В конце мая хакерская группировка атаковала 70 тыс. смартфонов в мире, прикрываясь именем Центра анализа и расследования кибератак (TSARKA). В эпицентре находятся банки из США, Великобритании и DACH (германоязычные страны), а целевой список вредоносного ПО содержит почти 600 финансовых приложений со всего мира. Специально для портала PLUSworld ситуацию комментируют эксперт в области кибербезопасности, ИТ и маркетинга Евгений Питолин и президент TSARKA Олжас Сатиев.

Недавно мировое сообщество узнало о распространении банковского вируса Anatsa, который успешно атаковал пользователей во многих странах мира. На текущий момент известно уже о более 70 тыс. случаев.

В рамках международного сотрудничества со службами CERT (Компьютерная группа реагирования на чрезвычайные ситуации) представители компании TSARKA получили информацию о том, что в ряде случаев хакерская группировка использовала в названии имя компании и распространялась под видом TSARKA Watchfaces. При этом адресом компании был обозначен старый адрес – Ulitsa Aisha bibi 9, который не актуален уже более 5 лет.

На данный момент банковский вирус под именем PDF Reader & File Manager by TSARKA Watchfaces заблокирован в Google Play Store. Представители TSARKA направили соответствующие юридические уведомления владельцу Store, а отдел расследования компании подключился и начал собственное расследование по итогу действий хакерской группировки.

Евгений Питолин, эксперт в области кибербезопасности, ИТ и маркетинга:

«Разумеется, пока рано говорить про объемы ущерба, но уже известно, что в эпицентре находятся банки из США, Великобритании и DACH, а целевой список вредоносного ПО содержит почти 600 финансовых приложений со всего мира.

Злоумышленники, стоящие за Anatsa, стремятся украсть учетные данные, используемые для авторизации клиентов в мобильных банковских приложениях, и совершить захват устройств для последующего инициирования на них мошеннических транзакций. По статистике, размер ущерба, связанного непосредственно с самой такой кражей, варьируется в пределах 100 тыс. –200 тыс. долл. в рамках одного инцидента. Уже сейчас известно о десятках тысяч зараженных смартфонов, но если допустить, что в каждом из случаев заражен хотя бы один корпоративный пользователь в компаниях подобного масштаба, то ущерб может достигать десятков миллионов долларов. Безусловно, цифры очень условны, и по мере распространения информации темпы роста количество зараженных и объемов ущерба будут спадать, но изначально случаи все равно будут характеризованы большими корпоративными потерями.

Конечно, возникает и вопрос, почему хакеры прикрываются именем TSARKA? На мой взгляд, речь идет о совокупности причин. Во-первых, популярность бренда казахстанской компании, пионера рынка Казахстана в вопросах киербезопасности, уверенно набирает обороты. Представители команды TSARKA побеждают на международных соревнованиях, выступают на конференциях – в общем известность бренда растет и, следовательно, им удобно прикрываться. Как минимум, в поисковых системах по названию можно сразу получить огромное количество информации.

С другой стороны, для западного рынка страны ЦА не всегда находятся в активной зоне коммуникации. Поэтому западному пользователю легче поискать в сети, чем написать в саму компанию и проверить достоверность ПО, что и приводит злоумышленников к успеху в их деяниях.

Теперь рассмотрим ущерб, который несут банки вследствие кибератак. В целом серьезный инцидент в финансовом учреждении может подорвать доверие к компании, а в крайних случаях — привести к массовому закрытию вкладов. Например, многие небольшие банки США, как показывает статистика, отмечали устойчивый отток вкладов после совершенных против них кибератак.

Интересно, что банковская отрасль является одной из самых зарегулированных и тщательно исследуемых всеми ветвями власти, кроме того, банковский сектор в части ИБ уж точно более зрелый, чем в других отраслях.

Практически везде функционируют собственные отдельные службы ИБ, выстроены или выстраиваются процессы обеспечения ИБ. Однако, как только мы входим в цифровое поле взаимодействия рядового клиента и банка, большинство кредитных организаций примерно одинаково смотрят на взаимодействие клиента с кибермошенником, решая вопросы безопасности через двухфакторную идентификацию (2FA) или антифрод (что делает жизнь пользователя не самой удобной), при этом очень латентно помогая клиенту в части стойкости к социальной инженерии и когнитивной реакции на фишинг во всех его проявлениях».

Олжас Сатиев, президент TSARKA:

«Банковский вирус Anatsa прикрывался различными приложениями. В нашем случае это была программа чтения PDF-файлов. Так, под разными приложениями вирус попадал в телефон пользователей. После этого у мошенников появилась возможность для просмотра банковских приложений. Было задействовано около 450 популярных банковских приложений в Европе.

Хакерская группировка под различными популярными мобильными приложениями распространяла свой вирус Anatsa и заразила более 700 тыс. пользователей. 27 мая 2024 года некоторые исследовательские компании по изучению вирусов начали публиковать материалы по данной теме. В Google Play начали активно блокировать приложения, которые распространялись якобы под легитимными лейблами, а на самом деле были вирусными банковскими приложениями. Данная вирусная технология не нова – берется определенное приложение и в него вшивается банковский троян. Пользователь скачивает на телефон, например, игру. А внутри приложение уже запрашивает дополнительные решения: доступ к звонкам, SMS и т. д. И таким образом пытается получили доступ финансовым средствам клиента с мобильного интернет-банкинга».

Вместо резюме

Компания TSARKA предупреждает об очевидных фактах и просит активного репоста в среде финансового сообщества:

• TSARKA не имеет никакого отношения к данному поставщику мобильного приложения.
• Хакерская группировка использует имя компании для распространения своего банковского вируса, играя на международном доверии к бренду.
• Вирус под именем PDF Reader & File Manager by TSARKA Watchfaces уже заблокирован в Google Play Store.

 

Новости Финтеха, ритейла и e-commerce в Центральной Азии