Эксперты указали на рост числа поддельных мобильных приложений банков

Освоили App Store и Google Play

В I квартале 2024 года количество уникальных вредоносных программ (установочных пакетов) для Android в России, которые маскируются под приложения финансовых организаций, увеличилось в 1,6 раз по сравнению с аналогичным периодом 2023 года, сообщили Forbes в «Лаборатории Касперского». По словам эксперта по кибербезопасности в «Лаборатории Касперского» Дмитрия Калинина, кроме подделки самих банковских приложений, мошенники производят для Android и приложения несуществующих служб поддержки банков.

Для владельцев смартфонов Apple на iOS проблема стоит еще острее, указывает ведущий специалист департамента Digital Risk Protection компании F.A.C.C.T. Евгений Егоров — у iPhone нет возможности скачивания приложения из сторонних магазинов, и этой особенностью активно пользуются мошенники, которые выгружают подделки приложений банков в AppStore. Проблема фейковых банковских мобильных приложений за последний год значительно обострилась, в контексте цифровой безопасности став одним из наиболее растущих направлений мошенничества, согласен руководитель группы исследований безопасности банковских систем Positive Technologies Сергей Белов.

Только в начале апреля стало известно о трех мошеннических приложениях крупных российских банков. 10 апреля о фейковых приложениях ВТБ и «Тинькофф» в AppStore предупредило МВД, 15 апреля появилось сообщение о новом поддельном приложении Сбербанка для iOS.

С подделкой своего официального приложения столкнулся даже Банк России, об этом в конце 2023 года сообщала его пресс-служба. Мошенники назвали фейковое приложение, как и оригинал, «Банкноты Банка России» и сделали его визуально похожим. С помощью подделки они получали доступ к телефонам жертв, банковским приложениям и счетам. По данным ФинЦЕРТ (специальное структурное подразделение Банка России, занимающееся вопросами инфобезопасности), в 2023 году ЦБ инициировал ограничение доступа к 35 фейковым приложениям, которые использовались для осуществления фишинга под видом приложений кредитных организаций. По итогам 2022 года ЦБ выявил 23 поддельных приложения. 

Главные объекты подделок на любой площадке сейчас — это приложения подсанкционных банков, отмечает директор по информационной безопасности МТС RED Виталий Медведев. По словам старшего вице-президента ВТБ Никиты Чугунова, первые подделки приложений ВТБ зафиксировал еще в 2015-2017 годах, но настоящий всплеск начался в 2022 году. Только за первый санкционный год число подделок выросло на 70%. В 2024 году ВТБ также отмечает рост числа фейковых приложений по сравнению с 2023-м. Рост количества фейковых мобильных приложений банков отмечают также представители «Сбера», ПСБ, МТС Банка. Газпромбанк за последние полгода трижды выявлял фейковые приложения, которые используют символику и логотип, схожие с айдентикой банка — в последний раз это было приложение под названием «G as Pro» в середине марта, сообщила пресс-служба банка.

Как внедрить подделку

Часто все начинается с фишинговых атак, когда пользователю приходит сообщение с просьбой обновить приложение или установить версию для доступа к новым функциям или важным уведомлениям о безопасности. Эти сообщения могут быть отправлены по электронной почте, через SMS или мессенджеры и часто содержат ссылки, ведущие на поддельные страницы загрузки, рассказывает Сергей Белов из Positive Technologies.

Помимо прямых фишинговых атак, мошенники могут использовать различные платформы и медиаканалы для рекламы своих приложений, продолжает он. Например, могут создать рекламу, которая показывается в социальных сетях или в результате поисковых запросов, которая также ведет на поддельные страницы загрузки.

Также в ходу социальная инженерия, когда мошенники звонят клиентам и пытаются уговорить их установить приложение, пугая тем, что старое перестанет работать, или требуя провести диагностику оригинального приложения, смартфона, добавляет Никита Чугунов из ВТБ.

В 2024 году приоритеты в выборе механик у мошенников сменилиcь, подчеркивают собеседники Forbes. Ранее злоумышленники больше полагались на фишинг, но явный тренд последних месяцев — размещение поддельных приложений сразу в сторах, говорит Виталий Медведев. Главная причина смены механик — обычное удобство: из-за отсутствия конкуренции в виде официальных банковских приложений, при поиске приложения конкретного банка будут выводиться только подделки, соглашается Евгений Егоров. Кроме того, в пользу мошенников играет и человеческая психология: многие пользователи считают, что приложения, скачанные из официальных источников (Google Play, RuStore, AppStore и других) полностью безопасны, отмечают аналитики «Кибрария» Сбербанка.

