Kaspersky Security Bulletin

Финансовые киберугрозы в 2013 году. Часть 2: вредоносное ПО

  1. Финансовые киберугрозы в 2013 году. Часть 1: фишинг
  2. Финансовые киберугрозы в 2013 году. Часть 2: вредоносное ПО

Цифры:

Согласно данным, полученным от защитных подсистем продуктов «Лаборатории Касперского», в 2013 году количество атак финансовой направленности, будь то фишинг или атаки с использованием вредоносного ПО, заметно увеличилось.

Основные цифры, полученные в ходе исследования, выглядят следующим образом:

Вредоносное ПО

  • Число кибератак с применением вредоносных программ, направленных на похищение финансовых данных в 2013 году выросло на 27,6% и достигло 28,4 миллиона. Количество атакованных пользователей составило 3,8 миллиона человек – рост за год на 18,6%.
  • Доля пользователей, столкнувшихся с финансовыми атаками с применением вредоносного ПО, в 2013 году составило 6,2% от общего числа атакованных. По сравнению с 2012-м годом этот показатель вырос на 1,3 процентных пункта
  • Среди вредоносного ПО финансовой направленности активнее всего развивались инструменты, связанные с криптовалютой Bitcoin, однако главенствующую роль по-прежнему играет ПО для кражи денег с банковских счетов, например, вредоносная программа Zeus.

Мобильное вредоносное ПО

  • В коллекции «Лаборатории Касперского» количество вредоносных Android-приложений, предназначенных для похищения финансовых данных, за второе полугодие 2013 года выросло почти в 5 раз, с 265 образцов в июне до 1321 – в декабре года.
  • В 2013 году эксперты «Лаборатории Касперского» впервые обнаружили троянские программы для Android, способные похищать деньги с банковских счетов атакованных пользователей.

Далее в тексте исследования мы рассмотрим подробнее динамику атак, а также их географию и список целей.

Финансовое вредоносное ПО

Программы для кражи электронных денег и финансовой информации – это один из самых сложных видов вредоносного ПО. Этот класс программ позволяет киберпреступникам быстро конвертировать свои усилия в доход, поэтому злоумышленники не жалеют сил и средств на создание финансовых троянцев и бэкдоров. По наблюдениям экспертов «Лаборатории Касперского», авторы вредоносного ПО готовы платить десятки тысяч долларов за информацию о новых уязвимостях – только бы обойти защитные продукты и превзойти конкурентов по преступному цеху.

В 2013 году решения «Лаборатория Касперского» отразили 28,4 миллиона атак с использованием финансового вредоносного ПО, что на 27,6% больше, чем годом ранее. Количество пользователей, атакованных с помощью подобного вредоносного ПО также выросло – на 18,6%, до 3,8 миллиона. В исследовании учитывались данные об атаках с помощью банковских троянских программ, клавиатурных шпионов, ПО для похищения виртуальных кошельков Bitcoin и загрузки программ для генерации этой виртуальной валюты.

Вклад программ для кражи и мошенничества в общую массу вредоносных атак относительно невелик – на их долю в 2013 году пришлось 0,44% всех атак, однако это на 0,12 п. п. больше, чем годом ранее. Когда дело касается числа пользователей, доля финансовых киберугроз значительнее: среди людей, подвергшихся атакам вредоносного ПО всех типов в минувшем году, 6,2% столкнулись с той или иной «финансовой» разновидностью опасных программ. По сравнению с 2012-м годом этот показатель вырос на 1,3 п. п.

Атакованные пользователи в 2013 г.

В 2013 году вредоносное ПО финансовой специализации затронуло 6,2% пользователей от числа всех людей, ставших целями вредоносных программ

Между числом атак и количеством атакованных пользователей отмечается слабая корреляция. В период 2012-2013 годов ежемесячное число атак менялось на десятки процентов. Весной 2012 года оно сильно упало и вернулось на прежние позиции только осенью 2013-го, однако количество атакованных пользователей не было подвержено таким резким колебаниям и практически ежемесячно показывало положительную динамику.

Финансовое вредоносное ПО: атаки и атакованные пользователи в 2012-2013 гг.

Число пользователей, атакованных финансовым вредоносным ПО, росло в течение 2013 года

Снижение числа атак весной 2012 года может быть связано с прекращением деятельности нескольких групп киберпреступников. В свою очередь всплеск атак во второй половине 2013 года можно объяснить несколькими факторами: злоумышленники обнаружили новые опасные уязвимости в ПО Oracle Java, что позволило нарастить число атак. Также в связи с ростом курса Bitcoin под конец года активизировались программы, ворующие электронные кошельки с этой криптовалютой.

