Мобильный банковский троян Asacub начал масштабные атаки

Олег Иванов 14 Сентября 2018 - 15:06

Домашние пользователи

Корпорации

Android

Лаборатория Касперского

Трояны

Взлом онлайн-банка

Взлом мобильного банка

...

Мобильный банковский троян Asacub начал масштабные атаки

«Лаборатории Касперского» зафиксировала масштабную кампанию, в ходе которой пользователей заражают мобильным банковским трояном Asacub. В день страдают приблизительно 40 тысяч пользователей. Основная часть (98%) случаев заражения Asacub (225 тысяч) приходятся на Россию, также среди пострадавших стран есть Украина, Турция, Германия, Белоруссия, Польша, Армения, Казахстан, США и другие.

Этот вредонос распространяется через фишинговые SMS-сообщения с предложением посмотреть фото или MMS по ссылке. Перейдя на злонамеренную веб-страницу, пользователь увидит кнопку для скачивания, при нажатии на которую загружается файл зловреда. Нередко фишинговые сообщения содержат обращение по имени, поскольку адресно рассылаются со смартфона предыдущей жертвы (в них используются имена, под которыми номера записаны в телефонной книге заражённого устройства).

Asacub попадает на устройство только в том случае, если владелец смартфона разрешил в настройках установку из неизвестных источников. Как правило, троян маскируется под приложения для работы с MMS или популярные сервисы бесплатных объявлений. При установке он запрашивает права администратора или разрешение на использование службы специальных возможностей.

После получения необходимых прав вредоносна программа назначает себя приложением для обработки SMS-сообщений по умолчанию и переходит к злонамеренным действиям. В первую очередь Asacub начинает взаимодействовать с командным центром C&C злоумышленников, в частности передаёт им информацию о модели смартфона, версии ОС, операторе сотовой связи и версии самого трояна.

Программа может красть деньги с привязанной к номеру телефона банковской карты, отправляя SMS-сообщения для перевода средств на другой счёт по номеру карты или мобильного телефона. Некоторые его версии даже способны самостоятельно извлекать из входящих SMS-сообщений коды подтверждения операций и отправлять их на нужный номер. При этом пользователь не сможет проверить баланс через мобильный банк или поменять в нём какие-либо настройки, так как после получения специальной команды Asacub запрещает открытие на устройстве банковского приложения.

«Сегодня семейство Asacub, которое эволюционировало, как мы полагаем, из троянца Smaps и впервые заявило о себе ещё в 2015 году, продолжает приносить злоумышленникам финансовую прибыль – наблюдается резкий рост числа заражений. Это лишний раз подтверждает, что зловред может на протяжении длительного времени распространяться одним и тем же способом, при этом только прогрессируя. Ведь пользователи по-прежнему переходят по подозрительным ссылкам, устанавливают ПО из неизвестных источников и дают приложениям любые разрешения», – рассказала Татьяна Шишкова, антивирусный эксперт «Лаборатории Касперского».

Следующая главная новость »

Подписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Вероника Дубровская 18 Апреля 2024 - 19:07

Вирусы-вымогатели Вирусы-шифровальщики Домашние пользователи Малый и средний бизнес

Дешевые программы-вымогатели в дарквебе меняют подходы атакующих

19 вариантов дешевых, грубо созданных программ-вымогателей сомнительного качества были обнаружены Sophos X-Ops на просторах дарквеба с июня 2023 года. Разработчики второсортных программ вышли на теневой рынок, тем самым пошатнув устоявшуюся модель RaaS (ransomware-as-a-service).

Злоумышленники создают и продают простые варианты шифровальщиков за единовременную плату, что позволяет покупателям не тратить деньги на подписки, дополнительные инструменты и, что немаловажно, делиться прибылью.

Хакеры также видят в этом потенциал для атаки не только крупных компаний, но и предприятий среднего и малого бизнеса и даже частных лиц.

По словам директора отдела исследований угроз Sophos, Кристофера Бадда, программы-вымогатели до сих пор являются серьёзной угрозой в сфере безопасности бизнеса. За последние два года количество атак стабилизировалось, а RaaS модель остается по-прежнему основным способом работы и взаимодействия киберпреступников.

Кристофер Бадд отметил, что за последние два месяца некоторые крупнейшие продавцы троянов-вымогателей исчезли с рынка. Это может быть связано с недовольством партнеров по поводу схемы деления прибыли.

Средняя цена низкопробного вымогателя составляет 375 долларов, что намного ниже, чем при RaaS модели сотрудничества, когда прайс выходит за рамки 1000 долларов.

В основном обсуждения программ низкого качества ведутся на англоязычных форумах теневого рынка. Они зачастую предлагаются начинающим хакерам как привлекательный способ войти в мир киберпреступности и заработать деньги.

Бадд также указывает на проблему отслеживания данных преступлений. Так как киберпреступники атакуют малый и средний бизнес, размер выкупа, скорее всего, будет не так велик. Следовательно, большинство атак останутся незарегистрированными.

Мир киберпреступности не стоит на месте. И эти низкопробные версии готовых программ могут стать новой ступенью в эволюции троянов-вымогателей.