Мы ценим вашу конфиденциальность

Мы используем файлы cookie для улучшения вашего удобства просмотра, показа персонализированной рекламы или контента и анализа нашего трафика. Нажимая "Принять все", вы даете согласие на использование нами файлов cookie.

Customize Consent Preferences

We use cookies to help you navigate efficiently and perform certain functions. You will find detailed information about all cookies under each consent category below.

The cookies that are categorized as "Necessary" are stored on your browser as they are essential for enabling the basic functionalities of the site. ... 

Always Active

Necessary cookies are required to enable the basic features of this site, such as providing secure log-in or adjusting your consent preferences. These cookies do not store any personally identifiable data.

No cookies to display.

Functional cookies help perform certain functionalities like sharing the content of the website on social media platforms, collecting feedback, and other third-party features.

No cookies to display.

Analytical cookies are used to understand how visitors interact with the website. These cookies help provide information on metrics such as the number of visitors, bounce rate, traffic source, etc.

No cookies to display.

Performance cookies are used to understand and analyze the key performance indexes of the website which helps in delivering a better user experience for the visitors.

No cookies to display.

Advertisement cookies are used to provide visitors with customized advertisements based on the pages you visited previously and to analyze the effectiveness of the ad campaigns.

No cookies to display.

Powered by Cookieyes logo
Диджитал, Эксперты

TSARKA предупреждает о распространении банковского вируса Anatsa

04.06.202405.06.2024
11
Олжас Сатиев

В конце мая хакерская группировка атаковала 70 тыс. смартфонов в мире, прикрываясь именем Центра анализа и расследования кибератак (TSARKA). В эпицентре находятся банки из США, Великобритании и DACH (германоязычные страны), а целевой список вредоносного ПО содержит почти 600 финансовых приложений со всего мира. Специально для портала PLUSworld ситуацию комментируют эксперт в области кибербезопасности, ИТ и маркетинга Евгений Питолин и президент TSARKA Олжас Сатиев.

Недавно мировое сообщество узнало о распространении банковского вируса Anatsa, который успешно атаковал пользователей во многих странах мира. На текущий момент известно уже о более 70 тыс. случаев.

В рамках международного сотрудничества со службами CERT (Компьютерная группа реагирования на чрезвычайные ситуации) представители компании TSARKA получили информацию о том, что в ряде случаев хакерская группировка использовала в названии имя компании и распространялась под видом TSARKA Watchfaces. При этом адресом компании был обозначен старый адрес – Ulitsa Aisha bibi 9, который не актуален уже более 5 лет.

На данный момент банковский вирус под именем PDF Reader & File Manager by TSARKA Watchfaces заблокирован в Google Play Store. Представители TSARKA направили соответствующие юридические уведомления владельцу Store, а отдел расследования компании подключился и начал собственное расследование по итогу действий хакерской группировки.

Евгений Питолин, эксперт в области кибербезопасности, ИТ и маркетинга:

«Разумеется, пока рано говорить про объемы ущерба, но уже известно, что в эпицентре находятся банки из США, Великобритании и DACH, а целевой список вредоносного ПО содержит почти 600 финансовых приложений со всего мира.

Злоумышленники, стоящие за Anatsa, стремятся украсть учетные данные, используемые для авторизации клиентов в мобильных банковских приложениях, и совершить захват устройств для последующего инициирования на них мошеннических транзакций. По статистике, размер ущерба, связанного непосредственно с самой такой кражей, варьируется в пределах 100 тыс. –200 тыс. долл. в рамках одного инцидента. Уже сейчас известно о десятках тысяч зараженных смартфонов, но если допустить, что в каждом из случаев заражен хотя бы один корпоративный пользователь в компаниях подобного масштаба, то ущерб может достигать десятков миллионов долларов. Безусловно, цифры очень условны, и по мере распространения информации темпы роста количество зараженных и объемов ущерба будут спадать, но изначально случаи все равно будут характеризованы большими корпоративными потерями.

Конечно, возникает и вопрос, почему хакеры прикрываются именем TSARKA? На мой взгляд, речь идет о совокупности причин. Во-первых, популярность бренда казахстанской компании, пионера рынка Казахстана в вопросах киербезопасности, уверенно набирает обороты. Представители команды TSARKA побеждают на международных соревнованиях, выступают на конференциях – в общем известность бренда растет и, следовательно, им удобно прикрываться. Как минимум, в поисковых системах по названию можно сразу получить огромное количество информации.

С другой стороны, для западного рынка страны ЦА не всегда находятся в активной зоне коммуникации. Поэтому западному пользователю легче поискать в сети, чем написать в саму компанию и проверить достоверность ПО, что и приводит злоумышленников к успеху в их деяниях.

Теперь рассмотрим ущерб, который несут банки вследствие кибератак. В целом серьезный инцидент в финансовом учреждении может подорвать доверие к компании, а в крайних случаях — привести к массовому закрытию вкладов. Например, многие небольшие банки США, как показывает статистика, отмечали устойчивый отток вкладов после совершенных против них кибератак.

Интересно, что банковская отрасль является одной из самых зарегулированных и тщательно исследуемых всеми ветвями власти, кроме того, банковский сектор в части ИБ уж точно более зрелый, чем в других отраслях.

Практически везде функционируют собственные отдельные службы ИБ, выстроены или выстраиваются процессы обеспечения ИБ. Однако, как только мы входим в цифровое поле взаимодействия рядового клиента и банка, большинство кредитных организаций примерно одинаково смотрят на взаимодействие клиента с кибермошенником, решая вопросы безопасности через двухфакторную идентификацию (2FA) или антифрод (что делает жизнь пользователя не самой удобной), при этом очень латентно помогая клиенту в части стойкости к социальной инженерии и когнитивной реакции на фишинг во всех его проявлениях».

Олжас Сатиев, президент TSARKA:

«Банковский вирус Anatsa прикрывался различными приложениями. В нашем случае это была программа чтения PDF-файлов. Так, под разными приложениями вирус попадал в телефон пользователей. После этого у мошенников появилась возможность для просмотра банковских приложений. Было задействовано около 450 популярных банковских приложений в Европе.

Хакерская группировка под различными популярными мобильными приложениями распространяла свой вирус Anatsa и заразила более 700 тыс. пользователей. 27 мая 2024 года некоторые исследовательские компании по изучению вирусов начали публиковать материалы по данной теме. В Google Play начали активно блокировать приложения, которые распространялись якобы под легитимными лейблами, а на самом деле были вирусными банковскими приложениями. Данная вирусная технология не нова – берется определенное приложение и в него вшивается банковский троян. Пользователь скачивает на телефон, например, игру. А внутри приложение уже запрашивает дополнительные решения: доступ к звонкам, SMS и т. д. И таким образом пытается получили доступ финансовым средствам клиента с мобильного интернет-банкинга».

Вместо резюме

Компания TSARKA предупреждает об очевидных фактах и просит активного репоста в среде финансового сообщества:

  • TSARKA не имеет никакого отношения к данному поставщику мобильного приложения.
  • Хакерская группировка использует имя компании для распространения своего банковского вируса, играя на международном доверии к бренду.
  • Вирус под именем PDF Reader & File Manager by TSARKA Watchfaces уже заблокирован в Google Play Store.

 

Новости Финтеха, ритейла и e-commerce в Центральной Азии