Границы угрозы: география атак и атакованных пользователей

Среди стран, чаще всего подвергавшихся атакам финансового вредоносного ПО в 2012-2013 годах, лидирует Россия с более чем 37% атак. Доля ни одной другой страны за рассматриваемый период не преодолела даже десятипроцентный рубеж.

Наиболее часто атакуемые страны

На топ-10 стран пришлось примерно 70% всех финансовых атак за два года

Россия также стала лидером по росту атак за год. Однако число пользователей, атакованных в стране в течение 2013 года несколько уменьшилось, тогда как в большинстве других стран из первой десятки отмечался рост.

География атак с помощью финансового вредоносного ПО

География пользователей, атакованных с помощью финансового вредоносного ПО

Число пользователей, атакованных финансовым вредоносным ПО, за год выросло в 8 из 10 стран-лидеров по числу атакованных

Пользователи из России рисковали стать жертвой финансовых атак чаще всего – в 2013 году каждого человека, заинтересовавшего финансовых киберзлоумышленников, атаковали в среднем 14,5 раз. Среди жителей США этот показатель лишь немногим превысил 8.

Страна Число атак с помощью финансового вредоносного ПО Динамика за год Число атак в среднем на пользователя
Российская Федерация 11 474 000+ 55,28% 14,47
Турция 899 000+ 156,41% 9,22
США 1 529 000+ -22,76% 8,08
Вьетнам 1 473 000+ 65,08% 6,43
Казахстан 517 000+ -26,88% 6,15
Италия 593 000+ -32,05% 5,61
Индия 1 600 000+ 65,03% 4,47
Украина 401 000+ -7,54% 4,07
Германия 747 000+ -0,73% 3,9
Бразилия 553 000+ -21,02% 3,87

Среднее число атак, которое пришлось на каждого жителя страны, ставшего целью вредоносного финансового ПО в 2013 году

Среди стран-лидеров по числу кибератак финансовый подвид онлайн-угроз встречался чаще всего в Турции и Бразилии. Доля пользователей, подвергнувшихся финансовым атакам в этих странах, составила соответственно 12% и 10,5% от общего числа пользователей, столкнувшихся с вредоносными программами в 2013 году. В России этот показатель составил чуть больше 6%, а в США – лишь каждый тридцатый из числа атакованных столкнулся с той или иной финансовой киберугрозой.

Страна Количество пользователей, атакованных с помощью финансового вредоносного ПО Динамика за год % от пользователей, атакованных любым вредоносным ПО
Турция 97 000+ 37,05% 12,01%
Бразилия 143,000+ 29.28% 10.48%
Казахстан 84 000+ 5,11% 8,46%
Италия 105,000+ 20.49% 8.39%
Вьетнам 229 000+ 31,77% 7,4%
Индия 358 000+ 59,1% 6,79%
Российская Федерация 792 000+ -4,99% 6,16%
Украина 98 000+ 22,73% 6,08%
Германия 191 000+ 43,22% 5,52%
США 189 000+ 22,30% 3,1%

Пользователи, атакованные финансовым ПО в 2013 году, и их доля среди жителей стран, столкнувшихся с любыми вредоносными программами

Если взглянуть на мировую карту, то видно, что доля финансовых атак относительно мала в Китае, США, Канаде и многих европейских государствах. Страны-лидеры по этому показателю разбросаны по всему миру, среди «отличившихся» – Монголия, Камерун, Турция и Перу.

Процент пользователей, столкнувшихся с «финансовыми» вредоносными атаками, в общем объеме пользователей, атакованных с помощью любого вредоносного ПО.

Знай своего врага: виды финансового вредоносного ПО

Чтобы понять, какое вредоносное ПО, нацеленное на финансовые активы пользователей, определило ландшафт угроз в минувшем году, эксперты «Лаборатории Касперского» разделили инструменты киберпреступников на категории. Для целей данного исследования было отобрано более тридцати самых заметных образцов вредоносного ПО, используемого для финансовых атак. Выборка была поделена на четыре группы в зависимости от функций программ и их целей: банкеры, клавиатурные шпионы, инструменты для кражи Bitcoin-кошельков и установщики ПО для генерации самих Bitcoin.

