Дарья Верестникова в «Ведомостях» о росте технологических атак на граждан

За восемь месяцев 2024 г. «Лаборатория Касперского» зафиксировала более 30 млн атак на Android-устройства, что почти в 2,5 раза больше по сравнению с аналогичным периодом 2023 г. Об этом на конференции IT press meeting «Кода безопасности» рассказал Игорь Кузнецов, руководитель Kaspersky GReAT (глобальный центр исследований и анализа угроз «Лаборатории Касперского»). В общей сложности было атаковано в полтора раза больше пользователей, чем годом ранее, уточнил он.

Количество атакованных пользователей компания не раскрыла. Но рост количества мобильных атак подтвердили другие опрошенные «Ведомостями» компании в сфере информационной безопасности (ИБ). Число атак действительно увеличилось, подтверждает руководитель департамента расследований T.Hunter, эксперт рынка «Национальной технологической инициативы» (НТИ) SafeNet Игорь Бедеров. По данным руководителя группы защиты инфраструктурных IT-решений «Газинформсервиса» Сергея Полунина, рост атак был даже значительнее, в 5 раз, и таких темпов, как сейчас, не было никогда. Скорее всего, причина связана с доступностью знаний по созданию вредоносного ПО, а также растущей популярностью все новых мобильных сервисов, под которые мимикрирует такой софт, считает он.

От Lianspy до Necro

Перечень киберугроз для владельцев Android-устройств в России достаточно масштабен, продолжил Кузнецов. Пользователи часто сталкиваются cо скам-приложениями, с помощью которых злоумышленники выманивают деньги жертв, или с загрузчиками, которые устанавливают на зараженные девайсы другие зловредные приложения. Также среди распространенных приложений — банковские троянцы (программы, которые внешне выглядят как легальные программные продукты, но при запуске совершают вредоносные действия. — «Ведомости»), троянцы-шпионы и другие предустановленные вредоносы, перечисляет Кузнецов.

В начале августа «Ведомости» со ссылкой на специалистов «Лаборатории Касперского» писали об обнаружении трояна, который используется для кибершпионажа и нацелен именно на владельцев Android-устройств в России. Eму присвоили название LianSpy. По данным «Лаборатории Касперского», шпионаж мог начаться с середины 2021 г., но обнаружение вредоноса было затруднено, так как атакующие активно скрывают следы. По данным компании, такой шпионаж носил не массовый, а точечный характер.

В качестве примера новых мобильных угроз Кузнецов привел троянца Necro, который проник в магазин приложений Google Play, а также распространялся на сторонних площадках. Necro заразил различные популярные приложения, в том числе моды (дополнения) к играм. В результате действий троянца жертвами могли стать несколько миллионов человек по всему миру (исследователи примерно оценивают потенциальное количество пострадавших от зловреда пользователей по общему количеству скачиваний зараженных приложений из Google Play), говорится в отчете «Лаборатории Касперского», проведенном в конце августа 2024 г.

Как выяснили эксперты «Лаборатории Касперского», на зараженном смартфоне Necro загружает модули, которые показывают на устройстве рекламу в невидимых окнах и прокликивают ее, скачивают исполняемые файлы, устанавливают на телефон сторонние приложения, открывают в невидимых окнах произвольные ссылки, а также могут оформлять платные подписки. Кроме того, загружаемые модули дают злоумышленникам возможность пересылать интернет-трафик через девайс жертвы. Это позволяет атакующим якобы от лица пользователя посещать нужные им ресурсы, например запрещенные, а также использовать зараженный гаджет как часть прокси-ботнета.

Особенность Necro в том, что закладка была встроена в программы, одна из которых имела более 10 млн скачиваний в доверенном источнике — Google Play, рассказал Кузнецов. Троянец просуществовал на Google Play несколько месяцев и был удален из магазина только после того, как «Лаборатория Касперского» уведомила Google о вредоносном коде.

Фейки и дипфейки

Основные угрозы связаны с вирусами, которые собирают данные о мобильном устройстве, а также самостоятельно загружают новое ПО в смартфон, говорит Полунин. Наиболее распространены по-прежнему телефонные мошенники, которые звонят пожилым людям и предлагают бесплатное медобследование, для которого им нужно пройти регистрацию или установить ПО типа Teamviewer для удаленного доступа, рассказывает Бедеров. Пенсионер ставит это ПО, предоставляет ему доступ к своему телефону и в дальнейшем, управляя дистанционно гаджетом, мошенник ворует деньги, получает иные несанкционированные доступы и распространяет вредоносы, перечислил эксперт.

Бурный рост числа атакованных владельцев Android-устройств происходит на фоне скачивания бесплатных сервисов для обхода блокировок из ненадежных источников, рассуждает заместитель директора Центра компетенций НТИ «Технологии доверенного взаимодействия» на базе ТУСУРа Руслан Пермяков. В последнее время Роскомнадзор отчитывался о масштабных блокировках таких сервисов, что вынудило пользователей обращаться на неофициальные площадки и подвергать себя риску, говорит он.

В России с началом волны санкций и удалением приложений из официальных магазинов наблюдается кратный рост атак, связанных с фейковыми мобильными приложениями, отмечает автор продукта Solar appScreener Даниил Чернов. Многие из них маскируются под банковские и финансовые приложения, которые были удалены из западных магазинов. Eсли банк находится под санкциями, эксперт Solar рекомендует скачивать приложение в том случае, если ссылка получена в официальном чате банка, а еще лучше позвонить на горячую линию и уточнить, действительно ли это легитимное приложение банка, а не подделка.

Популярностью у киберпреступников действительно пользуется вредоносное ПО, нацеленное именно на финансовую выгоду, в частности RAT (remote access trojan) и стилеры, подтверждают эксперты Threat Intelligence F.A.C.C.T. Доступ к таким зловредам часто происходит через боты/каналы в Telegram, часто в рамках мошеннических партнерских программ.

В 2024 г. мобильные пользователи, а именно клиенты банков, чаще сталкивались с атаками, где использование вредоносного ПО сочеталось с технологиями социальной инженерии, обращает внимание коммерческий директор SafeTech, эксперт рынка НТИ SafeNet Дарья Верестникова. По статистике ЦБ, атаки с использованием фишинговых рассылок выросли более чем на 20% в сравнении со средним числом атак за последние четыре квартала. С помощью утечек информации о гражданах России, в том числе номеров телефонов, злоумышленники могут строить корреляционные связи между родственниками, местом работы, местом лечения и т. д., предупреждает руководитель TI-департамента экспертного центра безопасности Positive Technologies Денис Кувшинов. Это позволяет успешнее проводить атаки с использованием социальной инженерии и быть более убедительными, заставляя жертву выполнить требуемые действия.

Также в 2024 г. особое распространение получили схемы типа FakeBoss, когда мошенники создают дипфейки изображения и голоса и мимикрируют под руководителей, а затем пытаются выманить данные у рядовых сотрудников, отмечает начальник отдела по ИБ «Кода безопасности» Алексей Коробченко. Основная цель злоумышленников — попасть во внутреннюю корпоративную IT-инфраструктуру и нанести ей максимальный урон, но нередко FakeBoss используется и для атак непосредственно на пользователя, чтобы похитить его данные, в первую очередь финансовые, говорит он.