Появился новый вирус для Android-смартфонов Vultur, который записывает и передает злоумышленникам изображение с экрана и информацию о нажатиях. Это позволяет практически в реальном времени красть любую конфиденциальную информацию с устройства, включая логины и пароли от банковских приложений и криптокошельков. Эксперты пока не зарегистрировали распространения Vultur в России, но не исключают этого в будущем. Также специалисты отмечают, что этот вирус — предвестник эволюции мобильных троянцев, которые в будущем могут стать более автоматизированными.
Стервятник за работой
Голландские специалисты по информационной безопасности из компании ThreatFabric обнаружили новый вирус для Android-смартфонов — Vultur. По данным фирмы, он делает скриншоты экрана устройств, фиксирует данные о нажатиях и передает эту информацию злоумышленникам. С помощью Vultur операторы вредоносной программы могут красть практически любую конфиденциальную информацию со смартфона жертвы. Целевые данные — логины и пароли от банковских приложений и криптокошельков. Ценность жертвы оператор определяет, изучая список установленных приложений на устройстве, который вирус также считывает и пересылает.
Для работы Vultur необходимо пользовательское разрешение на удаленный доступ к смартфону. Оно запрашивается при первом запуске приложения-носителя. Собственно, перманентная активность режима удаленного доступа, которая визуально отмечается в меню быстрых настроек, может натолкнуть пользователя на мысль о заражении смартфона. Но даже в случае обнаружения зловреда человеку не удастся просто избавиться от вируса, потому что он автоматически нажимает кнопку «назад» всякий раз, когда система просит подтвердить удаление приложения-носителя.
Директор технического департамента RTM Group Федор Музалевский считает, что для быстрого и гарантированного избавления от Vultur пользователю придется сбросить настройки смартфона до заводских установок.
Вирус распространяется через приложения в Google Play. Сейчас специалисты ThreatFabric обнаружили по меньшей мере два приложения-носителя, которые заразили от 5 тыс. до 8 тыс. пользователей. По словам исследователя мобильных угроз «Лаборатории Касперского» Виктора Чебышева, Vultur — хоть и не самый технологичный троянец, но весьма опасен, поскольку распространяется через Google Play.
— Подобная схема распространения считается чрезвычайно эффективной, поскольку у площадки очень большая пользовательская база и доверие людей к Google Play максимально. Потенциальные жертвы, даже не раздумывая, устанавливают приложения из этого источника, доверяя свою безопасность Google, — говорит он.
«Известия» направили запрос в Google Play.
Золотая жила
Специалисты ThreatFabric отметили, что подавляющее большинство обнаруженных ими конфигураций зловредной программы нацелены на приложения банков Италии, Австралии, Испании, Нидерладнов и Великобритании. Однако российские эксперты говорят, что потенциальную угрозу Vultur представляет и для пользователей в нашей стране.
В «Лаборатории Касперского» сказали, что знают об этом вирусе с ноября 2020 года, но до сих пор не зарегистрировали ни одного случая заражения в РФ. Но прецеденты не исключены в будущем, хорошо развитый в стране мобильный банкинг может обратить внимание операторов Vultur на Россию, сказал Виктор Чебышев.
Похожего мнения придерживается и руководитель направления аналитики угроз ESET Александр Пирожков. По его данным, случаев заражения Vultur в России тоже не было, но злоумышленникам ничего не мешает переписать вирус под отечественные приложения.
— Потенциал Vultur позволяет адаптировать его под новые потребности злоумышленников. Если учесть, что Россия — один из лидеров по числу держателей криптокошельков, то наша страна может стать лакомой целью для операторов нового вируса, — говорит он.
В июле 2021 года аналитическое агентство Chainalysis опубликовало рейтинг стран по доходу от реализации биткоинов. В нем Россия заняла пятое место с показателем в $600 млн.
Впрочем, некоторые эксперты считают, что до тех пор, пока вирус дойдет до нашей страны, он уже перестанет быть актуальным.
— В перспективе заражение смартфонов отечественных пользователей возможно, но маловероятно. Скорее всего, разработчики исправят уязвимость раньше, чем она докатится до России, — считает Федор Музалевский.
По его словам, сейчас важно следить за обновлениями банковских приложений и не откладывать их установку.
Штамм из будущего
По мнению специалистов ThreatFabric, появление Vultur в очередной раз подтверждает тенденцию по переходу разработчиков банковских троянцев от классической методики с фишинговыми окнами к более технологичным.
— Метод кражи паролей к криптокошелькам через запись экрана является эффективным. Злоумышленники очень быстро получают доступ к похищенным данным. В результате пользователь даже не успевает понять, что стал жертвой трояна, — соглашается Александр Пирожков.
Как объяснил Виктор Чебышев, под классической методикой подразумевается подлог окон с интерфейсом банковских приложений. Обычно, после проникновения на смартфон, троянец ждет, когда жертва запустит банковское приложение. В момент, когда это происходит, вирус вклинивается в событие и показывает пользователю фальшивое окно с интерфейсом банковского сервиса. Пользователь вводит данные, и они тут же уходят злоумышленнику. После хакеры сами авторизуются в приложении и переводят деньги, подтверждая операции с помощью SMS-кодов, которые троянец также перехватывает.
— Чтобы успешно провести атаку по такой схеме, злоумышленникам нужно показать жертве качественно созданное фальшивое окно банка. И если они хотят, чтобы троянец одинаково эффективно атаковал большую выборку банков, им придется рисовать такие окна под каждый случай, что весьма трудозатратно. Подобная техника превалирует среди мобильных финансовых угроз, — говорит Виктор Чебышев.
По его мнению, следующее поколение вирусов — не предоставляющие удаленный доступ, а те, что после проникновения на смартфон самостоятельно взаимодействуют с банковскими приложениями и осуществляют переводы. По словам Виктора Чебышева, такие программы уже появляются. Они требуют больших ресурсов при разработке, поскольку киберпреступникам приходится разбираться, как работает каждое банковское приложение, но автоматизация оправдывает эти вложения.