Самая многочисленная группа – банкеры. Этот тип включает троянцы и бэкдоры для кражи денег со счетов, либо для получения информации, необходимой для кражи. Среди прочего вредоносного ПО сюда попали известные Zbot, Carberp и SpyEye.

Атаки с использованием финансового вредоносного ПО в 2013 г.

Представители второй категории – клавиатурные шпионы (кейлоггеры), предназначенный для воровства конфиденциальной информации, в том числе финансового характера. Зачастую банковские троянцы предоставляют аналогичные функции и популярность клавиатурных шпионов как самостоятельных инструментов идет на убыль. Наиболее популярными среди них являются KeyLogger, Ardamax.

Два оставшихся типа вредоносного ПО связаны с криптовалютой Bitcoin, ставшей в последние пару лет желанной добычей для финансовых мошенников. Это ПО включает инструменты для кражи Bitcoin-кошельков и скрытой установки на зараженные компьютеры приложений для получения («майнинга») этой валюты.

К первому типу причисляется вредоносное ПО, крадущее файл-кошелек в котором хранится информация о принадлежащих пользователю Bitcoin. Второй тип классифицировать несколько сложнее: для установки приложений для генерации биткойнов («майнинга») может использоваться практически любой образец вредоносного ПО, способный к загрузке на компьютер новых программ без ведома пользователя, поэтому для исследования отбирались только те образцы вредоносных программ, которые были неоднократно замечены в скрытом скачивании и запуске инструментов для майнинга.

Следует отметить, что такое деление не предполагает абсолютной точности. Например, один и тот же клавиатурный шпион может использоваться как для получения финансовой информации, так и для кражи аккаунтов онлайн-игр. Однако обычно вредоносные программы все же имеют ту или иную «специализацию», которая определяет преобладающий вид правонарушений, совершаемых с их помощью, что позволяет связать эти программы с определенным типом киберпреступлений – финансовых в данном случае.

Банковское вредоносное ПО наступает

Среди финансовых угроз в 2013 году ведущую роль играли банкеры – вредоносное ПО для кражи денег с пользовательских счетов. За год на них пришлось без малого 19 миллионов кибератак, что составило две трети от всех финансовых атак с помощью вредоносного ПО.

К концу 2013 года суммарная доля пользователей ежемесячно атакуемых программами для кражи Bitcoin и загрузчиками Bitcoin-майнеров вплотную приблизилась к банкерам

Самой активной среди банкеров как по числу атак, так и по числу атакованных пользователей стала троянская программа Zbot (Zeus). Количеством атак, пришедшееся на ее модификации, выросло за год более чем вдвое, а число атакованных ими пользователей в прошедшем году превысило показатели остальных банкеров из первой десятки вместе взятых.

Zbot, 2012-2013

В 2011 году исходный код Zbot попал в публичный доступ и на его основе были созданы и продолжают создаваться новые варианты вредоносного ПО, что влияет на статистку атак. Также на базе Zbot известен еще и тем, что на его была разработана платформа Citadel – одна из попыток перенести принципы коммерческого программного обеспечения в сферу создания вредоносных программ. Пользователи Citadel могли не только купить троянца, но и получить техническую поддержку и оперативные обновления, которые препятствуют обнаружению программы антивирусными решениями. Также на веб-ресурсах Citadel было организовано общение хакеров, которые могут оставлять заявки на внедрение новых функций. В начале июня 2013 года компания Microsoft совместно с ФБР объявили о закрытии нескольких крупных ботсетей, входивших в Citadel, что стало большой победой в сфере борьбы с киберпреступностью. Однако как видно из статистики «Лаборатории Касперского», это событие не слишком повлияло на распространение вредоносного ПО, направленного на похищение финансовых данных.

Сильный спад числа атак троянца Qhost может быть связан с арестом его создателей, которые в 2011 году украли у клиентов одного из крупных российских банков порядка 400 тысяч долларов. Авторы вредоносной программы были осуждены еще в 2012 году, однако это не помешало дальнейшему распространению угрозы. Сравнительная простота в настройке и использовании этого вредоносного ПО привлекает новых злоумышленников.

Qhost, 2012-2013

Число атак троянцем Carberp падало первую половину 2013 года после ареста весной пользователей троянца, среди которых, предположительно, были и его создатели. Однако летом начался значительный рост, который позволил Carberp по итогам 12 месяцев сравняться с показателями 2012 года. Это, в том числе, связано с публикацией исходного когда вредоносной программы в открытом доступе, что послужило толчком к созданию новых версий троянца. Но все же число пользователей, атакованных модификациями этого вредоносного ПО упало за год в несколько раз.

