В сети распространяют вирусную программу для кражи денег у Сбербанка

Счета клиентов системы интернет-банкинга "Сбербанк Онлайн" могут быть взломаны с помощью вредоносной программы, которая уже более суток распространяется через магазин приложений для смартфонов и планшетов на системе Android, сообщили в среду РИА Новости представители компании Group-IB, занимающейся расследованиями киберпреступлений.

Программа "Сбербанк-СМС", присутствует в магазине Google Play не менее суток, а обращения специалистов компании в представительство Google — как российское, так и американское — результатов пока не дало, утверждают в Group-IB. За несколько дней присутствия в магазине программу успело скачать несколько сотен пользователей, свидетельствует общедоступная статистика магазина.

В Google отказались прокомментировать сложившуюся ситуацию.

В свою очередь "Сбербанк" опубликовал предупреждение об атаке.

"В настоящее время в сети Интернет распространяется вирусное программное обеспечение для "Сбербанк-бизнес ОнЛ@йн" и "Сбербанк ОнЛ@йн". Внешним проявлением работы вирусного программного обеспечения является появление нового окна c требование ввести номер мобильного телефона перед входом в систему. При появлении указанного сообщения не вводите номер телефона в предлагаемое окно и не загружайте приложение на Ваш мобильный телефон. Выключите ПК и сообщите о факте заражения в службу технической поддержки системы", — говорится в сообщении на сайте "Сбербанка".

Программа использует многоэтапную атаку, которая происходит по следующему сценарию: в компьютер жертвы — через зараженный сайт или ссылку из почты — попадает троянская программа Carberp. Установившись в систему, она ждет, когда пользователь попытается зайти на сайт банка и воспользоваться услугой интернет-банкинга. Когда это происходит, пользователю демонстрируется фальшивое окно с требованием ввести свой номер телефона, что нужно якобы для обеспечения дополнительной безопасности — все как описано в предупреждении "Сбербанка"; если пользователь вводит свой номер, ему приходит SMS со ссылкой на страничку в магазине Google Play, с которой скачивается вредоносное приложение, пишет ria.ru.

Попав в смартфон жертвы, программа начинает перехват одноразовых паролей. Эти пароли банк присылает своему клиенту при проведении транзакций через интернет-банкинг, чтобы исключить возможность несанкционированного списания денег. Однако вредоносная программа на смартфоне передает пароли злоумышленникам и те, в свою очередь, взламывают счет клиента и похищают его деньги.

Как удалось выяснить, приложение "Сбербанк-СМС" по состоянию на 21.00 мск до сих пор доступно в Google Play. Издателем программы является некий Сергей Самсонов, однако о его личности ничего не известно — в самом магазине у него нет личной страницы и контактных данных. Также он является издателем другого приложения "Альфа-СМС". В Group-IB не смогли подтвердить имеет ли оно такой же функционал как "Сбербанк-СМС", однако описание программы и скриншоты опубликованные издателем, указывают на определенное сходство двух приложений.

"Google постоянно трубит о безопасности, и при этом на реальные угрозы безопасности российских пользователей отреагировать оперативно не может", — сказал генеральный директор компании Илья Сачков.

Эксперты отмечают, что российские хакеры впервые используют подобный метод атаки на клиентов банков. Ранее он имел широкое распространение в основном на западных рынках, где атаки банковского троянца ZeuS в паре с его мобильной версией Zitmo уже давно известны.

Эксперты настоятельно советуют не скачивать из Google Play подозрительных приложений — например, таких, у которых в графе "издатель" значится частное лицо или некая неизвестная компания.

Счета клиентов системы интернет-банкинга "Сбербанк Онлайн" могут быть взломаны с помощью вредоносной программы, которая уже более суток распространяется через магазин приложений для смартфонов и планшетов на системе Android, сообщили в среду РИА Новости представители компании Group-IB, занимающейся расследованиями киберпреступлений." />
Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Фейковый PoC устанавливает на машину ИБ-экспертов Cobalt Strike Beacon

На GitHub обнаружены два вредоносных файла, выдаваемых за PoC-эксплойты. Авторы находки из Cyble полагают, что это задел под очередную киберкампанию, мишенью которой являются участники ИБ-сообщества.

На хакерских форумах тоже обсуждают эти PoC к уязвимостям CVE-2022-26809 и CVE-2022-24500, которые Microsoft пропатчила в прошлом месяце. Как оказалось, оба репозитория GitHub принадлежат одному и тому же разработчику.

Проведенный в Cyble анализ показал, что расшаренные PoC на самом деле представляют собой вредоносный Net-банарник, упакованный с помощью ConfuserEX — обфускатора с открытым исходным кодом для приложений .Net. Зловред не содержит заявленного кода, но поддерживает эту легенду, выводя с помощью функции Sleep() поддельные сообщения, говорящие о попытке выполнения эксплойта.

Усыпив бдительность жертвы, вредонос запускает скрытую PowerShell-команду для доставки с удаленного сервера основной полезной нагрузки — маячка Cobalt Strike.

 

Этот бэкдор можно впоследствии использовать для загрузки дополнительных файлов в рамках атаки и для ее развития путем горизонтального перемещения по сети.

Похожая вредоносная кампания была зафиксирована полтора года назад. Злоумышленники вступали в контакт с баг-хантерами, пытаясь с помощью замаскированного IE-эксплойта 0-day и бэкдора добраться до информации об актуальных уязвимостях.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru