Ограбление по-хакерски

Как происходит хищение денег через мобильный банкинг

Алексей Короткин, Дмитрий Бевза
Известие о дерзком ограблении банковских счетов российских пользователей Android-смартфонов программой «5 рейх» взволновало интернет и разлетелось по социальным сетям. Называются астрономические для этого вида мошенничества суммы похищенного и огромное количество пострадавших, однако в истории много странных моментов.

В субботу МВД на своем официальном сайте сообщило о задержании жителя Челябинской области, который, по данным следствия, разработал банковский троян, предназначенный для хищения денег через программы мобильного банкинга, установленные на смартфонах под управлением Android. Кроме него в состав преступной группы входили еще четыре человека. В сообщении также говорится о «предотвращенном ущербе» – более 50 млн руб. В результате обысков у членов преступной группы изъяли компьютеры со следами распространения вируса, мобильные телефоны, SIM-карты, серверы и банковские карты, на которые производилось зачисление похищенных денежных средств.

Одновременно с пресс-релизом МВД появилось сообщение информационного агентства FlashNord со ссылкой на неназванные источники в МВД о том, что в регионах жертвами мошенников стали от 20 тыс. до 30 тыс. клиентов Сбербанка.

Со ссылками на региональные СМИ и источники в полиции было названо число пострадавших в отдельных регионах: в Калининградской области – около 250 человек, в Мурманской области – около 200, в Санкт-Петербурге и Ленинградской области – около 300, в Приморском крае – 400, в Оренбурге – почти 150.

В Сбербанке «Газете.Ru» не подтвердили информацию о массовых хищениях денег со счетов клиентов. «В настоящее время Сбербанк не отмечает повышенного фона обращений со стороны клиентов, информация, опубликованная в СМИ, проверяется», – говорится в сообщении.Также в банке напомнили о необходимости устанавливать антивирусное ПО, а также о том, что недавно вышла обновленная версия приложения мобильного банка для Android со встроенным антивирусом.

В компании Group-IB, занимающейся предотвращением и расследованием киберпреступлений и мошенничества с использованием высоких технологий, подтвердили «Газете.Ru», что речь идет об одном и том же инциденте, и рассказали о деталях.

Злоумышленники организовывали вирусные атаки на мобильные устройства клиентов российских банков, работающих на платформе Android. Троянская программа, которую они использовали, после установки на мобильное устройство запрашивала баланс привязанной к номеру банковской карточки, скрывала поступающие SMS-уведомления и осуществляла переводы денежных средств с банковского счета на счета, подконтрольные злоумышленникам.

Сами хакеры назвали свою программу «5 рейх», а в системе управления использовали нацистскую символику (запрещена в России), из-за чего данная преступная группа получила кодовое название «Фашисты», сообщили «Газете.Ru» в Group-IB.

Первые сведения об используемой преступниками вредоносной программе появились в июле 2013 года. Троян сделан именно для того, чтобы совершать хищения с банковских счетов. Со временем программа эволюционировала, и новые функции позволяли совершать хищения более эффективно. Одним из первых способов совершения хищений было использование SMS-банкинга – процедуры перевода денег при помощи отправки специально сформированного SMS на номер банка.

Позже злоумышленники начали собирать данные пластиковых карточек, для чего использовали фишинговые (фальшивые) страницы в сети. Вредоносная программа показывала поверх окна Google Play свое окно с предложением ввести данные банковской карточки.

После того как пользователь ввел данные карточки, они немедленно передавались на сервер злоумышленника.

В дальнейшем хакеры сделали фишинговые страницы и для некоторых российских и украинских банков, но в этот раз они получали не данные карточек, а логины и пароли от интернет-банкинга. Когда пользователь запускал банковское приложение, троянская программа подменяла оригинальное окно на фишинговое, где пользователь сам вводил необходимые данные, которые немедленно отправлялись на сервер злоумышленника.

Обладая логином, паролем, а также доступом ко всем SMS, в том числе от банков с SMS-кодами, злоумышленник мог успешно совершать банковские переводы.

Распространяли вредоносную программу через SMS-рассылки, в которых была ссылка на загрузку вредоносной программы под видом Adobe Flash Player, во время установки которой запрашивались права администратора.

Позже в сети появилась информация, что вредоносной программой было заражено около 340 тыс. смартфонов и пострадали клиенты разных банков.

Если учесть известные проблемы с безопасностью у операционной системы Android и низкий уровень компьютерной грамотности у населения, происшедшее выглядит закономерным, однако многие моменты вызывают вопросы.

В первую очередь это масштабы преступной деятельности, которых сумела достичь группа из пяти человек. Если данные анонимных источников из МВД верны, то для достижения числа 20–30 тыс. пострадавших, с учетом того что озвученные данные о потерпевших в разных регионах составляют от 150 до 400 человек, преступники должны были осуществлять хищения практически во всех 85 субъектах РФ.

Во-вторых, это затраты на подготовительный этап. Пользователь не попадет на нужный порносайт сам по себе, а рекламные SMS не рассылаются бесплатно. Если речь идет о 20–30 тыс. успешных установок вредоносной программы, то попыток установки, в ходе которых пользователи начинали что-то подозревать и отказывались либо от установки, либо от предоставления администраторских прав, в несколько раз больше.

При этом рекламная сеть, даже если это сеть обмена порнотрафиком, взимает деньги за каждую попытку установки. То есть речь идет о миллионах рублей, что является существенным и довольно рискованным вложением для группки региональных преступников.

Если же допустить, что информация о 340 тыс. зараженных смартфонов соответствует действительности, то затраты на «продвижение» вредоносного ПО уже достигают порядка миллионов долларов.

