В 2017 г. мошенничество с криптовалютами захватило платформу Android. В основе атак – скрытый майнинг и кража данных с кошельков и популярных обменных сервисов. Такие данные приводят эксперты Eset в своем отчете. Эксперты прогнозируют, что угрозы, связанные с криптовалютами, будут расти и дальше.

Как отметил руководитель отдела технического сопровождения продуктов и сервисов Eset Russia Сергей Кузнецов, угрозы для платформы Android, прямо или косвенно связанные с майнингом криптовалют, затрагивают миллионы пользователей. Например, мобильное приложение Bug Smasher (вредоносная версия популярной игры с функцией скрытного майнинга) загрузили с Google Play от 1 до 5 млн раз. Для сравнения, добавил Сергей Кузнецов, активность вредоносного майнера для ОС Windows, Win32/CoinMiner, достигала миллиона отраженных атак в сутки. То есть Android-угрозам есть, куда расти.

В пресс-службе Eset рассказали, что распространенной уловкой мошенников в прошлом году было создание поддельных приложений криптовалютных бирж. «Подделки распространяются через Google Play и другие площадки, могут иметь высокий рейтинг и положительные отзывы. Тем не менее, их единственное предназначение – перехват логинов и паролей, которые затем используются для кражи средств», — отметили эксперты компании. В частности, в прошлом году Eset обнаружила фишинговые приложения биржи Poloniex, причем подделки, имитирующие этот сервис, появляются до сих пор. Официального приложения Poloniex не существует.

Специалисты разработчика антивирусного программного обеспечения (ПО) отметили, что похожая схема применяется для взлома криптовалютных кошельков. Мошенники создают фишинговые приложения-кошельки для перехвата закрытых ключей и SEED-фраз (набора слов для восстановления кошелька). «В этом случае риск пользователей выше – украденный пароль от биржи можно сбросить, но, если скомпрометирован закрытый ключ, содержимое кошелька потеряно», — пояснили в Eset, уточнив, что в последние месяцы эксперты компании находили в Google Play подделки под MyEtherWallet – кошелек для криптовалюты Ethereum. Эксперты добавили, что фишинговые приложения перехватывают ключи с помощью нескольких форм ввода. У оригинального MyEtherWallet также нет официального мобильного приложения.

В пресс-службе отечественного разработчика антивируса рассказали, что как и в среде Windows, в экосистеме Android растет число вредоносных программ-майнеров – несмотря на небольшую эффективность добычи криптовалюты на мобильных устройствах. Отдельный вид мошенничества – мобильные лжемайнеры. «Их разработчики утверждают, что приложения добывают криптовалюту, но на самом деле они только показывают рекламу. Интересно, что мошенники не пытаются придать обещаниям правдоподобие – некоторые лжемайнеры, найденные специалистами Eset, предлагают добычу биткоинов или криптовалюты Ripple (XRP), майнинг которой в принципе невозможен», — рассказали эксперты Eset.

«В ушедшем году произошли десятки крупных успешных атак на криптовалютные сервисы, показавших, что злоумышленники адаптировали схемы атаки на банки и используют тот же инструментарий для взлома криптобирж, кошельков и атак на пользователей», — сказал корреспонденту ComNews эксперт по безопасности Group-IB Илья Обушенко. Он добавил, что в первую очередь атаки касались банковских троянов, некоторые из них «заточены» под ОС Android. Например, уточнил Илья Обушенко, Android-бот Red Alert, известный банковский троян. Его «традиционная» версия собирает списки контактов с зараженных устройств, перехватывает SMS-сообщения для обхода двухфакторной аутентификации и показывает жертве фейковые страницы банка. Такие страницы предназначены для хищения данных банковских карт и данных для входа в интернет-банк. «Летом прошлого года Group-IB обнаружила на андеграундном форуме объявления о сдаче в аренду Android-бота Red Alert ($500 в месяц), предназначенного для кражи денег у клиентов международных банков (у него стоит блок на банки СНГ). После того, как Red Alert прошел небольшую доработку, он способен подменять в браузерах жертв страницы авторизации на сайтах криптобирж и облачных кошельков», — рассказал Илья Обушенко.

АО «Лаборатория Касперского» в конце прошлого года столкнулось с Loapi — троянцем для Android (Trojan.AndroidOS.Loapi). При этом, заметил антивирусный эксперт компании Виктор Чебышев, одна из его модификаций (Trojan.AndroidOS.Loapi.b) чрезвычайно активно распространялась в России. «В целом, в период с октября 2017 г. по сегодняшний день мы насчитали около 35 тыс. атак на уникальных пользователей в мире. Это очень много», — отметил специалист «Лаборатории Касперского», Виктор Чебышев, добавил, что майнинг на мобильном устройстве может стать для него фатальным: устройство может перегреться и выйти из строя.

По его словам, если говорить, например, про всю массу финансовых угроз, то здесь наиболее часто встречаются так называемые «перекрывающие троянцы». «Суть их работы заключается в перехвате данных логина и пароля за счет перерисовки интерфейса. Иными словами, троянец постоянно отслеживает, что находится на основном экране устройства, и если это – банковское приложение, то оно незамедлительно сворачивается, и тут же открывается визуально такое же приложение, однако вводимые в него логин и пароль уходят злоумышленникам», — пояснил он.

В Group-IB считают, что Аndroid-трояны будут атаковать владельцев криптовалют и дальше. «Методы идентификации владельцев криптокошельков и получения к ним доступа будут идентичны методам, используемым для кибератак на банковские счета. Вероятнее всего, будут адаптированы банковские Android-трояны», — резюмировал Илья Обушенко. Виктор Чебышев отметил, что чем большее распространение получают криптовалюты, тем больше будет атак на кошельки, на «производственные мощности». «Россия не станет исключением. Более того, первый действительно серьезный мобильный банковский троянец был нацелен именно на пользователей в России. Однако стоит отметить, что киберпреступники, независимо от их национальности, всегда старались и будут стараться охватить весь мир. Атаки с криптомошенничеством, скорее всего, не будут зависеть от конкретного региона», — сказал эксперт «Лаборатории Касперского». Сергей Кузнецов подчеркнул, что сегодня все, что связано с криптовалютами, под пристальным вниманием мошенников. «В ближайшем будущем увидим новые векторы атак, продвинутые программы для скрытого майнинга на Android-устройствах. На очереди – интернет-вещи на базе ОС Android (включая Android TV)», — заключил он.