Обнаружена вирусная программа для кражи денег у Сбербанка


Group-IBУже более суток в Интернете через магазин приложений для смартфонов и планшетов на системе Android распространяется вредоносная программа, с помощью которой могут быть взломаны счета клиентов системы интернет-банкинга "Сбербанк Онлайн".

Программа "Сбербанк-СМС", присутствует в магазине Google Play не менее суток, а обращения специалистов компании в представительство Google в России и Америке результатов пока не дало. По общедоступной статистике магазина, за несколько дней присутствия в магазине программу успело скачать несколько сотен пользователей.

В Google отказались прокомментировать сложившуюся ситуацию.

"Сбербанк" опубликовал предупреждение об атаке: "В настоящее время в сети Интернет распространяется вирусное программное обеспечение для "Сбербанк-бизнес ОнЛ@йн" и "Сбербанк ОнЛ@йн". Внешним проявлением работы вирусного программного обеспечения, является появление нового окна c требование ввести номер мобильного телефона перед входом в систему. При появлении указанного сообщения категорически запрещается вводить номер телефона в предлагаемое окно и загружать приложение на Ваш мобильный телефон. Выключите ПК и сообщите о факте заражения в службу технической поддержки системы."

Программа использует многоэтапную атаку, происходящую по следующему сценарию. В компьютер жертвы, через зараженный сайт или ссылку из почты, попадает троянская программа Carberp. Установившись в систему, она ожидает, когда пользователь попытается зайти на сайт банка и воспользуется услугой интернет-банкинга. Когда это происходит, пользователю демонстрируется фальшивое окно с требованием ввести свой номер телефона, что нужно якобы для обеспечения дополнительной безопасности — все как описано в предупреждении "Сбербанка". Если пользователь вводит свой номер, ему приходит SMS со ссылкой на страничку в магазине Google Play, с которой скачивается вредоносное приложение.

Попав в смартфон жертвы, программа начинает перехват одноразовых паролей. Эти пароли банк присылает своему клиенту при проведении транзакций через интернет-банкинг, чтобы исключить возможность несанкционированного списания денег. Однако вредоносная программа на смартфоне передает пароли злоумышленникам и те, в свою очередь, взламывают счет клиента и похищают его деньги.

Приложение "Сбербанк-СМС" по состоянию на 21.00 мск до сих пор доступно в Google Play. Издателем программы является некий Сергей Самсонов, однако о его личности ничего не известно, а в самом магазине у него нет личной страницы и контактных данных. Также он является издателем другого приложения "Альфа-СМС".

Эксперты отмечают, что российские хакеры впервые используют подобный метод атаки на клиентов банков. Ранее он имел широкое распространение в основном на западных рынках, где атаки банковского трояна ZeuS в паре с его мобильной версией Zitmo уже давно известны.

Эксперты настоятельно советуют не скачивать из Google Play подозрительных приложений, особенно тех, у которых в графе "издатель" значится частное лицо или некая неизвестная компания.


Обновлено (13.01.2013 03:06)