Сбор данных платежных карт с помощью вредоносной программы и программы Google Play
Сбор информации с помощью системных диалогов
Сущность данного способа в следующем. После установки вредоносная программа проверяет наличие аккаунтов пользователей в интересующих преступника коммерческих банках, сканируя установленные приложения, SMS-сообщения и контакты пользователя. При обнаружении нужного коммерческого банка пользователю показывается системный диалог с текстом «Принять Уведомление от «название банка»?». При согласии пользователю предлагается синхронизироваться с банком и заполнить формы, сгенерированные преступником. Все скомпрометированные данные затем автоматически направляются на сервер, находящийся под контролем преступника.
Сбор информации с помощью HTML/JS-диалогов
Сущность данного способа в следующем. После установки вредоносная программа проверяет наличие аккаунтов пользователей в интересующих преступника коммерческих банках, сканируя установленные приложения, SMS-сообщения и контакты пользователя. При обнаружении нужного коммерческого банка пользователю выводится фишинговое окно, где он должен заполнить данные банковской карты или другую информацию. Скомпрометированные данные автоматически направляются на сервер, находящийся под контролем преступника.
Обыск (в жилище, в ином помещении, автомашине, личный)
Наличие достаточных данных о том, что в каком-либо месте или у какого-либо лица могут находиться орудия преступления, предметы, документы, которые могут иметь значение для уголовного дела, является основанием для проведения обыска. В качестве отыскиваемых в ходе обыска орудий преступления, предметов, относящихся к событию хищения, выступают компьютерные устройства, в том числе средства мобильной связи, электронные носители информации и иные носители информации, содержащие следы события, подлежащего расследованию.
В ходе обыска необходимо обратить внимание также на следующие документы: черновики с отражением записей о реквизитах доступа к банковским и иным счетам; выписки финансового характера; гарантийные письма об оплате товаров и услуг; записки и письма, в которых затрагиваются вопросы электронных расчетов, договоров; черновые записи о проведенных операциях; при обыске могут быть обнаружены и другие документы, значимые не только для расследуемого дела, но и свидетельствующие о совершении иных преступлений.
При производстве обыска следует иметь в виду, что современные носители информации могут быть интегрированы в различные предметы: рамку с цифровыми фотографиями, наручные часы, кулон, аудиоплеер и т. п. Поэтому обыск целесообразно проводить с применением соответствующих технических средств (приборов нелинейной локации), позволяющих обнаружить мобильные устройства и электронные накопители в помещениях, автотранспорте, в том числе при досмотре людей или личном обыск.
Индивидуальная тактика обыска избирается следователем в зависимости от характера и способа совершенного хищения, условий следственной ситуации. При этом следователю рекомендуется обращать внимание на место нахождения и возможного сокрытия компьютерных устройств и в особенности извлекаемых из них накопителей (например, SIM-карт), а также на поведение участников обысков, пытающихся воспользоваться мобильным устройством для оказания противодействия расследованию.
Сбор данных платежных карт с помощью вредоносной программы и программы Google Play
Сущность данного способа в следующем. При запуске приложения Google Play открывается системный диалог с запросом ввода данных банковской карты (без заполнения данного диалогового окна пользователь не сможет в будущем запустить приложение Google Play). После ввода данных с карты они отправляются на сервер, находящийся под контролем преступника. При этом происходит обычный запуск приложения Google Play.
Одной из вредоносных (троянских) программ, используемой для хищения данных платежных карт, является Android.ZBot, различные модификации которой атакуют смартфоны и планшеты с февраля 2015 г. и получили по классификации Dr.Web имя Android.ZBot. l. origin. Как и многие другие Andmid-троянцы, Android.ZBot. l. origin распространяется преступниками под видом безобидной программы (в данном случае -приложения Google Play), которая скачивается на мобильные устройства при посещении мошеннических или взломанных веб-сайтов, либо загружается другой вредоносной программой.
После того как жертва установит и запустит программу Android.ZBot. l.origin, она запрашивает через приложения Google Play доступ к функциям администратора зараженного смартфона или планшета и в случае успеха выводит на экран уведомление: «Ошибка! Приложение не было установлено, файл поврежден. [Удалить]». После того как пользователь нажмет кнопку [Удалить], будет воспроизведена анимация удаления и программа закроется. Однако на самом деле приложение удалено не будет.
Если же пользователь отказывается предоставить вредоносной программе необходимые полномочия, она тут же пытается украсть у него подробные сведения о его банковской карте, включая ее номер и срок действия, трехзначный код безопасности CVV, а также имя владельца. Для этого Android.ZBot. l. origin показывает жертве поддельное окно, имитирующее оригинальную форму ввода соответствующей информации настоящего приложения Google Play. Аналогичное окно данная вредоносная программа отображает и после получения требуемых функций администратора, однако лишь через некоторое время после установки на целевом устройстве.
Далее Android.ZBot. l. origin удаляет свой значок с экрана приложений, «прячась» от пользователя, и начинает контролировать системные события, связанные с загрузкой операционной системы. Тем самым троянская программа обеспечивает себе автоматический запуск при каждом включении инфицированного устройства. Как только вредоносная программа получает управление, она связывается с удаленным узлом, регистрирует на нем зараженный смартфон или планшет и ожидает дальнейших указаний злоумышленников. В зависимости от полученной директивы сервера Android.ZBot. l. origin выполняет следующие действия (реализует функции): получение входящих SMS-сообщений; выполнение USSD-команд; перехват SMS-сообщений; рассылка SMS-сообщений по определенным контактам пользователя; рассылка SMS-сообщений по фильтрам (всем, on-line, избранным, по операторам, по странам); отправка SMS-сообщения на любой номер; SMS-команды: allCMC - пересылка SMS-coo6щений с номера, на котором будет получена команда, на номер, с которого будет отправлена команда (если нет доступа к сети Интернет); send [НОМЕР] [ТЕКСТ] - SMS-команда для отправки SMS-сообщения с номера получателя; совершение телефонных звонков; получение текущих GPS-координат; воспроизведение специально сформированного диалогового окна поверх заданного приложения.
