Форум

Установи сканер QR-кодов и потеряй деньги

В Google Play нашли сканер QR-кодов с вирусом, крадущим данные приложений «Тинькофф» и «Сбера»
Поиск по теме

  • 1
Компания по обеспечению кибербезопасности ThreatFabric обнаружила в магазине Google Play 12 вредоносных приложений, способных красть банковские данные. Основной функцией вредоносных приложений является сканер QR-кодов.

В самом коде вредоносного приложения нет вируса, поэтому оно проходит все необходимые проверки при публикации в Play Market. Сканер QR-кодов после установки также работает нормально. Однако при этом приложение сканирует данные устройства — модель, регион, страну и версию Android и определяет, нужно ли загружать вирус на телефон. Затем сам вирус скачивается под видом обновления.

Для разных регионов приложение загружает разные вирусы — так для пользователей из России устанавливается банковский троян Anatsa. Он может получить доступ к информации из приложений «Сбера», «Тинькофф», ВТБ, Почта-банка и других кредитных организаций.

В общей сложности вредоносные приложения с QR-кодами были установлены более 300 тысяч раз по всему мире. Самое популярное из них — сканер QR-кодов от издателя QrBarBode LDC — скачали 50 тысяч раз.



Ссылку давать бесполезно - модератор сотрет.
Новость на "Медузе" (иностранном агенте!)
 
Да, модная тема.
Карточный долг - долг чести.
 
В статье сказано " может получить доступ к информации".
И что?
Ну, посмотрят на счета, карты, вывести все равно не получится.
У умных клиентов банковская sim и устройство МБ всегда физически разделены.
 
Цитата
skoser пишет:
В самом коде вредоносного приложения нет вируса, поэтому оно проходит все необходимые проверки при публикации в Play Market. Сканер QR-кодов после установки также работает нормально. Однако при этом приложение сканирует данные устройства — модель, регион, страну и версию Android и определяет, нужно ли загружать вирус на телефон. Затем сам вирус скачивается под видом обновления.


А как? Если каждое обновление так же проходит проверки при публикации на маркете.
Если в обновление есть вирус. он так же не опубликуется на марткете/
Cудя по статье, там клиент должен сам поменять настройки телефона, чтобы разрешить скачать и установить обновление из недоверенного источника (так как обновление с вирусом качается на с официальнго маркета, а с левого сайта), потом его установить и дать ему все разрешения + еще и андройд должен быть старый.

After successfully downloading the “update”, the user will be asked for the permission to install apps from unknown sources. The user, previously convinced that the update is necessary for the app to work properly, grants the permission. After the installation is complete, Anatsa is running on the device and immediately asks the victim to grant Accessibility Service privileges. After enabling Accessibility Service, Anatsa has full control over the device and can perform actions on the victim’s behalf.

То есть там пользователь много дичи должен сделать
 
Цитата
Cheetah пишет:
After successfully downloading the “update”, the user will be asked for the permission to install apps from unknown sources. The user, previously convinced that the update is necessary for the app to work properly, grants the permission.

на такое я бы легко повелся, к сожалению (
Разные пиратские кинотеатры и телевидение на Android TV чаще всего обновляются именно таким указанным способом.
 
Цитата
skoser пишет:
на такое я бы легко повелся, к сожалению (
Разные пиратские кинотеатры и телевидение на Android TV чаще всего обновляются именно таким указанным способом.

получать рут-права и разрешать сомнительные приложения на устройстве, где стоят банковские приложения и крутятся деньги (особенно если коды подтверждения приходят на это же устройство) - это крайне опрометчивые решения
 
Цитата
skoser пишет:
Разные пиратские кинотеатры и телевидение на Android TV чаще всего обновляются именно таким указанным способом.

Тут я вижу два вполне очевидных обстоятельства, которые должны насторожить пользователя.
1. Пиратское приложение может и требует такого пиратского обновления, но зачем оно нужно вполне легальному сканеру кодов?
2. Зачем скачанному обновлению давать новые разрешения? Тем более никак не связанные с его функциями.
 
skoser, а антивирус на телефоне такую штуку не замечает разве и не ругается?
 
Извините, а у вас 2 телефона для этого?
 
Цитата
YPRH8 пишет:
Извините, а у вас 2 телефона для этого?

К кому вопрос?
 
