Злоумышленники выудили через Google Play пароли от "мобильного банкинга" украинцев

Владимир Кондрашов 20 февраля 2018 16:10

bank.jpg (54 KB)

За 13 суток на Google Play вредоносное мобильное приложение «Универсальный мобильный банкинг», о котором писал наш портал, похитило около 5500 паролей от систем «мобильного банкинга», было заражено не менее 6000 смартфонов, скомпрометировано более 2000 банковских карт. За вредоносным приложением стояла группа украино- и русскоговорящих лиц.

Об этом говорится в отчете украинской компании CyS-Centrum, специализирующейся на вопросах кибербезопасности, передает InternetUA.

Специалисты отмечают, что, несмотря на удаление приложения вчера около 22:00, скомпрометированные данные продолжали поступать на сервер злоумышленников, как минимум, вплоть до полудня сегодняшнего дня.

– Исходя из относительной популярности приложения в довольно краткие сроки, расчет злоумышленников был сделан на то, что в этом приложении объединен функционал «мобильного банкинга» сразу нескольких финучреждений (ПриватБанк, Ощадбанк, ОТП Банк, Альфа-Банк, Райффайзен Банк Аваль, – говорится в отчете. – Вместе с тем, опытный пользователь обратил бы внимание на тот факт, что приложение после установки требует указать данные держателей карт, что, само по себе, уже подозрительно.

В украинской компании сконцентрировались на извлечении network-based индикаторов компрометации (домены, IP-адреса):

C2URL: hxxps://ad1adv[.]ru/api/input.php

C2Domain: ad1adv[.]ru (создан 2017-05-07) // REG-RU [RU]

C2IP: 212.224.118[.]73 // Frankfurt Am Main - First Colo Gmbh (DE)

C2Certificate (SHA1): AB:65:C6:42:F6:2F:BA:C1:F1:76:7F:21:81:8D:02:E8:D9:51:C8:D2 (Begins On: 02/07/18) // COMODO

Около 22:00 19.02.2018 вредоносное приложение было удалено из Google Play. Специалисты по кибербезопасности считают, что получилось это благодаря тому, что Google Play получил множество запросов из разных источников.

Удаление приложения с площадки, впрочем, не означает ликвидацию угрозы:

– Так как количество установок приложения составляло от 5 000 до 10 000, сама угроза, как оказалось, активна с 07.02.2018, а функционал программы позволяет «воровать» сообщения, данные держателей карт (PAN, CVV/CVC, EXP), а также номер телефона и пароль для доступа в мобильный банкинг, единственным эффективным способом полноценной ликвидации угрозы было получение информации о скомпрометированных данных клиентов и их передача вышеупомянутым банкам для отработки, – сообщают в CyS-Centrum.

В результате исследования угрозы украинской компанией была получена информация о жертвах, чьи данные в полном составе были переданы на сервер злоумышленникам и могли бы быть использованы для последующего (не считая уже осуществленного) мошенничества, итогом которого было бы хищение денежных средств и нанесения материального и морального ущерба клиентам банков.

Примеры данных, которые оказались в распоряжении злоумышленников:

p5.png (26 KB)

p6.png (17 KB)

p7.png (14 KB)

– Очевидно, что злоумышленники времени зря не теряли и успели «поработать» с клиентами, используя полученные в результате махинаций данные. По всей видимости, работала организованная группа русско- и украиноязычных лиц, – говорится в отчете, со ссылкой на комментарии к картам от злоумышленников.

p8.png (78 KB)

За время существования угрозы (угроза активна с 07.02.2018 – вывод сделан на основании времени первой записи, свидетельствующей о компрометации данных держателей карт), по данным CyS-Centrum, было заражено 6566 устройств, скомпрометировано 2016 карт и 5486 паролей.