Возвращение Faketoken: как защититься от трояна, атакующего пользователей Android-устройств

В феврале 2020 года компания BI.ZONE зафиксировала активизацию трояна Faketoken, с помощью которого злоумышленники похищают деньги у пользователей мобильных устройств на базе ОС Android. Вредоносное ПО Trojan-Banker.AndroidOS.Faketoken маскируется под приложение популярной торговой онлайн-площадки и ежедневно заражает более 2 000 жертв. Эксперты BI.ZONE рассказывают о происходящем и дают рекомендации по защите.

Что такое Faketoken?

В феврале 2020 года преступники запустили масштабную кампанию Faketoken, направленную на клиентов одной из самых популярных торговых онлайн-площадок в России. Троян хорошо знаком специалистам по кибербезопасности еще с 2012 года. Тогда его единственной функцией был перехват СМС-паролей, направляемых онлайн-банками, но за 8 лет эволюции у ВПО стало больше возможностей.

В отличие от первых версий, Faketoken образца 2020 года не только перехватывает СМС и передает их на сервер преступников, но и отображает поддельные формы для сбора данных банковских карт поверх легитимных приложений. В их число входят приложения банков и мобильных операторов, популярных торговых онлайн-площадок, порталов бронирования и покупки билетов, сервисов заказа такси и многие другие.

Также последняя версия трояна отличается тем, что она не позволяет антивирусным программам убрать себя из системы — при любой попытке удалить ВПО с помощью антивируса, Faketoken его сворачивает.

Специалисты BI.ZONE связывают новое появление трояна с массовым переходом россиян на удаленную работу. Люди сидят дома, активность онлайн-торговли растет — естественно, этим пользуются злоумышленники.

В настоящее время в ботнет Faketoken входит более 10 000 устройств. Для продолжения распространения вредоносного ПО злоумышленники ежедневно регистрируют до 7 новых фишинговых доменов.

У меня Android! Я могу стать жертвой?

Да. Заражение устройства обычно происходит довольно просто:

1. Пользователь публикует на популярной торговой онлайн-площадке объявление.

2. На указанный там номер телефона приходит СМС или сообщение в популярном мессенджере со ссылкой на фишинговую страницу. При этом текст сообщения и поддельная страница содержат информацию из настоящего объявления: имя пользователя и использованные формулировки, а также цену и изображение товара.

<p><i> Преступники обращаются к пользователю по имени, чтобы усыпить его бдительность<span>​</span></i></p>

Преступники обращаются к пользователю по имени, чтобы усыпить его бдительность

3. Пользователь переходит по ссылке и скачивает установочный. apk файл, название и значок которого имитируют его принадлежность к онлайн-площадке.

<p><i>Злоумышленники подробно объясняют пользователю, что нужно сделать для установки вредоносного приложения<span>​</span></i></p>

Злоумышленники подробно объясняют пользователю, что нужно сделать для установки вредоносного приложения

4. Жертва запускает приложение, после чего вредоносное ПО показывает поддельное сообщение об ошибке.

<i>​Приложение побуждает пользователя предоставить ему права Службы поддержки специальных возможностей</i>
​Приложение побуждает пользователя предоставить ему права Службы поддержки специальных возможностей

5. Получив запрашиваемое, троян выдает себе права администратора, после чего сворачивает все открытые окна и удаляет значок приложения из списка установленных. Зараженное устройство внешне выглядит также, как и до установки — как будто ничего и не происходило.

Однако троян уже внедрился в систему и теперь хищение денег жертвы — лишь вопрос времени. Faketoken отслеживает активности на устройстве, и как только пользователь заходит в подходящее приложение (у вредоносного ПО есть свой список), троян под вымышленным предлогом запрашивает данные его банковской карты.

<p><i>Портал бронирования, сервис заказа такси, известный банк — троян заранее определяет себе цели и работает только по таким приложениям<span>​</span></i></p>

Портал бронирования, сервис заказа такси, известный банк — троян заранее определяет себе цели и работает только по таким приложениям

Распространенный способ верификации «списываем и возвращаем 1 рубль для подтверждения» знаком многим пользователям, поэтому просьба о дополнительной верификации по банковской карте может не насторожить владельца устройства. Троян считывает введенные пользователем данные карты и перехватывает СМС-пароли от банка. Так у преступников оказывается вся необходимая информация, чтобы списать денежные средства со счета жертвы. Когда карта кредитная или дебетовая с возможностью овердрафта — пользователь может не только потерять свои деньги, но и оказаться в долгах. В самом пессимистичном сценарии злоумышленники могут дотянуться и до других счетов жертвы в банке.

Что делать, если я загрузил троян? Теперь украдут все деньги?

Нет, деньги еще можно спасти — для этого нужно удалить вредоносное ПО. Однако Faketoken — непростой троян, он активно препятствует вашему антивирусу и не дает удалить себя в обычном режиме работы устройства.

Антивирус не может справиться с трояном — имитируя действия пользователя, Faketoken просто сворачивает окно программы

Но обойти эту функциональность можно — достаточно перевести Android в безопасный режим и после этого спокойно удалить вредоносное приложение. На каждом устройстве это осуществляется по-разному — например, на некоторых смартфонах Samsung для перевода в безопасный режим необходимо перезагрузить телефон и при включении зажать клавишу «Громкость вниз». Информацию о том, как запустить ваше устройство в безопасном режиме, можно найти на сайте его производителя.

В безопасном режиме весь процесс удаления трояна занимает меньше минуты

А можно все-таки не допустить установки трояна?

Конечно. Придерживайтесь простых правил, и вероятность заразить свое устройство и потерять деньги будет стремиться к нулю:

  • Не переходите по подозрительным ссылкам и не скачивайте файлы из неизвестных источников.

  • Устанавливайте приложения только из официальных магазинов, таких как Google Play.

  • Не отключайте защитный сервис Google Play Protect.
  • Используйте антивирусное ПО с возможностью автоматического обновления антивирусных баз. Тогда программа распознает троян еще до установки.

  • Лучше не используйте свой основной номер телефона для размещения объявлений на онлайн-площадках. Купите для этого отдельную сим-карту.

  • Заведите специальную банковскую карту для онлайн-платежей, с минимальным кредитным лимитом и небольшим остатком по счету — это может снизить ваши потери даже в том случае, если злоумышленники получат данные карты.

Мобильные устройства на ОС Android — самые популярные в России и в мире. Оставайтесь бдительны и расскажите близким, как защитить их устройства, чтобы предотвратить еще одну «эпидемию» — Faketoken.

44
Начать дискуссию