Рост угроз: как мошенники используют мобильные устройства для кражи денег
На протяжении нескольких лет пользователи Android сталкиваются с постоянно увеличивающимся числом финансовых вредоносных программ. Зловредные приложения типа Hydra, Anatsa и Octo демонстрируют, как злоумышленники могут полностью захватить управление смартфоном, читать всё, что отображается на экране, и быстро опустошать банковские счета злоумышленников — зачастую даже не давая им понять, что что-то идет не так. Несмотря на появление регулярных обновлений безопасности, мошенники не останавливаются и продолжают совершенствовать свои методы, придумывая новые трюки для обхода защитных систем.
Новая угроза: Android BankBot YNRK — самый продвинутый вредоносный софт
Самое свежее обнаруженное зловредное ПО — это версия, получившая название Android BankBot YNRK. Этот вирус значительно превосходит по возможностям привычные мобильные угрозы. Он способен не только отключать звук и блокировать уведомления, чтобы пользователь не заметил подозрительной активности, но и делать скриншоты банковских приложений, читать буфер обмена и даже автоматизировать транзакции в криптовалютных кошельках.
Как маскируется вредоносное приложение
BankBot YNRK внедряется в фальшивые Android-приложения, которые выглядят вполне легитимно при установке. В ходе анализа, проведенного специалистами, было установлено, что злоумышленники создают приложения, имитирующие официальные инструменты цифровых удостоверений личности. После установки вредоносное ПО начинает собирать сведения о устройстве: бренд, модель, установленные приложения и даже проверяет, не запущен ли он внутри эмулятора — это помогает избежать автоматической проверки безопасности.
Для маскировки оно может менять свой внешний вид, например, маскироваться под Google News, изменяя название и иконку, а затем подгружать настоящий сайт внутри WebView, создавая иллюзию легитимного приложения. Пока пользователь думает, что пользуется настоящим приложением, вредоносный софт работает в фоновом режиме.
Способы скрытной работы и получения доступа
Первым делом, BankBot YNRK отключает звуковые сигналы и уведомления, что помогает не привлекать внимания. Затем оно запрашивает разрешения для работы с сервисами доступности, что дает возможность взаимодействовать с интерфейсом устройства так, как это делает пользователь. После получения этих разрешений, вредоносное ПО может управлять приложениями, нажимать кнопки, пролистывать экраны и читать любую отображающуюся информацию.
Дополнительно, приложение добавляется в список устройств как устройство администратора, что усложняет его удаление и позволяет автоматически перезапускаться после перезагрузки. Оно также планирует регулярные задачи в фоновом режиме, которые запускают вредоносные операции каждые несколько секунд, пока устройство подключено к интернету.
Полный контроль над устройством и кража данных
Когда вредоносное ПО получает команды от удаленного сервера, оно получает доступ практически ко всему на устройстве. Оно отправляет злоумышленникам информацию о системе, список установленных приложений и получает список целей — это могут быть крупные банковские приложения в странах Юго-Восточной Азии и Индии, а также криптовалютные кошельки мирового уровня.
Используя разрешения на доступность, программа может считывать всю отображающуюся информацию: тексты, идентификаторы элементов интерфейса и расположение кнопок. Это позволяет ей воссоздавать упрощенную версию интерфейса приложений, что дает возможность автоматически вводить логины и пароли, подтверждать транзакции, устанавливать или удалять приложения, делать снимки камерой, отправлять сообщения и даже открывать банковские приложения в фоновом режиме без отображения на экране.
Автоматизация криптовалютных транзакций и кража секретных данных
В случае криптовалютных кошельков, вредоносное ПО действует как автоматизированный бот: оно может открыть приложения, такие как Exodus или MetaMask, читать баланс и секретные фразы, отменять биометрические запросы и выполнять транзакции. Всё это происходит через интерфейс доступности, поэтому злоумышленникам не нужно знать пароли или PIN-коды — достаточно, чтобы пользователь запустил приложение.
Также вредоносное ПО следит за буфером обмена: если пользователь копирует одноразовые коды, номера счетов или криптографические ключи — эти данные мгновенно отправляются злоумышленникам. При включенной переадресации входящих звонков мошенники могут бесшумно перенаправлять подтверждающие звонки банка, что значительно облегчает кражу средств. Всё происходит всего за несколько секунд после активации вредоносной программы.
Простые меры защиты от мобильных мошенников
Несмотря на повышенную сложность обнаружения банковских троянов и вредоносных приложений, есть несколько правил, которые помогают снизить риск заражения:
- Устанавливайте антивирусное ПО с хорошими отзывами, чтобы своевременно выявлять подозрительную активность.
- Проверяйте разрешения у приложений и удаляйте те, которые выглядят подозрительно или требуют лишних прав.
- Обязательно обновляйте операционную систему и приложения — это закрывает известные уязвимости.
- Используйте надежные пароли и менеджеры паролей для защиты учетных записей.
- Проверяйте, не слили ли ваши данные в результате утечки — это поможет вовремя сменить пароли и усилить безопасность.
Почему важно избегать сторонних источников APK и подозрительных ссылок
Основной способ распространения банковских троянов — это сторонние сайты, рассылки и социальные сети, где пользователи могут случайно скачать зараженные APK-файлы. Play Market хоть и не идеален, но всё же предлагает проверки и автоматические удаления вредоносных приложений, что значительно снижает риск заражения.
Также важно включать автоматические обновления системы и приложений — это помогает закрывать уязвимости, которые могут использовать злоумышленники.
Для дополнительной защиты рекомендуется использовать менеджеры паролей и двухфакторную аутентификацию, а также регулярно пересматривать разрешения у установленных приложений.
Обзор и рекомендации по безопасности
Обнаружение новых и сложных угроз, таких как BankBot YNRK, требует бдительности. Регулярные проверки установленных приложений, внимательное отношение к разрешениям и использование современных средств защиты значительно повышают безопасность вашего смартфона и личных данных. Следите за обновлениями и не игнорируйте сигналы тревоги — безопасность вашего финансового и личного пространства в ваших руках.
Артем Мельник
Артем — эксперт по ИТ и новым технологиям, освещает стартапы, кибербезопасность и разработки украинских программистов. Ранее работал в сфере разработки ПО.