Киберфашистский вирус «Пятый Рейх»
Как сообщают аналитики по ИБ из профильной компании Group-IB, количества сетевых атак на банки за последний год резко возросло. По крайней мере достоверно известно о 35 пострадавших от хакеров банков и нескольких юридических лицах. На данный момент, как отмечают эксперты, в Сети орудует всего несколько хакерских банд, которые совершают преступления, внедрив в мобильные устройства вредоносное ПО. Например, группировки — Cork, Lurk, Shiz, Infinity с помощью специального трояна потрошат счета тех «юриков», которые используют интернет-банкинг на платформе ОС Windows. А за счетами «физиков», использующих для банкинга платформу ОС Android, охотятся также с помощью вредоносного ПО кибербанды — Reich, Greff, March, Ada. Примечательно, что 40% пользователей мобильных устройств, как отмечено в отчете Group-IB, привязывают свои счета в банке к зараженному смартфону или другому мобильному устройству, имеющему выход в интернет…Авторский вирус группировки Reich был замечен специалистами по ИБ в 2013 году. Его распространяли через SMS-рассылку, направляя пользователей гаджетов и компьютеров на фишинговые страницы ряда российских и украинских банков. Так, во время включения клиентом сессии банкинга внедренное в мобильное устройство троянское ПО мгновенно подменяло оригинальное окно на — фишинговое. И, соответственно, все вводимые данные прямым ходом шли на сервер злоумышленников, открывая нараспашку банковский ресурс клиента.
Популяризация ОС Android обусловила необходимость адоптировать вирус под данную платформу и усовершенствовать функционал. Правоохранители в ходе следствия прозвали прозвали хакеров этой группы «киберфашистами», поскольку в распространяемом ими вирусе использовалась нацистская символика.
Распространение трояна «Пятый Рейх» осуществлялось хакерами по нескольким каналам: через SMS-рассылку, бот-сообщения в соцсетях и всплывающие на различных сайтах баннеры с предложением скачать обновление для хорошо известной программы Adobe Flash Player. Не вызывал никаких подозрений факт обновления приложения для просмотра видео, которое на самом деле было вирусом. Перейдя по указанной ссылке, зараженный файл оказывался в подключенном гаджете. Примечательно, что система безопасности ОС Android перед установкой трояна незамедлительно предупреждала пользователя мобильного устройства о том, что приложение загружается из неизвестного источника. Однако большинством пользователей и данное уведомление, и последующее предупреждение системы о возможной угрозе заражения, попросту игнорировалось. Так и получилось, что «Пятый Рейх» под видом лже программы Adobe Flash Player встраивался в ОС Android, получая администраторские права.
По словам заместителя руководителя Лаборатории компьютерной криминалистики и исследования вредоносного кода компании Group-IB Сергея Никитина, за полтора года существования вирус «Пятый Рейх» несколько раз эволюционировал. В частности, он «научился» выводить на экран окна с запросом данных банковской карты, причем, именно в момент, когда пользователь заходиk в магазин покупок или онлайн-приложение банка. С обналичиванием больших сумм украденных средств у хакеров Reich поначалу были проблемы. Просто так сделать это было нельзя, поскольку в большинстве банков предусматривалось суточное ограничение снятия средств в размере 30 000 — 35 000 рублей. Зато можно было покупать что-то через терминалы или в интернет-магазинах. А со временем «киберфашисты» уже обращались к так называемым «дропам», которые при обналичке переведенного на их счет краденных денег забирали себе 70%. Но и это вполне устраивало преступников.
Из-за чего хакерам удавалось потрошить счета
К моменту задержания четырех хакеров группировки Reich вирус «Пятый Рейх» был внедрен в 320 000 мобильных устройств на платформе ОС Android, и общий ущерб от действия этого трояна составил более 50 млн рублей. Таким образом, 40 000 пользователей смартфонов и планшетов, оказавшиеся во время сеансов интернет-банкинга во власти вируса «киберфашистов», потеряли огромные деньги. Каждый день с карт привязанных к смартфонам и гаджетов пользователей банковских счетов незаметно пропадали средства. И людей приводила в шок ситуация, когда при расчетах по карте им вдруг объявляли, что на их счете недостаточно средств для оплаты.Когда число заявлений потерпевших стало расти в геометрической прогрессии, МВД России взяло дело на особый контроль. На основании данных Сбербанка, а также результатов компьютерных исследований и экспертиз, проведенных Group-IB и уникальной технологии Bot-trek Cyber Intelligence, Управление «К» МВД при содействии сотрудников УМВД РФ по Челябинским и Свердловским областям «вычислило» четырех злоумышленников, проживающих под Челябинском. У задержанных были изъяты ноутбуки, полтора десятка смартфонов и множество SIM-карт. Создателем вируса для Android «Пятый Рейх» оказался 25-летний житель Челябинской области. Всем подозреваемым были предъявлены обвинения по статьям 158 («Кража») и 273 («Создание, использование и распространение вредоносных компьютерных программ») Уголовного кодекса РФ. В суммарном исчислении это грозит десятками лет заключения для каждого.
На самом деле, вовсе не проделки очередного «компьютерного гения» привели к масштабной краже средств у пользователей смартфонов или планшетников, а элементарное игнорирование ими норм ИБ. Вирус «Пятый Рейх», как отмечают IT-специалисты, технически не сложный, и в момент его установки, как говорилось выше, ОС Android всех предупреждала об опасности. Другой вопрос, что многие россияне не захотели реагировать на такие «капризы» системы: и — без оценки рисков — «на автомате» они санкционировали установку вредоносного ПО. Наверное, эта история заставит пользователей с бо?льшей ответственностью относиться к защите конфиденциальной информации. А IT-эксперты по ИБ, со своей стороны, предпримут свои меры для усиления защиты интернет-каналов в мобильных устройствах.
.png)