Цитата
007aleksey007 пишет:
а антивирус на телефоне такую штуку не замечает разве и не ругается?
в оригинальном исследовании, по которому сейчас все пишут новости, объясняется почему антивирусы и Google Play не детектируют зловреда
 
Цитата
Compaq пишет:
Ну, посмотрят на счета, карты, вывести все равно не получится.
У умных клиентов банковская sim и устройство МБ всегда физически разделены

Цитата
Alex133 пишет:
Цитата

YPRH8<noindex>пишет</noindex>:
Извините, а у вас 2 телефона для этого?

К кому вопрос?

Ув. Compaq, как и я, и многие осторожные и предусмотрительные клиенты банков, разделяют физически устройства с МП и устройства для банковских СМС. У меня СМС приходят на двухсимочный кнопочник без инета, а МП установлены на планшете, который вообще без симкарты. Ну, и некоторые МП (которыми часто пользуюсь) стоят на смартфоне с симкартой, не имеющей отношения к банкам. Пуши я везде отключаю, подтверждение операций - только СМС или только кодом со скретч-карты (МКБ). Так что иногда, при необходимости (посещая банк, например), беру с собой два телефона, это необременительно, кнопочник весит около 70г.
 
Цитата
Ever⚡ пишет:
я, и многие осторожные и предусмотрительные клиенты банков, разделяют физически устройства с МП и устройства для банковских СМС.
Таких фриков максимум 1%. Не рекомендую на этом делать какие-то выводы. Всё-таки за большинство клиентов в области безопасности думают банки.
Карточный долг - долг чести.
 
Цитата
m.potter пишет:
Всё-таки за большинство клиентов в области безопасности думают банки X

Как-то они не в ту сторону думают. Заменяют логин номером телефона, пароль восстанавливают по СМС....
Без всяких документов о зарплате, в 4 часа ночи в воскресенье выдают онлайн кредит в поллимона по украденному телефону.
Зато у нормального клиента блокируют любые переводы своих же денег на свои же счета.
Может все же стоит вернуться к нормальным способам?
 
Alex133, это у вас сферическая лошадь в вакууме. Прямо скажем так работают далеко не все. Речь скорее о том, чтобы лучшие практики стали must have отрасли. А это вопрос к регулятору и законодателям.
Даже больше скажу - регулятор много уже сделал и запускает в ближайшее время. Следите за изменениями.
Карточный долг - долг чести.
 
Цитата
m.potter пишет:
это у вас сферическая лошадь в вакууме.

Как раз наоборот. Я пишу о реальных случаях, а не абстрактно.
РСХБ сейчас блокирует любые переводы, у некоторых даже между своими счетами внутри ЛК. У меня заблокировал стягивание на ТБ, которые раньше неоднократно проходили.
Мой хороший знакомый теперь выплачивает кредит в Сбере в 500 тыс, еще и потеряв что было на карте. И это при зарплате 28 тыс.
 
Цитата
m.potter пишет:
Alex133, это у вас сферическая лошадь в вакууме. Прямо скажем так работают далеко не все.

Если мне не изменяет память, Alex133, писал историю про
Цитата
Alex133 пишет:
Без всяких документов о зарплате, в 4 часа ночи в воскресенье выдают онлайн кредит в поллимона по украденному телефону

именно о Сбербанке.
А Сбербанк в нашей стране - это больше чем все остальные, вместе взятые. Так что уважаемая Ever⚡, во многом права:
Цитата
Ever⚡ пишет:
и я, и многие осторожные и предусмотрительные клиенты банков, разделяют физически устройства с МП и устройства для банковских СМС


На этом форуме уже не раз писали адепты дистанционки и внеофисных удобств - клиент должен мочь сделать всё со своими банковскими продуктами, не выходя из дома. А так как социальная инженерия в нашей стране непуганых "рождённых в СССР" работает с эффективностью в 146%, то вопрос взлома (технического или психологического) новой меры ЦБ или банков - вопрос времени.