Carberp, 2012-2013

Общая тенденция очевидна: после относительного «затишья» во втором полугодии 2012 года, в 2013 году мошенники, промышляющие атаками с помощью финансового вредоносного ПО, активизировались, о чем свидетельствует рост количества атак и атакованных пользователей.

Количество атак с использованием банкеров, 2012-2013

* Trojan-Banker – универсальная запись в базах данных «Лаборатории Касперского», использующая эвристические правила для обнаружения финансового вредоносного ПО

Bitcoin: деньги на ветер?

Bitcoin – это электронная криптовалюта, которая работает без какого-либо государственного регулирования благодаря использующим ее людям. Распределенная сеть, обеспечивающая работу Bitcoin, была запущена в 2009 году. Первоначально валюта использовалась людьми, близкими к IT-индустрии, но постепенно она получила широкую известность. Не в последнюю очередь популяризации валюты способствовала возможность расплатиться ею на некоторых крупных веб-сайтах, торгующих нелегальными товарами. Они выбрали Bitcoin из-за анонимности, которую она обеспечивает.

Вариант представления Bitcoin-кошелька на бумаге

В теории, получить Bitcoin может любой желающий, используя вычислительные мощности своего компьютера – этот процесс называется майнингом. Суть майнинга – решение серии криптографических задач, что поддерживает функционирование сети Bitcoin.

Многие Bitcoin-«богачи» заработали свое состояние еще на этапе становления валюты, когда она не воспринималась как ликвидное денежное средство. Однако по мере того, как криптовалюта приобретала популярность, получить Bitcoin за вклад компьютерных мощностей становилось все сложнее – это одна из особенностей системы наряду с конечным объемом денежных средств, которые будут выпущены в обращение. К настоящему времени сложность требуемых подсчетов столь возросла, что майнинг Bitcoin на обычных компьютерах стал нерентабельным – потенциальная прибыль едва ли способна покрыть затраты на электричество.

Курс Bitcoin в начале 2013 года был на отметке 13,6 доллара, а к декабрю, когда достиг исторического максимума, превысил 1200 долларов

В течение года курс Bitcoin рос лихорадочно, перевалив за 1200 долларов в конце декабря. После этого курс пошел на спад, в том числе, из-за настороженной позиции центробанков ряда стран по отношению к этой валюте. Так, запрет Народного банка Китая обслуживать Bitcoin-биржи обрушил курс валюты примерно на треть. В то же время, в других странах к Bitcoin относятся весьма благосклонно, в частности, министерство финансов Германии официально признало криптовалюту платежным средством, а в Канаде и США даже устанавливают банкоматы, позволяющие обналичивать биткойны.

Словом, из «камерного» интернет-явления, поддерживаемого небольшой группой энтузиастов, Bitcoin всего за несколько лет превратился если не в полноценную денежную единицу, то в виртуальную сущность, представляющую реальную ценность и испытывающую ажиотажный спрос. Разумеется, этот факт не могли обойти своим вниманием злоумышленники. С момента, когда Bitcoin стал торговаться на интернет-биржах за реальные деньги и все больше продавцов начали принимать эту валюту к оплате, ей стали все активнее интересоваться киберпреступники.

Bitcoin хранятся на компьютере в специальном файле-кошельке (wallet.dat или другой, в зависимости от используемого приложения). Если этот файл не зашифрован и злоумышленнику удастся похитить его, то он сможет беспрепятственно перевести средства со счета на свой кошелек. Сеть Bitcoin позволяет любому участнику получить доступ к истории операций, совершенных любым ее пользователем, то есть можно проследить на какой кошелек были переведены украденные деньги. Но поскольку Bitcoin никем не регулируется, жаловаться на кражу куда-либо будет бессмысленно.

Помимо кражи Bitcoin киберпреступники могут использовать компьютеры своих жертв для майнинга «монет», примерно так же, как делают это для рассылки спама и другой вредоносной деятельности. Кроме того, известны программы-вымогатели, требующие плату в Bitcoin за расшифровку пользовательских данных.

