Эксперты Group-IB утверждают, что программа "Сбербанк-СМС" находится в Google Play не менее суток, а обращение специалистов их компании в представительство Google результатов пока не дало. За несколько дней вредоносную программу успело скачать несколько сотен пользователей, о чем свидетельствует общедоступная статистика.
"Сбербанк" уже опубликовал предупреждение об атаке на своем сайте: "В настоящее время в сети Интернет распространяется вирусное программное обеспечение для "Сбербанк-бизнес ОнЛ@йн" и "Сбербанк ОнЛ@йн". Внешним проявлением работы вирусного программного обеспечения является появление нового окна c требование ввести номер мобильного телефона перед входом в систему. При появлении указанного сообщения не вводите номер телефона в предлагаемое окно и не загружайте приложение на ваш мобильный телефон. Выключите ПК и сообщите о факте заражения в службу технической поддержки системы", — говорится в сообщении на сайте "Сбербанка".
Программа работает по следующему сценарию: в компьютер жертвы через зараженный сайт или ссылку из почтового сообщения попадает троян Carberp. После того как пользователь попытается воспользоваться услугой интернет-банкинга, ему демонстрируется фальшивое окно с требованием ввести свой номер телефона (якобы для обеспечения дополнительной безопасности). Если пользователь вводит свой номер, ему приходит SMS со ссылкой на страничку в магазине Google Play, с которой затем вредоносное приложение скачивается и устанавливается на смартфон.
Попав в смартфон, программа начинает перехватывать и передавать злоумышленникам одноразовые пароли, а те, в свою очередь, взламывают счет клиента и похищают его деньги.
В Group-IB отмечают, что в России впервые используется подобный метод атаки на клиентов банков, ранее он широко применялся на западных рынках.