Свои мозги гипердоверчивым пенсионерам не вставишь.
Цитата
a*******@gmail.com пишет:
взял у мамы телефон, и начал всю историю смсок читать с номера 900. Вижу, 7 ноября привязка карты к номеру телефона. И тут мама раскололась. Вообще она у меня на зависть в очень здравом рассудке для своего возраста. Ей звонили и из сб сбербанка, и из органов заведших уголовное дело на сына, в общем все классические разводки она определяла и просто клала трубку. Она первый год на пенсии, и всё порывается снова пойти на работу, и ей позвонили и сказали что нашли работу. Дальше говорит как под гипнозом, пошла в отделение сбербанка, перевела им 45 тысяч, и как я понял подключила доступ к сбербанконлайну

Именно поэтому целесообразно максимально усложнить хотя бы техническую сторону.
Чтобы звонок на номер жертвы не подтверждал зарегенность этого самого номера жертвы в банке.
Чтобы были бесполезны всякие тимвьюверы, ибо на телефоне нет МП.
Чтобы троян из сообщения в вотсаппе не сработал бы по той же причине отсутствия МП. И т.д.
Изменено: Struzzo - 02.12.2021 19:49
 
Цитата
Alex133 пишет:
Как раз наоборот. Я пишу о реальных случаях, а не абстрактно.
Наверное я не совсем ясно выразился. Я не говорю, что нет плохих реализаций в наших банках. Моя мысль была про то, что не стоит обобщать. Вы вот приводите РСХБ с блокировками на каждый чих, Альфа тем же грешит. А есть Сбер, у которого много дыр и про первые кражи с вкладных счетов через ДБО мы узнавали от клиентов Сбера. Сейчас вот ВТБ очень плохо гремит на весь форум.

Хотя возможно я вас не понял и когда вы писали "Как-то они не в ту сторону думают", то имели в виду Сбер и Тинькоф, которые вынесены в начало темы? Неясна позиция.

А так, в целом, я за применение и закрепление нормативно лучших практик по безопасности, с учётом удобства клиента. А это ооооочень сложно соединить.
Карточный долг - долг чести.
 
Цитата
Struzzo пишет:
А Сбербанк в нашей стране - это больше чем все остальные, вместе взятые.
Да, именно так. Поэтому их косяки в безопасности касаются огромного числа людей. Говорят, что они что-то улучшают. Я пока не рискнул Сберонлайн установить.

Цитата
Свои мозги гипердоверчивым пенсионерам не вставишь.
Я бы так не сказал. Всё-таки мама успешно отбивалась от многих мошенников, но один раз ошиблась. Бывают неудачи в жизни. Стала ещё опытнее. И теперь уже сыну позвонит при любой нестандартной ситуации и уж точно просто так никому денег не отдаст. Да и сын позаботится, чтобы возможностей случайно отдать деньги не тому, кому надо было минимум.

Цитата
Именно поэтому целесообразно максимально усложнить хотя бы техническую сторону.
Чтобы звонок на номер жертвы не подтверждал зарегенность этого самого номера жертвы в банке.
Чтобы были бесполезны всякие тимвьюверы, ибо на телефоне нет МП.
Чтобы троян из сообщения в вотсаппе не сработал бы по той же причине отсутствия МП. И т.д.
Это пожалуй называет не усложнить, а настроить.
Первый ваш тезис не понял. Вы про подмену номеров на номер банка? Считайте, что вопрос решён - сотовые операторы как раз заканчивают устранять эту уязвимость.
Со всякими "тимвьюверами" печаль, т.к. всё происходит на устройстве клиента, который банк не очень-то контролирует. Но есть уже функции в антифроде ДБО, когда видно, что есть программы удалённого управления. Сейчас это больше для юриков, но для физиков тоже работает. Фишка в том, что клиенты и сами активно пользуют их для своих целей.
Про троян тоже не понял. Причём тут отсутствие МП?
Карточный долг - долг чести.
 
.Таких фриков максимум 1%. Не рекомендую на этом делать какие-то выводы. Всё-таки за большинство клиентов в области безопасности думают банки.

Когда воруют у банков , банки меняют систему безопасности , закрывая "дыры" , и более того банки просчитывают множество вариантов наперёд.
А в отношении клиентов , такого не происходит , наоборот "улучшение в пользу максимума удобства и минимума безопасности ".
Простыми словами :" зачем вам ключ от вашей квартиры , когда достаточно повесить табличку :" посторонним вход воспрещён""
Всё так и есть , а если вы считаете что клиент сам виноват , то заберите ваши слова о банке который думает о безопасности, к себе назад .
 
  • 1
Читают тему (гостей: 1, пользователей: 0, из них скрытых: 0)

Продукты Банки.ру