Финансовые онлайн-операции существенно упростили нашу жизнь — теперь практически любой товар или услугу можно купить, не выходя из дома, а сервисы онлайн-банкинга избавляют от необходимости стоять в очереди в банке. Однако растущая популярность интернет-платежей, в особенности платежей через мобильное устройство, играет на руку преступникам, которые также активно осваивают данные технологии: чем больше людей используют свой мобильный девайс для управления финансами, тем больше потенциальных жертв и, как следствие, прибыль от криминальной деятельности. В результате кража финансовой информации при помощи вредоносного программного обеспечения для мобильных устройств и последующий вывод денежных средств пользователей на подконтрольные злоумышленникам счета на сегодняшний день представляет собой один из наиболее эффективных способов заработка, который используется «предприимчивыми» ребятами.

 

Интро

С одной стороны, нацеленным на кражу финансовой информации злодеям выгоднее устраивать атаки на серверную сторону обработки платежей (банковская инфраструктура, серверы платежных систем и прочее), поскольку она содержит огромное количество данных, которые можно выгодно использовать в корыстных целях или продать. Это с переменным успехом и делают (достаточно вспомнить финансовую угрозу Carbanak). Но на практике получить такой доступ бывает трудно — требуется огромное количество человеческих и временных ресурсов. По сути, это равносильно проникновению в реальное банковское хранилище, потому что критичные элементы банковской инфраструктуры хорошо защищены и находятся под строгим контролем со стороны служб информационной безопасности банка. Поэтому киберпреступники предпочитают атаковать незащищенные устройства пользователей банковских и платежных систем. И если рабочие станции и компьютеры потенциальных жертв постепенно обзаводятся средствами защиты, то мобильные девайсы по-прежнему остаются под ударом.

 

Социальная инженерия асоциальных приложений

Классическим примером использования возможностей социальной инженерии для выманивания финансовой информации пользователей служит фишинг. Да, этот вектор будет работать всегда, пока существуют веб-приложения и человеческая глупость. Введенный в заблуждение пользователь сам отдает злоумышленникам конфиденциальную информацию. Например, потенциальная жертва получает от имени крупного банка «официальное» письмо, из которого узнает, что якобы на его персональные данные оформлен кредит и с условиями кредитования банк предлагает ознакомиться, перейдя по ссылке. Если жертва проследует по ней, то окажется на сайте, внешне напоминающем официальный сайт банка. Однако вся информация, введенная пользователем в формах на данном ресурсе, в итоге попадает к злоумышленникам. Описанный сценарий довольно часто используется злодеями в процессе заражения рабочих станций жертв, однако он также успешно применим и для мобильных устройств. Часто ли ты читаешь почту с мобильного телефона?

Специфика мобильного доступа к онлайн-банкингу заключается в удобстве использования второго фактора аутентификации: после ввода в мобильном браузере пароля учетной записи онлайн-банкинга на это же устройство сразу же доставляется СМС с временным паролем. Другими словами, если ты пользуешься веб-приложением онлайн-банкинга посредством мобильного девайса, то двухфакторная аутентификация превращается в «однофакторную».

Кроме того, социальная инженерия активно используется для распространения вредоносных установочных пакетов, содержащих мобильные трояны. Вредоносные установочные пакеты распространяются как в неофициальных магазинах мобильных приложений, так и посредством СМС-спама с вложением. Исследования «Лаборатории Касперского» демонстрируют стабильный рост числа мобильных угроз. Так, количество обнаруженных вредоносных установочных пакетов во втором квартале 2015 года составило 1 048 129 зловредов — в семь раз больше, чем в предыдущем квартале.

Количество обнаруженных вредоносных установочных пакетов и новых мобильных угроз (Q4 2014 — Q2 2015) по данным «Лаборатории Касперского»
Количество обнаруженных вредоносных установочных пакетов и новых мобильных угроз (Q4 2014 — Q2 2015) по данным «Лаборатории Касперского»
 

Мобильные трояны

Неудивительно, что среди обнаруженных экспертами мобильных угроз одним из лидеров по распространенности остаются мобильные банковские трояны. Основная цель зловредов данной группы — украсть логин и пароль от банковского аккаунта. И у каждого представителя данного класса угроз для этой цели свой набор методов. Рассмотрим комплекс технологий, которые используются мобильными зловредами, на примере их ярких экземпляров.

Продолжение доступно только участникам

Вариант 1. Присоединись к сообществу «Xakep.ru», чтобы читать все материалы на сайте

Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», увеличит личную накопительную скидку и позволит накапливать профессиональный рейтинг Xakep Score! Подробнее

Вариант 2. Открой один материал

Заинтересовала статья, но нет возможности стать членом клуба «Xakep.ru»? Тогда этот вариант для тебя! Обрати внимание: этот способ подходит только для статей, опубликованных более двух месяцев назад.


Денис Макрушин

Денис Макрушин

Специализируется на исследовании угроз и разработке технологий защиты от целевых атак. #InspiredByInsecure

Check Also

Разгоняем микроконтроллер. Как я выжал 620 МГц из совместимой с Arduino платы

Производительности всегда не хватает. Иногда проблему можно решить, просто обновившись до …

2 комментария

  1. Аватар

    Grachoff

    12.11.2015 at 15:09

    Капля в море по сравнению с сотовыми операторами.

  2. Аватар

    k1k0

    17.11.2015 at 14:40

    Ощущение, что статья не закончена. Продолжение будет?

Оставить мнение