По словам экспертов, мошенники редко полностью клонируют весь функционал оригинального банковского приложения. «Это считается технически сложной задачей. В таком случае мошенники должны не только точно воспроизвести дизайн и пользовательский интерфейс оригинала, что требует знаний в области программирования и дизайна, но и обеспечить стабильность и функциональность приложения», — объясняет Белов.

Гораздо чаще злоумышленники идут по пути сборки приложения, просто напоминающего оригинал. «В практике Газпромбанка был случай, когда обнаружили приложение с упоминанием банка, и даже логотип отдаленно напоминал банковский. Но внутри приложение вело на различные страницы сайта банка, а также на интернет версию мобильного банка», — рассказывает его представитель. Иногда речь идет просто об экране авторизации пользователя, добавляет представитель МТС Банка.

Сделать такую копию достаточно просто: картинки для оформления можно позаимствовать у банка, а дизайн взять с мобильной версии его сайта — для этого не нужно обладать продвинутыми навыками веб-разработки, так как стили и разметка веб-страниц доступны всем пользователям в консоли браузера, рассказывает ведущий эксперт по сетевым угрозам «Кода безопасности» Константин Горбунов. Киберпреступникам и незачем клонировать весь функционал — достаточно показать приветственный экран и предоставить пользователю возможность ввести персональные данные на форме входа. «После публикации фейка мошенникам остается сделать финальные штрихи: накрутить скачивания, оценки и отзывы. Сделать это также несложно, поскольку в сети можно найти множество SMM-агентств, предлагающих подобные услуги продвижения», — заключает он.

Можно ли с этим бороться

Бороться с поддельными мобильными приложениями банков довольно сложно по нескольким причинам, говорят компании, занимающиеся кибербезопасностью. Во-первых, неразберихе способствуют сами подсанкционные банки, которые пытаются загрузить оригинальные приложения на маркетплейсы. В таком случае они стараются сделать свои приложения менее заметными, чтобы снизить риски удаления из маркетплейсов, имитировать приложения других разработчиков и направленности. «В результате такие легитимные приложения иногда становятся похожими на фейковые, и пользователю сложно отличить одно от другого», — отмечает Виталий Медведев из МТС RED. Держать поддельное приложение в маркетплейсе долго не нужно и самим мошенникам: их цель — оперативное получение прибыли, поэтому они заманивают жертв именно оригинальным видом фейка, добавляет Констатин Горбунов.

Во-вторых, при обнаружении поддельного приложения, мимикрирующего под официальный релиз, банкам приходится взаимодействовать с маркетплейсами, что дает мошенникам фору во времени для обмана пользователей. «Оперативно удалить поддельные приложения сложно, так как это вопрос взаимодействия банка и маркетплейса, обычно он небыстрый, особенно если банк под санкциями», — указывает Виталий Медведев. Впрочем, банки уверяют, что сторы сами не заинтересованы в подделках и удаляют их оперативно, говорят представители Газпромбанка, ПСБ и ВТБ.

В-третьих, после того как пользователи скачали поддельное приложение, их надо информировать о необходимости его деактивации. ПСБ постоянно проводит разъяснительную работу с клиентами о необходимости быть бдительными и не разглашать конфиденциальные данные — номера карт и счетов, пароли и коды из SMS-сообщений, всегда перепроверять информацию, прежде чем совершать денежный перевод или платеж кому-либо, а также не устанавливать на свои гаджеты приложения из непроверенных источников, особенно если кто-то предлагает сделать это по телефону, через мессенджеры или ссылку на сайт, отмечает его пресс-служба. «Главное правило — использовать официальные сайты и не переходить по ссылкам, получаемым даже от знакомых в мессенджерах. В случае если пользователь уже ввел свои данные, необходимо срочно звонить в банк и блокировать карты и счета», — указывает Никита Чугунов из ВТБ.

Убеждать пользователей не устанавливать любые приложения из сторов или деактивировать скачанные подделки — не лучшая стратегия для банков в борьбе с мошенниками, считают специалисты по информационной безопасности. Чтобы эффективно бороться с подделками, надо самим изменить механику дистрибуции мобильных приложений, уверены они. «Банкам стоит отказаться от идеи размещать в маркетплейсах копии приложений, имитирующие приложения других разработчиков, чтобы обойти санкции. Гораздо правильнее, на наш взгляд, создать собственный доверенный канал поставки своих приложений пользователям, а также использовать единый российский маркетплейс», — категоричен Виталий Медведев. Также им стоит практиковать установку своих приложений на устройства пользователей силами своих сотрудников — в клиентских офисах. «Это не столь удобно для клиентов, так как надо дойти до офиса банка. Однако в этом случае клиент получает все последующие обновления уже из доверенного источника», — заключает он.

При участии Романа Рожкова