Это позволяет вредоносному ПО отслеживать и анализировать каждое полученное SMS и даже удалять сообщения.
«Это означает, что любая проверка или запрос от банка к пользователю могут быть перехвачены и удалены. Он может даже позвонить на назначенный номер телефона, отправить указанное SMS и украсть журналы вызовов и списки контактов», — сказали исследователи. «Самое главное, весь этот доступ к SMS устройства дает вредоносным программам возможность незаметно красть деньги с банковских счетов пользователей».
Помимо управления сетевой функцией открытия и закрытия устройства, вредоносное приложение может незаметно подключаться к Интернету и отправлять украденную информацию на свой сервер управления и контроля (C&C) без ведома пользователя.
Поскольку многие пользователи связывают свои банковские счета со своими телефонами и предпочитают получать текстовые уведомления, вредоносное ПО может использовать эти сообщения для кражи конфиденциальной информации о банковских счетах, например сообщений с кодом безопасности. Злоумышленники затем могут использовать украденные данные для входа в учетные записи онлайн-банкинга жертв, сбрасывать пароли и тайно переводить деньги на свои собственные счета.
FakeBank также может украсть конфиденциальную информацию с устройства, включая номера телефонов пользователей, список установленных банковских приложений, баланс привязанной банковской карты и данные о местоположении. Исследователи наблюдали некоторые образцы вредоносных программ, которые запрашивали у пользователя права администратора, тем самым предоставляя вредоносному приложению дальнейший доступ к скомпрометированному устройству.
После установки вредоносного ПО на экране устройства появляется значок и запрашивает права администратора у пользователя. (Тренд Микро)
«FakeBank также не позволяет пользователю открыть законное приложение целевого банка, чтобы предотвратить любые изменения связи между номером банковской карты и вашим номером телефона», — сказали исследователи. «Можно предположить, что разработчик вредоносного ПО хорошо знаком с форматом банковских сообщений и процессом перевода, поскольку все платежные SMS-уведомления отмечаются и шифруются C&C».
Чтобы гарантировать успешное выполнение своей вредоносной деятельности, вредоносная программа не позволяет пользователям открывать настройки устройства, «вероятно, препятствующие установке», говорят исследователи. Он также проверяет устройство на наличие любого антивирусного программного обеспечения и тихо завершает работу, ничего не делая, если оно его находит.
«Эта тактика помогает оставаться незамеченной и незаметной», — объясняет Trend Micro. «Одним из примечательных элементов этой вредоносной программы является то, как она скрывает свою полезную нагрузку. Вредоносная программа имеет различное поведение, из-за чего инфицированным пользователям сложнее избавиться от нее, а решениям по безопасности — обнаружить ее.
«На самом деле она использует три различные методы для запутывания вредоносной полезной нагрузки. Методы различаются по сложности, и разработчики, кажется, используют многоуровневый подход, чтобы избежать воздействия».0007
Большинство доменов C&C FakeBank имеют IP-адреса, расположенные в Варминьско-Мазурском воеводстве в Польше и России, говорят исследователи. Они также отметили, что большинство этих адресов зарегистрированы компанией Wuxi Yilian, которая ранее была связана с другими мошенническими доменами.
Лидеры ЕС договорились запретить 90% российской нефти к концу года помощь Украине с долгожданным пакетом новой финансовой поддержки.
Эмбарго распространяется на российскую нефть, доставляемую по морю, позволяя временное исключение для импорта, доставляемого по трубопроводу, шаг, который был решающим для того, чтобы Венгрия, не имеющая выхода к морю, присоединилась к решению, которое требовало консенсуса.
Президент Совета ЕС Шарль Мишель заявил, что соглашение охватывает более двух третей импорта нефти из России. Урсула фон дер Ляйен, глава исполнительной власти ЕС, заявила, что карательные меры «эффективно сократят около 90% импорта нефти из России в ЕС к концу года».
Мишель сказал, что лидеры также согласились предоставить Украине транш помощи в размере 9 миллиардов евро (9,7 миллиарда долларов) для поддержки экономики страны, раздираемой войной. Было неясно, поступят ли деньги в виде грантов или займов.