Следующий график показывает динамику атак с использованием вредоносных инструментов для кражи Bitcoin-кошельков, а также «многофункционального» вредоносного ПО, замеченного в установке средств для майнинга. В дополнение к ним указаны случаи обнаружения на компьютере приложений для майнинга Bitcoin – они могли быть как установлены самим пользователем, так и попасть на компьютер без его ведома. Продукты «Лаборатории Касперского» относят приложения для майнинга к категории RiskTool. Это означает, что данное приложение содержит потенциально опасный функционал, о чем предупреждается пользователь.

Как видно на графике, число срабатываний защитных продуктов «Лаборатории Касперского» на программы-похитители и загрузчики программ для майнинга Bitcoin стало расти во второй половине 2012 года. Еще интереснее динамика стала в 2013 году. Например, один из двух крупнейших пиков срабатываний защитных продуктов «Лаборатории Касперского» на вредоносное ПО, связанное с Bitcoin, пришелся на апрель. Примерно в это же время курс Bitcoin подскочил до отметки более чем в 230 долларов – очевидно, что рост курса мог спровоцировать злоумышленников активнее распространять вредоносное ПО, нацеленное на кражу или добычу Bitcoin.

Впрочем, в апреле же цена валюты резко обрушилась обрушился до 83 долларов. За спадом последовало восстановление до 149 долларов в конце апреля и стабилизация в мае. С мая до августа Bitcoin «держался» в рамках 90-100 долларов, а в августе стал плавно расти. Этот процесс слабо коррелировал с ситуацией на вредоносном «фронте», хотя не исключено, что именно стабилизация курса Bitcoin спровоцировала новый скачок атак в августе. Еще один резкий скачок числа атак произошел в декабре. Курс Bitcoin в этом месяце сначала сильно упал – с 1000 до 584 долларов – но потом так же резко стал расти, достигнув 804 долларов в конце месяца.

Так же с апреля планомерно увеличивалось количество срабатываний продуктов «Лаборатории Касперского» на программное обеспечение для генерации Bitcoin. Этот рост продолжался вплоть до октября, но в ноябре число срабатываний пошло на спад.

В целом в 2013 году как количество срабатываний продуктов «Лаборатории Касперского», так и количество пользователей столкнувшихся с вредоносным или потенциально вредоносным ПО, связанным с Bitcoin выросло в разы по сравнению с 2012 годом. Примечательно также, что начиная примерно с октября 2013 года количество срабатываний на вредоносные программы, устанавливавшие софт для майнинга Bitcoin стало падать, а количество срабатываний на похитителей кошельков – наоборот расти. Это может быть следствием упомянутой выше особенности валюты Bitcoin – чем больше в системе генерируется «монет», тем сложнее создавать новые. Это и могло вынудить злоумышленников сфокусироваться на поиске и похищении Bitcoin-кошельков с уже сгенерированной криптовалютой.

Программы, направленные на похищение финансовой информации, безусловно, являются одним из самых грозных типов вредоносного ПО. Масштаб опасности увеличивается, в том числе, за счет огромного количества потенциальных жертв атак с помощью подобного ПО – фактически каждый обладатель пластиковой карты, выходящий в Интернет с плохо защищенного компьютера, может попасться на удочку злоумышленников. Однако компьютеры и ноутбуки далеко не единственные устройства, с которых пользователи осуществляют финансовые транзакции. Смартфон или планшет есть практически у каждого современного человека. И для злоумышленников эти устройства являются дополнительными лазейками в карман пользователей финансовых сервисов.

«Мобильные» угрозы для онлайн-банкинга

Долгое время мобильные устройства были Terra Incognita для киберпреступников. Во многом это было связано с ограниченным набором функций мобильных устройств первых поколений и сложностями с написанием программного обеспечения для них. Но с появлением смартфонов и планшетов – многофункциональных, с подключением к сети и общедоступными инструментами для разработки приложений все изменилось. Уже несколько лет эксперты «Лаборатории Касперского» ежегодно фиксируют рост числа вредоносных программ, нацеленных на мобильные устройства. В особенности, работающих на системе Android.

В 2013 году Android являлся основной целью для вредоносных атак. 98,1% всех мобильных зловредов, обнаруженных в 2013 году, нацелены именно на эту платформу, что свидетельствует как о популярности этой мобильной ОС, так и об уязвимости ее архитектуры.