Разработка мобильного трояна также задача непростая и отнюдь не дешевая. С учетом существующего разделения труда среди киберпреступников – одни группы специализируются на разработке вредоносного ПО, другие на заражении пользователей, третьи на поддержании сетевой инфраструктуры, четвертые на выводе и легализации украденных денег – базовый код для модификации был либо куплен на черном рынке, либо предоставлен.

В-третьих, это объемы подозрительного сетевого трафика и денежных транзакций. Надо понимать, что службы безопасности банков имеют дело с кардерами – преступниками, специализирующимися на хищении денег с банковских карточек, – далеко не первый год, а сотовые операторы часто сталкиваются с SMS-мошенничествами.

Стандартная вредоносная программа скрывает свою работу неидеально: пользователь получает SMS об отказе в списании денег, а система мобильного банкинга получает множество неудачных запросов и даже блокирует клиента. Все это приводит к обращениям клиентов и попадает в поле зрения службы безопасности банка. Таким образом, можно отследить подобные запросы на списание денег по суммам, номерам счетов, куда переводятся деньги.

В случае постепенного хищения денег через зараженные смартфоны невозможно достичь подобного масштаба преступной деятельности. Если же перевод денег на счета преступников производится одновременно с множества счетов пользователей, то эти транзакции не могут остаться незамеченными. Если взять минимальный размер списания 1 тыс. руб. и предполагаемое количество пострадавших 20 тыс. пользователей, получаем сумму 20 млн руб. Таким образом, при использовании 100 SIM-карт через каждый телефонный номер потребуется обналичить 200 тыс. руб., а при 1 тыс. SIM-карт каждый член преступной группы должен был успеть снять деньги с 200 мобильных номеров.

Артем Баранов, ведущий вирусный аналитик ESET Russia, считает, что в этой истории достаточно много темных пятен, однако главное, по его мнению, что проведены следственные мероприятия, члены преступной группы задержаны, предполагаемый ущерб подсчитан, а вредоносное ПО идентифицировано.

«Кстати, если принять во внимание заявленный ущерб по стране, группа может быть значительно больше. Не исключено, что следственными органами раскрыты не все детали деятельности преступной группы, и, возможно, мы увидим новые аресты в будущем», – считает Баранов.

По мнению эксперта, пока без ответа остался главный вопрос: каким механизмом воспользовались злоумышленники для похищения средств? С вредоносным ПО или без него, невозможно просто взять и перевести денежные средства с одного счета на другой – нужно подтверждать операцию. Но если сервис банка позволяет переводить средства без подтверждения, отправкой простого SMS-сообщения, эта услуга может обернуться катастрофой для владельцев зараженных устройств. Инфицированный Android-смартфон будет бесконтрольно рассылать SMS, переводя средства, а злоумышленникам не потребуется даже доступ к аккаунту онлайн-банкинга.

В этом случае сама вредоносная программа может быть довольно простой, злоумышленникам достаточно написать анализатор входящих SMS и механизм генерации новых по определенному шаблону. Скорее всего, с помощью такой услуги можно переводить небольшие суммы (установлен лимит).

Что касается источников заражения, можно предположить, что ссылки на установку трояна приходили через мессенджеры и личные сообщения в социальных сетях, а также размещались на стенах пользователей соцсетей.

Для того чтобы не стать жертвой киберпреступников, специализирующихся на краже денег через интернет, антивирусный эксперт «Лаборатории Касперского» Виктор Чебышев дал читателям «Газеты.Ru» несколько простых советов.


1. Никогда не переходите непосредственно по ссылкам на сайты банков и других финансовых организаций. Чтобы не стать жертвой злоумышленников, надо обязательно вводить адрес вручную – эта элементарная мера предосторожности позволит вам не оказаться на поддельной странице, которая выглядит точно так же, как и оригинал.


2. Используйте только сложные пароли. Ваш пароль ни в коем случае не должен быть связан с вашей личностью, например, кличка собаки или девичья фамилия матери.


3. При передаче конфиденциальных данных используйте зашифрованное соединение. Понять, что соединение в должной мере защищено, можно, если адрес сайта начинается с https, при этом в адресной строке будет отображаться специальный символ, например иконка открытого замка.

Рекомендации для владельцев Android-смартфонов


1. Оплата через телефон или планшет – это очень удобно, однако существуют реальные угрозы проникновения на устройство поддельного приложения, которое полностью копирует и замещает собой оригинальное. Скрывая настоящее приложение, это вредоносное ПО начинает запрашивать у пользователя учетные данные, пароли и другую конфиденциальную информацию, которая может быть использована для кражи денег и их перевода на счета злоумышленников.


2. Никогда не следует переходить по ссылкам в SMS/е-mail-спам-сообщениях. Если вы хотите установить какое-либо ПО на свое устройство, нужно скачивать его из официальных источников. Не забывайте обновлять ОС и установленные приложения, так как в обновлениях устраняются известные хакерам уязвимости. На сегодняшний день на рынке есть разнообразные защитные решения, которые не только помогают бороться с проникновением на устройство вредоносных программ, но также способны защитить хранящуюся на смартфоне конфиденциальную информацию в случае утери или кражи гаджета. Не стоит забывать о необходимости обновлять ваше защитное решение.


3. Не осуществляйте jailbreak/rooting устройства: при взломе официальной прошивки ваш девайс становится более уязвимым для вредоносных программ. Стоит также использовать программные средства удаленного блокирования (уничтожения) данных в случае утери (кражи) смартфона.