Новый пакет санкций также будет включать замораживание активов и запрет на поездки для физических лиц, а крупнейший российский банк Сбербанк будет исключен из SWIFT, основной глобальной системы финансовых переводов, в которой ЕС ранее запретил несколько небольших российских банков. Трем крупным российским государственным вещателям будет запрещено распространять свой контент в ЕС.
«Мы хотим остановить российскую военную машину», — сказал Мишель, похвалив то, что он назвал «выдающимся достижением».
«Как никогда важно показать, что мы можем быть сильными, что мы можем быть твердыми, что мы можем быть жесткими», — добавил он.
Мишель сказал, что новые санкции, которые нуждаются в поддержке всех 27 стран-членов, будут юридически одобрены к среде.
ЕС уже ввел пять предыдущих раундов санкций против России за ее войну. Он нацелился на более чем 1000 человек, включая президента России Владимира Путина и высокопоставленных правительственных чиновников, а также прокремлевских олигархов, банки, угольный сектор и многих других.
Но шестой пакет мер, объявленный 4 мая, был задержан опасениями по поводу поставок нефти.
Тупик смутил блок, который был вынужден уменьшить свои амбиции, чтобы сломить сопротивление Венгрии. Когда президент Европейской комиссии Урсула фон дер Ляйен предложила этот пакет, первоначальной целью было поэтапное прекращение импорта сырой нефти в течение шести месяцев и нефтепродуктов к концу года.
И Мишель, и фон дер Ляйен заявили, что лидеры скоро вернутся к этому вопросу, стремясь гарантировать, что экспорт российской нефти по трубопроводу в ЕС будет позже запрещен.
Премьер-министр Венгрии Виктор Орбан ясно дал понять, что может поддержать новые санкции только в том случае, если будет гарантирована безопасность поставок нефти в его страну. Венгрия получает более 60% своей нефти из России и зависит от сырой нефти, которая поступает по трубопроводу «Дружба» советских времен.
Фон дер Ляйен преуменьшила шансы на прорыв на вершине. Но лидеры достигли компромисса после того, как президент Украины Владимир Зеленский призвал их положить конец «внутренним спорам, которые только побуждают Россию оказывать все большее и большее давление на всю Европу».
ЕС получает около 40% своего природного газа и 25% своей нефти из России, и разногласия по этому вопросу выявили пределы амбиций торгового блока из 27 стран.
В своем 10-минутном видеообращении Зеленский призвал лидеров положить конец «внутренним спорам, которые только побуждают Россию оказывать все большее и большее давление на всю Европу».
Он сказал, что пакет санкций должен быть «согласован, он должен быть эффективным, включая (по) нефти», чтобы Москва «чувствовала цену за то, что она делает против Украины» и остальной Европы. Только тогда, Зеленский сказал, будет ли Россия вынуждена «начать искать мир».
Он уже не в первый раз требует, чтобы ЕС нацелился на прибыльный энергетический сектор России и лишил Москву миллиардов долларов ежедневных платежей за поставки.
Но Венгрия возглавила группу стран ЕС, обеспокоенных влиянием нефтяного запрета на их экономику, включая Словакию, Чехию и Болгарию. Венгрия в значительной степени зависит от энергии из России и не может позволить себе отключить насосы. Помимо потребности в российской нефти, Венгрия получает 85% природного газа из России.
По прибытии на саммит в Брюссель Орбан был непреклонен в том, что сделки не предвидится, подчеркнув, что Венгрия нуждается в надежном энергоснабжении.
Фон дер Ляйен и Мишель заявили, что обязательство Германии и Польши отказаться от российской нефти к концу года и отказаться от нефти из северной части нефтепровода «Дружба» поможет сократить импорт российской нефти на 90%.
Вопрос о продовольственной безопасности будет обсуждаться во вторник, и лидеры должны призвать свои правительства ускорить работу над «полосами солидарности», чтобы помочь Украине экспортировать зерно и другую продукцию.