Счета клиентов системы интернет-банкинга «Сбербанк Онлайн» могут быть взломаны с помощью вредоносной программы, которая уже более суток распространяется через магазин приложений для смартфонов и планшетов на системе Android, сообщили представители компании Group-IB, занимающейся расследованиями киберпреступлений.
Программа «Сбербанк-СМС», присутствует в магазине Google Play не менее суток, а обращения специалистов компании в представительство Google — как российское, так и американское — результатов пока не дало, утверждают в Group-IB. За несколько дней присутствия в магазине программу успело скачать несколько сотен пользователей, свидетельствует общедоступная статистика магазина.
В свою очередь «Сбербанк» опубликовал предупреждение об атаке.
«В настоящее время в сети Интернет распространяется вирусное программное обеспечение для „Сбербанк-бизнес ОнЛ@йн“ и „Сбербанк ОнЛ@йн“. Внешним проявлением работы вирусного программного обеспечения является появление нового окна c требование ввести номер мобильного телефона перед входом в систему. При появлении указанного сообщения не вводите номер телефона в предлагаемое окно и не загружайте приложение на Ваш мобильный телефон. Выключите ПК и сообщите о факте заражения в службу технической поддержки системы», — говорится в сообщении на .
Программа использует многоэтапную атаку, которая происходит по следующему сценарию: в компьютер жертвы — через зараженный сайт или ссылку из почты — попадает троянская программа Carberp. Установившись в систему, она ждет, когда пользователь попытается зайти на сайт банка и воспользоваться услугой интернет-банкинга. Когда это происходит, пользователю демонстрируется фальшивое окно с требованием ввести свой номер телефона, что нужно якобы для обеспечения дополнительной безопасности — все как описано в предупреждении «Сбербанка»; если пользователь вводит свой номер, ему приходит SMS со ссылкой на страничку в магазине Google Play, с которой скачивается вредоносное приложение.
Попав в смартфон жертвы, программа начинает перехват одноразовых паролей. Эти пароли банк присылает своему клиенту при проведении транзакций через интернет-банкинг, чтобы исключить возможность несанкционированного списания денег. Однако вредоносная программа на смартфоне передает пароли злоумышленникам и те, в свою очередь, взламывают счет клиента и похищают его деньги.
Как удалось выяснить корреспонденту РИА Новости, приложение «Сбербанк-СМС» по состоянию на 21.00 мск до сих пор доступно в Google Play. Издателем программы является некий Сергей Самсонов, однако о его личности ничего не известно — в самом магазине у него нет личной страницы и контактных данных. Также он является издателем другого приложения «Альфа-СМС». В Group-IB не смогли подтвердить имеет ли оно такой же функционал как «Сбербанк-СМС», однако описание программы и скриншоты опубликованные издателем, указывают на определенное сходство двух приложений.
«Google постоянно трубит о безопасности, и при этом на реальные угрозы безопасности российских пользователей отреагировать оперативно не может», — сказал РИА Новости генеральный директор компании Илья Сачков.
Эксперты отмечают, что российские хакеры впервые используют подобный метод атаки на клиентов банков. Ранее он имел широкое распространение в основном на западных рынках, где атаки банковского троянца ZeuS в паре с его мобильной версией Zitmo уже давно известны.
Эксперты настоятельно советуют не скачивать из Google Play подозрительных приложений — например, таких, у которых в графе «издатель» значится частное лицо или некая неизвестная компания.
