Возвращение Faketoken: как защититься от трояна, атакующего пользователей Android-устройств
В феврале 2020 года компания BI.ZONE зафиксировала активизацию трояна Faketoken, с помощью которого злоумышленники похищают деньги у пользователей мобильных устройств на базе ОС Android. Вредоносное ПО Trojan-Banker.AndroidOS.Faketoken маскируется под приложение популярной торговой онлайн-площадки и ежедневно заражает более 2 000 жертв. Эксперты BI.ZONE рассказывают о происходящем и дают рекомендации по защите.
Что такое Faketoken?
В феврале 2020 года преступники запустили масштабную кампанию Faketoken, направленную на клиентов одной из самых популярных торговых онлайн-площадок в России. Троян хорошо знаком специалистам по кибербезопасности еще с 2012 года. Тогда его единственной функцией был перехват СМС-паролей, направляемых онлайн-банками, но за 8 лет эволюции у ВПО стало больше возможностей.
В отличие от первых версий, Faketoken образца 2020 года не только перехватывает СМС и передает их на сервер преступников, но и отображает поддельные формы для сбора данных банковских карт поверх легитимных приложений. В их число входят приложения банков и мобильных операторов, популярных торговых онлайн-площадок, порталов бронирования и покупки билетов, сервисов заказа такси и многие другие.
Также последняя версия трояна отличается тем, что она не позволяет антивирусным программам убрать себя из системы — при любой попытке удалить ВПО с помощью антивируса, Faketoken его сворачивает.
Специалисты BI.ZONE связывают новое появление трояна с массовым переходом россиян на удаленную работу. Люди сидят дома, активность онлайн-торговли растет — естественно, этим пользуются злоумышленники.
В настоящее время в ботнет Faketoken входит более 10 000 устройств. Для продолжения распространения вредоносного ПО злоумышленники ежедневно регистрируют до 7 новых фишинговых доменов.
У меня Android! Я могу стать жертвой?
Да. Заражение устройства обычно происходит довольно просто:
1. Пользователь публикует на популярной торговой онлайн-площадке объявление.
2. На указанный там номер телефона приходит СМС или сообщение в популярном мессенджере со ссылкой на фишинговую страницу. При этом текст сообщения и поддельная страница содержат информацию из настоящего объявления: имя пользователя и использованные формулировки, а также цену и изображение товара.
Преступники обращаются к пользователю по имени, чтобы усыпить его бдительность
3. Пользователь переходит по ссылке и скачивает установочный. apk файл, название и значок которого имитируют его принадлежность к онлайн-площадке.
Злоумышленники подробно объясняют пользователю, что нужно сделать для установки вредоносного приложения
4. Жертва запускает приложение, после чего вредоносное ПО показывает поддельное сообщение об ошибке.
5. Получив запрашиваемое, троян выдает себе права администратора, после чего сворачивает все открытые окна и удаляет значок приложения из списка установленных. Зараженное устройство внешне выглядит также, как и до установки — как будто ничего и не происходило.
Однако троян уже внедрился в систему и теперь хищение денег жертвы — лишь вопрос времени. Faketoken отслеживает активности на устройстве, и как только пользователь заходит в подходящее приложение (у вредоносного ПО есть свой список), троян под вымышленным предлогом запрашивает данные его банковской карты.
Портал бронирования, сервис заказа такси, известный банк — троян заранее определяет себе цели и работает только по таким приложениям
Распространенный способ верификации «списываем и возвращаем 1 рубль для подтверждения» знаком многим пользователям, поэтому просьба о дополнительной верификации по банковской карте может не насторожить владельца устройства. Троян считывает введенные пользователем данные карты и перехватывает СМС-пароли от банка. Так у преступников оказывается вся необходимая информация, чтобы списать денежные средства со счета жертвы. Когда карта кредитная или дебетовая с возможностью овердрафта — пользователь может не только потерять свои деньги, но и оказаться в долгах. В самом пессимистичном сценарии злоумышленники могут дотянуться и до других счетов жертвы в банке.
Что делать, если я загрузил троян? Теперь украдут все деньги?
Нет, деньги еще можно спасти — для этого нужно удалить вредоносное ПО. Однако Faketoken — непростой троян, он активно препятствует вашему антивирусу и не дает удалить себя в обычном режиме работы устройства.
Антивирус не может справиться с трояном — имитируя действия пользователя, Faketoken просто сворачивает окно программы
Но обойти эту функциональность можно — достаточно перевести Android в безопасный режим и после этого спокойно удалить вредоносное приложение. На каждом устройстве это осуществляется по-разному — например, на некоторых смартфонах Samsung для перевода в безопасный режим необходимо перезагрузить телефон и при включении зажать клавишу «Громкость вниз». Информацию о том, как запустить ваше устройство в безопасном режиме, можно найти на сайте его производителя.
В безопасном режиме весь процесс удаления трояна занимает меньше минуты
А можно все-таки не допустить установки трояна?
Конечно. Придерживайтесь простых правил, и вероятность заразить свое устройство и потерять деньги будет стремиться к нулю:
Не переходите по подозрительным ссылкам и не скачивайте файлы из неизвестных источников.
Устанавливайте приложения только из официальных магазинов, таких как Google Play.
- Не отключайте защитный сервис Google Play Protect.
Используйте антивирусное ПО с возможностью автоматического обновления антивирусных баз. Тогда программа распознает троян еще до установки.
Лучше не используйте свой основной номер телефона для размещения объявлений на онлайн-площадках. Купите для этого отдельную сим-карту.
- Заведите специальную банковскую карту для онлайн-платежей, с минимальным кредитным лимитом и небольшим остатком по счету — это может снизить ваши потери даже в том случае, если злоумышленники получат данные карты.
Мобильные устройства на ОС Android — самые популярные в России и в мире. Оставайтесь бдительны и расскажите близким, как защитить их устройства, чтобы предотвратить еще одну «эпидемию» — Faketoken.