Антивирусы бессильны: новый вирус атакует клиентов банков через MMS

Компания Group-IB предупредила пользователей о новом вирусе, который атакует клиентов российских банков, использующих SMS-банкинг. Вирус распространяется через MMS-сообщения, а затем устанавливает на заражённый смартфон вредоносный софт, который переводит деньги на счета злоумышленников.
Григорий Матюхин

Чем опасен вирус?

Сообщается, что множество пользователей получило MMS-сообщения в начало которых вирус подставлял имя из записной книжки зараженного лица. В сообщении, полученном якобы от знакомого, содержалась ссылка на вредоносную программу.

Фото: Group-IB
Фото: Group-IB

Перейдя по ссылке пользователь видел фейковую страницу, предлагающую просмотреть MMS-сообщение, но на самом деле содержащую вирус. При нажатии на кнопку «Посмотреть» на устройство пользователя загружался установщик вредоносной программы с расширением .APK.

Фото: Group-IB
Фото: Group-IB

Как показывает практика, пользователи редко вчитываются в то, что сообщает им установщик программы и сами разрешают ему делать со смартфоном все, что тому угодно. После того как невнимательный пользователь согласился со всеми условиями, вирус «незаметно» устанавливается на устройство.

Фото: Group-IB
Фото: Group-IB

Далее он заменяет собой стандартное приложение для работы с СМС-сообщениями и начинает рассылку сообщений банку жертвы втайне от неё.

Фото: Group-IB
Фото: Group-IB

Как результат — деньги утекают на счета злоумышленников через команды SMS-банкинга.

Фото: Group-IB
Фото: Group-IB

Как работает вирус?

Прежде всего, попав на смартфон, вирус сам рассылает себя контактам жертвы. Далее, через SMS-банкинг, программа узнает баланс счета и переводит деньги на счета, подконтрольные злоумышленникам. При этом сообщений от банка о переводе денег пользователь не увидит — программа их перехватывает.

Group-IB сообщает, что мобильные антивирусы никак не реагируют на приложение, очевидно, не считая его опасным. Эта ситуация сохраняется и на момент публикации статьи. Также сообщается, что программа может предлагать пользователю ввести данные своей карты, используя фейковую страницу его банка. В ряде случаев вредоносная программа могла также блокировать смартфон жертвы.

Под угрозой все, кто пользуется банкингом на Android

Согласно данным, которые приводятся на сайте компании, 33%, или 18,1 млн российских интернет-пользователей пользуются мобильным банком хотя бы в одном российском банке. И почти 85% смартфонов в мире работает на платформе Android и большинство вирусов пишутся именно под нее. Напомним, что недавно мы писали о хакерской группировке Cron, которая меньше чем за год установила вирус на 1 млн устройств и смогла украсть как минимум 50 миллионов рублей. Ниже можно прочитать рекомендации Group-IB о том, как реагировать на вирус:

Что делать, чтобы не заразиться:

  • Настоятельно рекомендуем с максимальной осторожностью относиться к «странным» сообщениям, полученным даже от знакомых из списка контактов
  • Обращайте внимание на расширения загружаемых файлов
  • Никогда не устанавливайте приложения для Android (.APK) из непроверенных источников и не давайте им дополнительных прав в системе.

Что делать, если уже заразились:

  • Сделайте копию информации с телефона в Google Cloud, чтобы сохранить базу контактов. Этот контент можно безопасно скопировать на ПК
  • Сделайте на устройстве «factory reset» — возврат к заводским установкам
  • Восстановите данные из облака и скопируйте с ПК
  • Если вы ввели данные своей карты в регистрационной форме веб-фейка — немедленно заблокируйте карту

И главное — возьмите на вооружение нашу статью «Бесплатные антивирусы для Android»!