Функция по отправке SMS-сообщений на любые номера может быть использована преступниками для отправки сообщений на платные номера в целях хищения денежных средств с банковского счета пользователя. В связи с возможностью выполнения USSD-команд преступникам становятся доступны конфиденциальные данные жертвы, часть из которых может быть использована для хищения денег с существующих банковских аккаунтов. Функция по перехвату SMS-сообщений может позволить преступникам получать SMS-коды для проведения транзакций со счета жертвы.
Например, сразу после того как на управляющем сервере, находящемся под контролем преступников, регистрируется новое зараженное устройство, Android.ZBot.l.origin получает команду на проверку состояния баланса банковского счета пользователя. Если троянская программа обнаруживает наличие денег, она автоматически переводит заданную преступниками сумму на подконтрольные им банковские счета.
Некоторые коммерческие банки разрешают совершать переводы по SMS-сообщениям только получателям из белого списка, например, по шаблонам, созданным в Интернет-банкинге. Однако в белом списке всегда присутствует номер телефона, привязанный к банковскому счету, чтобы владелец мобильного устройства мог пополнять баланс телефона. В этом случае преступники переводят все деньги с банковского счета на номер мобильного телефона. Впоследствии преступники, обладая доступом к SMS-сообщениям, могут привязать электронный кошелек к этому телефону и сделать перевод денежных средств с баланса телефона на новый электронный кошелек, таким образом, обходя ограничения белого списка.
Таким образом, Android.ZBot.l.origin может получить доступ к управлению банковскими счетами владельцев мобильных Andmid-устройств и незаметно для пользователей похитить деньги при помощи специальных SMS-команд, предусмотренных тем или иным сервисом мобильного банкинга. При этом жертва не будет подозревать о краже, т. к. вредоносная программа перехватывает поступающие от коммерческих банков сообщения с проверочными кодами транзакций.
Как отмечают специалисты «Доктор Веб», часть вредоносного функционала Android.ZBot.l.origin (например, отправка SMS-сообщений) реализована вирусописателями в виде отдельной Linux-библиотеки с именем libandroid-v7-support.so, которая хранится внутри программного пакета троянца. Это обеспечивает троянской программе защиту от детектирования антивирусами и позволяет ей дольше находиться на зараженных устройствах необнаруженной.
Однако одна из главных особенностей Android.ZBot.l.origin заключается в его способности похищать логины и пароли для доступа к сервисам мобильного банкинга при помощи поддельных форм ввода, генерируемых по указанию управляющего сервера и предназначенных для создания видимости их принадлежности к тем или иным программам.
Данная атака представляет собой классический фишинг, особенности которого состоят в следующем. Вначале троянская программа получает от преступников команду, содержащую название целевого приложения, после чего с определенной периодичностью начинает проверять, запущена ли пользователем соответствующая программа. В конце 2015 г. данная троянская программа контролировала запуск нескольких десятков банковских приложений: m.sberbank.ivom; ru.sberbanksbbol; ru.raiffeisennews; m.vtb24.mobilebanking. android; PSB.Droid; com.idamob.tinkoff.android; rn.simpls.brs2 .mobbank; ru.kykyryza; com.smpbank.android; m.ftc.faktura.sovkombank; hu.eqlsoft.otpdirektru; m.ftc.faktura.sovkombank; rii.rocketbank.r2d2 и др.
Как только необходимая программа начинает работу, Android.ZBot.l. origin при помощи функции Web View формирует специальную веб-форму, содержимое которой загружает с удаленного узла.
В частности, преступники могут задать размер демонстрируемого окна, его внешний вид, включая заголовок и сопроводительный текст, количество полей для ввода данных, сопутствующие изображения и т. п. При этом выводимая на экран форма «привязывается» к атакуемому приложению: если потенциальная жертва фишинга попытается избавиться от показанного сообщения и вернуться к окну оригинальной программы при помощи аппаратной кнопки «Назад», Android.ZBot.l.origin перенаправит пользователя на главный экран операционной системы, закрыв само приложение. Скриншот примера фишингового окна показан на рис.
В результате у пользователя (жертвы) зараженного мобильного устройства может сложиться впечатление, что увиденный им ранее запрос в действительности принадлежит соответствующей программе, и ему все-таки необходимо ввести требуемую информацию. Как только троянская программа получает от жертвы ее логин и пароль, эти данные загружаются на удаленный узел, после чего преступники обретают полный контроль над учетными записями мобильного банкинга пользователей и могут управлять их счетами.
Другую модификацию вредоносной программы, получившую имя Android.ZBot.2.origin, вирусные аналитики «Доктор Веб» выявили в июне 2015 г. Данная версия троянской программы обладает аналогичным Android.ZBot. l.origin функционалом и отличается от своего предшественника лишь тем, что ее код зашифрован, чтобы усложнить обнаружение антивирусами. В ноябре 2015 н. Android.ZBot.2.origin был обнаружен специалистами «Доктор Веб» на 6238 смартфонах и планшетах, а с момента внесения его в вирусную базу, антивирусное программное обеспечение Dr. Web для Android зафиксировало 27 033 случая проникновения троянской программы на Andraid-устройства