Как банковские троянцы обходят двухфакторную аутентификацию

Двухфакторную аутентификацию с помощью SMS уже достаточно давно используют подавляющее большинство банков. Конечно, эта защита лучше, чем ничего, но она не является непреодолимой: исследователи предупреждали, что ее несложно обойти, еще лет десять назад, когда эта мера защиты только набирала популярность.

Увы, разработчики банковских троянцев довольно быстро освоили методы обхода одноразовых паролей, присылаемых в SMS. Вот как это работает в современных мобильных банковских троянцах:

1. Пользователь запускает подлинное банковское приложение на своем смартфоне.

2. Троянец определяет, приложение какого банка используется, и перекрывает его интерфейс своим, показывая пользователю поддельный экран. Внешне поддельное приложение максимально похоже на настоящее.

Рассказали вот, почему главной мобильной угрозой сейчас являются банковские трояны: https://t.co/oVZe2wkwDT pic.twitter.com/HCnwWwjla5

— Kaspersky Lab (@Kaspersky_ru) September 30, 2015

3. На поддельном экране пользователь вводит свои логин и пароль.

4. Троянец отправляет эти логин и пароль злоумышленникам — теперь последние могут использовать их для входа в банковское приложение.

5. Злоумышленники инициализируют перевод некоторой суммы денег на свой счет.

6. На смартфон пользователя приходит SMS с одноразовым паролем.

7. Троянец перехватывает пароль из SMS и отправляет его злоумышленникам.

Вы можете десять раз подряд выговорить "двухфакторная аутентификация"? И мы нет :( http://t.co/whFhIx5Cpb #security #безопасность

— Kaspersky Lab (@Kaspersky_ru) June 10, 2014

8. При этом на смартфоне SMS скрывается — пользователь не видит сообщение и ни о чем не подозревает, пока не проверит список транзакций.

9. Используя перехваченный одноразовый пароль, преступники подтверждают свою транзакцию и получают деньги на счет.

Едва ли будет преувеличением сказать, что все современные мобильные банковские троянцы умеют обходить двухфакторную аутентификацию, используя приведенный выше сценарий. У их создателей просто нет выбора — поскольку почти все банки используют эту меру защиты, без умения ее обходить деньги не украдешь.

Подобных вредоносных приложений существует гораздо больше, чем принято считать. Только за последние месяц-полтора наши эксперты опубликовали целых три исследования, посвященных трем разным семействам банковских троянцев. Одно опаснее другого:

1. Asacub — троянец-шпион, со временем обучившийся и воровству денег из мобильных банков.

Коллеги обнаружили банковский троянец Asacub, атакующий пользователей Android-устройств: https://t.co/OzaLCtkBcZ pic.twitter.com/kaZ4bWC2Sm

— Kaspersky Lab (@Kaspersky_ru) January 20, 2016

2. Acecard — крайне насыщенный функциями троянец, способный перекрывать своими фишинговыми экранами приложения около 30 разных банков. Данный тренд подхватили и прочие зловреды: если изначально банковские троянцы создавались под какой-то конкретный банк или платежную систему, то теперь многие из них умеют имитировать сразу несколько приложений.

Рассказываем про важное: Acecard — один из самых продвинутых банковских троянов: https://t.co/gHB8P0qYnn pic.twitter.com/YH6QHQdZMq

— Kaspersky Lab (@Kaspersky_ru) February 24, 2016

3. Banloader — кросс-платформенный троянец бразильского происхождения, способный запускаться как на компьютерах, так и на мобильных устройствах.

В целом надеяться на то, что двухфакторная аутентификация с помощью одноразовых паролей в SMS защитит от банковских троянцев, чрезвычайно наивно. Как было сказано выше, уже долгие годы она от них не защищает, и меняться ситуации как-то не с чего. Поэтому требуются дополнительные меры безопасности.

Базовая мера безопасности, не гарантирующая 100-процентной защиты, — ставить приложения только из официальных источников. Это примерно как не пить воду из-под крана, а сначала ее профильтровать: некоторое количество вредных веществ все равно остается, но хотя бы не столько, сколько было изначально. Проблема в том, что как раз от самых опасных «примесей» это, скорее всего, не защитит.

Поэтому более надежное средство, которое обеспечит вам уверенность в том, что устройство не заражено, — это хорошая антивирусная защита. Стоит использовать как минимум базовую версию Kaspersky Internet Security — она бесплатна — и периодически запускать сканирование устройства. Полная версия удобнее, поскольку она позволяет обнаруживать заразу на лету, но за нее придется заплатить.