Распределение мобильных вредоносных программ, обнаруженных в 2013 году, по платформам

При этом большинство мобильных вредоносных программ нацелены на кражу денег пользователей. Этим промышляют Trojan-SMS, многие бэкдоры и часть вредоносных программ категории Trojan. Однако одной из самых опасных тенденций 2013 года в сфере мобильного вредоносного ПО стало увеличение количества программ, нацеленных на кражу данных для доступа к системам онлайн-банкинга и похищения денежных средств.

Рост количества образцов мобильного вредоносного ПО, ориентированного на онлайн-банкинг, в коллекции «Лаборатории Касперского» в 2013 году

Количество подобных вредоносных программ стало активно расти начиная с июля и к декабрю достигло отметки в более чем 1,3 тысячи уникальных экземпляров. Примерно с этого же времени стало расти и количество атак, заблокированных продуктами «Лаборатории Касперского».

Динамика атак с применением мобильного вредоносного ПО, ориентированного на онлайн-банкинг во второй половине 2013 года

Мобильные вредоносные программы, нацеленные на клиентов систем онлайн-банкинга встречались и раньше. Например, ZitMo (мобильный «брат» известного Win32 банковского троянца Zeus) известен еще с 2010 года, однако он не был замечен в массовых атаках, в том числе, из-за своего специфического функционала: ZitMо мог работать только в паре с «настольным» Zeus. «Напарник» перехватывает логин и пароль для доступа к онлайн-счету жертвы, а основная функция ZitMo заключается в том, чтобы получить одноразовые пароли для подтверждения транзакций в системе онлайн-банкинга и передать их злоумышленникам, которые использовали полученные данные для похищения денег.

Такая схема мошенничества встречалась и в 2013 году – к этому времени «младшими братьями» для мобильных устройств обзавелись и главные конкуренты Zeus: SpyEye (SpitMo) и Carberp (CitMo). Однако и они не были замечены в сколько-нибудь значимом количестве атак. В том числе это может быть связано с тем, что на черном рынке киберугроз появились более «автономные» троянские программы, способные работать без «настольного» партнера.

Примером подобного ПО стала троянская программа Svpeng, обнаруженная специалистами «Лаборатории Касперского» в июле 2013 года. Этот троянец использует особенность некоторых российских систем мобильного банкинга, благодаря которой он способен похищать деньги с банковского счета жертвы.

В России некоторые крупные банки предоставляют своим клиентам услугу пополнения счета мобильного телефона переводом денег с банковской карты. Для этого клиенту банка достаточно отправить со своего смартфона SMS определенного содержания на специальный номер банка. Svpeng отправляет SMS-сообщения в адрес SMS-сервисов двух таких банков. Таким способом хозяин Svpeng может узнать, привязаны ли к номеру зараженного смартфона карты этих банков и, при наличии банковского счета, получить информацию о балансе. После этого злоумышленник может дать Svpeng команду на перевод денег с банковского на мобильный счет жертвы.

Фальшивый интерфейс авторизации Svpeng

В дальнейшем «слить» деньги с мобильного счета можно разными способами – например, переводом на электронный кошелек через личный кабинет в системе оператора связи, или банальной отправкой сообщений на премиум-номера. Помимо этого, Svpeng обладает функциями кражи логинов и паролей для доступа к системам онлайн-банкинга.

Еще пара примеров опасных банковских троянцев, обнаруженных специалистами «Лаборатории Касперского» – это Perkele и Wroba. Первый является аналогом ZitMo, его основная функция заключается в перехвате одноразовых паролей для подтверждения транзакций, второй – ищет на зараженном мобильном устройстве приложения для онлайн-банкинга, удаляет их и загружает фальшивые копии, с помощью которых собирает аутентификационные данные и отправляет злоумышленникам.

Большинство атак с помощью мобильных банковских троянцев в 2013 году «Лаборатория Касперского» зарегистрировала на территориях России и соседних стран, однако, к примеру, Perkele атаковал пользователей не только российских, но и некоторых европейских банков, а Wroba нацелен на пользователей из Южной Кореи.

Географическое распределение атак с помощью вредоносных «банковских» Android-приложений в 2013 году

В абсолютном выражении масштабы атак с помощью финансового вредоносного ПО на пользователей мобильных устройств, зарегистрированные продуктами «Лаборатории Касперского», пока сравнительно невелики, но явная тенденция к увеличению их количества просматривается в течение более чем полугода. Она сигнализирует о том, что пользователям мобильных устройств, особенно на платформе Android, необходимо очень внимательно относиться к безопасности финансовых данных.

