Новий вірус на Android краде банківські дані — як захиститися

Аналітики Group-IB повідомили про нове шкідливе ПЗ для Android під назвою Wonderland, яке націлене на банківські дані користувачів. За попередніми оцінками, до його розповсюдження може бути причетне угруповання TrickyWonders, що координує дії через Telegram.

Про це пише Главком.

Як працює Wonderland і чому його складно помітити

Як зазначають фахівці, Wonderland відрізняється від старих схем, коли людей змушували вручну встановлювати підозрілі APK-файли. Тепер шкідливий код вбудовують у зовні звичайні застосунки, які виконують роль так званих "дропперів".

Після інсталяції програма показує повідомлення про "необхідне оновлення", і саме під виглядом такого апдейту на пристрій потрапляє основний компонент вірусу. При цьому, за даними експертів, зараження може відбутися навіть без активного підключення до інтернету — зловмисники ховають код у звичайних зображеннях або маскують його під сервіси Google Play.

Після активації Wonderland отримує контроль над SMS-повідомленнями. Це дає змогу перехоплювати OTP-коди та одноразові паролі, які використовують банківські застосунки. Також шкідлива програма здатна виконувати USSD-команди: оператори вірусу можуть у реальному часі керувати діями на смартфоні, перевіряти баланс і переказувати кошти.

У Group-IB підкреслюють, що модель розповсюдження Wonderland схожа на добре організований "кримінальний бізнес" із розподілом ролей між розробниками, розповсюджувачами та тими, хто безпосередньо виводить гроші.

Щоб зменшити ризик зараження, фахівці радять встановлювати застосунки лише з офіційного Google Play, обережно ставитися до запитів на "оновлення" всередині сторонніх програм, а також уважно перевіряти дозволи — особливо коли йдеться про доступ до SMS та спеціальних можливостей. Додатково рекомендують використовувати перевірене антивірусне ПЗ для мобільних пристроїв.

Нагадаємо, у Європі виявили новий різновид шкідливого ПЗ для Android, здатний потай перехоплювати дані із зашифрованих чатів і банківських застосунків. Найбільший ризик стосується користувачів, які встановлюють програми зі сторонніх APK-файлів, минаючи Google Play.

Також ми писали, що через мільярдну аудиторію Android-пристроїв платформа давно стала привабливою мішенню для кіберзлочинців. Заражений смартфон може не лише сповільнюватися й показувати нав'язливу рекламу, а й наражати на небезпеку особисті дані власника.