Ввести «Антидот»: новый банковский троян для Android крадет переписку пользователей

Обнаружить и удалить вирус довольно сложно, предупредили эксперты
Дмитрий Булгаков
Фото: ИЗВЕСТИЯ/Анна Селина

В Сети появился новый банковский троян Antidot («Антидот») для Android, который похищает учетные данные и переписки пользователей, об этом предупредили эксперты. При этом вирус также может следить за владельцами смартфонов. Подробности о том, что известно о трояне «Антидот», какие риски он несет для пользователей и как защититься от него, читайте в материале «Известий».

Новая угроза

О появлении в Сети нового трояна «Антидот» первыми сообщили специалисты компании Cyble, которым вирус попался в нынешнем мае. Киберпреступники маскируют это вредоносное программное обеспечение (ПО) под обновление Google Play, а также применяют механику накладывания окон для кражи данных.

Кроме того, «Антидот» использует такие техники, как VNC (Virtual Network Computing), и функции «расшаривания» экрана, а также открывает злоумышленникам удаленный доступ к гаджетам. Вирус способен записывать нажатия клавиш и любую активность на дисплее, перенаправлять звонки, собирать контакты и СМС, блокировать и разблокировать гаджет, а также отправлять USSD-запросы.

Фото: Global Look Press/IMAGO/Jan Eifert

После заражения «Антидот» выводит на экран гаджета поддельную страницу обновления Google Play с языковой привязкой — в «арсенале» вируса есть сообщения на английском, французском, немецком, португальском, русском, румынском и испанском языках. Затем троян пытается обманом заставить пользователя предоставить ему права на специальные возможности операционной системы (ОС) Android.

При этом в фоновом режиме «Антидот» устанавливает соединение с удаленным сервером, чтобы получать команды. Пользовательскую активность на дисплее вирус транслирует через VNC, а для наложения окон применяет WebView, выводя фишинговые HTML-страницы.

Анатомия вируса

Как говорит в беседе с «Известиями» эксперт по кибербезопасности «Лаборатории Касперского» Татьяна Шишкова, с технической точки зрения вирус «Антидот» не отличается особой сложностью: его функциональность типична для подобных вредоносных приложений. В частности, в нем не наблюдается сложного шифрования передаваемых данных или сильной обфускации кода для затруднения анализа.

— Для работы ему необходимо, чтобы пользователь самостоятельно установил вредоносное приложение и дал ему необходимые для работы разрешения, — рассказывает специалист. — Мы не наблюдали распространения этого троянца через официальные маркеты приложений, такие как Google Play.

Фото: ИЗВЕСТИЯ/Дмитрий Коротаев

Техники, которые использует зловред, не позволяют ему пройти проверки официальных маркетов, объясняет Татьяна Шишкова. В то же время инженер по информационной безопасности Лиги цифровой экономики Иван Сердюк называет «Антидот» высокоэффективным и многогранным трояном, способным нанести серьезный ущерб. Вирус может собирать личные данные и передавать их злоумышленникам, а потому его можно считать одной из самых опасных угроз для пользователей Android, предупреждает специалист.

— Обнаружить и удалить этот вирус довольно сложно, что делает его серьезной угрозой не только для финансовой безопасности, но и для конфиденциальности пользователей мобильных устройств, — отмечает инженер по информационной безопасности компании R-Vision Игорь Швецов.

В то же время информации о массовом распространении вируса «Антидот» пока нет, говорит руководитель направления в отделе обнаружения вредоносного ПО компании Positive Technologies Евгений Бечкало.

Угроза с историей

Между тем у вируса «Антидот» ранее уже были предшественники: это вирусы Ermac, Chameleon, Brokewell, Anubis, Cerberus, BankBot, TrickBot и другие. Как говорит Игорь Швецов, каждый из этих троянов обладает своими уникальными характеристиками, но их основные цели и методы схожи: они собирают учетные данные на устройстве без согласия пользователя.

— Прошлые банковские трояны, такие как Brokewell, также использовали накладные атаки и кейлоггинг для кражи данных, — отмечает в беседе с «Известиями» Иван Сердюк. — Однако «Антидот» отличается обширными возможностями, что делает его особенно опасным.

По словам собеседника «Известий», главная опасность этого трояна заключается в его способности скрытно собирать и передавать данные, а также удаленно управлять устройством. Это позволяет злоумышленникам не только красть информацию, но и использовать смартфон, например, для рассылки спама или участия в DDoS-атаках.

Фото: ТАСС/URA.RU/Владимир Андреев

Игорь Швецов дополняет, что «Антидот» может собирать логины, пароли, СМС и контакты пользователей. Также он может перехватывать данные банковских карт и получить доступ как к онлайн-банкингу, так и к платежным системам. Кроме того, вирус использует методы, направленные на то, чтобы не быть обнаруженным.

— С каждым годом трояны становятся всё более сложными и адаптивными к защитным мерам, что затрудняет их обнаружение, — предупреждает специалист. — Эволюция банковских троянов демонстрирует опасные методы слежки и компрометации данных пользователей.

По словам Татьяны Шишковой, активное распространение банковских троянов, подобных «Антидоту», отчасти связано с тем, что пользователи мобильных устройств зачастую пренебрегают основными правилами цифровой безопасности — например, скачивают программы с сомнительных ресурсов и не используют защитные решения. В то же время для безопасности своих клиентов многие крупные банки сейчас внедряют в свои приложения комплексные защитные решения, которые блокируют активность подобных зловредов, а также ведут активную просветительскую деятельность.

Механизмы защиты

Чтобы защититься от киберугроз, подобных вирусу «Антидот», специалисты, опрошенные «Известиями», советует соблюдать ряд правил безопасности. Прежде всего загружать приложения можно только из официальных магазинов, при этом избегая сомнительных источников. Также необходимо регулярно обновлять операционную систему и приложения на своем устройстве — это поможет закрыть уязвимости, которые могут быть использованы злоумышленниками.

Фото: ИЗВЕСТИЯ/Дмитрий Коротаев

— Установите надежное антивирусное программное обеспечение, при помощи которого можно выявлять и блокировать вредоносные программы, — советует Игорь Швецов. — А при открытии вложений в электронной почте или при нажатии на ссылки в сообщениях и на веб-сайтах проявляйте осторожность: там может скрываться вредоносное ПО.

Эксперт также напоминает о необходимости использования сложных паролей и включения функции многофакторной аутентификации, что сделает аккаунт более безопасным. Кроме того, внимательно относитесь к разрешениям, которые запрашивают приложения перед установкой, и предоставляйте только самые необходимые.

В заключение Игорь Швецов рекомендует обращать внимание на любые необычные действия устройства. Если вы заметили странные уведомления, медленную работу или внезапное уменьшение заряда батареи, это может быть признаком наличия вирусов в вашем гаджете.