Пользователям устройств на iOS тоже не стоит расслабляться. Хотя вала вредоносных программ, направленных на похищение конфиденциальных данных у владельцев iPhone и iPad не наблюдается, в данной операционной системе регулярно обнаруживаются ошибки, позволяющие создавать такое вредоносное ПО. Один из свежайших примеров – ошибка, обнаруженная исследователями в конце февраля 2014 года, и позволявшая определять символы, которые пользователь вводит с виртуальной клавиатуры устройства. Используя эту уязвимость злоумышленник мог похитить, в том числе, логин и пароль для доступа к системе онлайн-банкинга.

Заключение: следите за своими цифровыми кошельками

Исследование наглядно показало, что электронные деньги пользователей находятся в постоянной опасности. Работает ли пользователь со своим счетом через интернет-банкинг или оплачивает покупки в онлайн-магазине – злоумышленники подстерегают его повсюду.

Все виды финансовых угроз показали в 2013 году значительный рост. Доля фишинговых атак c использованием банковских брендов увеличилась вдвое, а число финансовых атак с применением вредоносного ПО – на треть.

Сегмент финансового вредоносного ПО не был отмечен появлением «новичков», которые смогли бы затмить славу Zbot и Qhost. Эти и другие хорошо известные троянцы ответственны за большинство атак в прошедшем году. Однако злоумышленники в очередной раз продемонстрировали, как чутко они реагируют на изменение конъюнктуры – начавшийся еще в конце 2012 года лавинообразный рост атак, направленных на кражу Bitcoin, продолжился и в 2013-м.

Эксперты «Лаборатории Касперского» дают следующие рекомендации для усиления защиты от финансовых киберугроз.

Для бизнеса

    На бизнес ложится значительная часть ответственности за безопасность пользователей. Финансовым компаниям следует рассказывать пользователям об угрозе, которая исходит от кибермошенников, и давать советы, как избежать потерь по их вине.

  • Банки и платежные системы должны предлагать своим клиентам комплексную систему защиты от злоумышленников. Примером такого решения служит платформа Kaspersky Fraud Prevention, обеспечивающая многоуровневую защиту от мошенников.

Для домашних пользователей и пользователей онлайн-банкинга

  • Авторы вредоносного ПО часто полагаются на уязвимости в популярных программах. Поэтому необходимо использовать только самые новые версии приложений и незамедлительно устанавливать обновления операционной системы.
  • Универсальные правила безопасной работы в Интернете помогают снизить риск и финансовых атак. Пользователям следует выбирать стойкие пароли, уникальные для каждого сервиса, с осторожностью пользоваться публичными Wi-Fi сетями, отказаться от сохранения конфиденциальной информации браузером и т. п.
  • Необходимо применять надежные продукты для защиты от вредоносного ПО, чья эффективность подтверждена независимыми тестированиями. Кроме того, некоторые защитные продукты, например Kaspersky Internet Security, имеют встроенные средства для безопасной работы с финансовыми онлайн-сервисами.
  • Если вы используете смартфон или планшет для доступа к системе онлайн-банкинга, платежной системе или осуществления покупок в интернет-магазинах, позаботьтесь о защите устройства с помощью надежного решения, такого, как Kaspersky Internet Security for Android, с продвинутыми инструментами защиты от вредоносного ПО, фишинга, а также потери или кражи устройства.

Для держателей криптовалют

В силу молодости Bitcoin и его аналогов таких, как Litecoin, Dogecoin и многих других, многим пользователям незнакомы тонкости работы с подобными системами, поэтому эксперты «Лаборатории Касперского» подготовили советы по безопасному использованию криптовалют:

  • Откажитесь от использования онлайн-сервисов для хранения сбережений, вместо этого следует применять специальные приложения-кошельки.
  • Разделите накопления на несколько кошельков – это позволит снизить потери в случае кражи с одного из них.
  • Кошельки, используемые для длительного хранения средств, размещайте на зашифрованных носителях. В качестве альтернаты можно использовать кошельки, распечатанные на бумаге.

Финансовые киберугрозы в 2013 году. Часть 2: вредоносное ПО

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

  1. Alexandr

    Убедительно, спасибо.

Отчеты

CloudSorcerer: новая APT-угроза, нацеленная на российские государственные организации

«Лаборатория Касперского» обнаружила новую APT-угрозу CloudSorcerer, нацеленную на российские государственные организации и использующую облачные службы в качестве командных серверов аналогично APT CloudWizard.

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике