Хакеры научились удаленно стирать все данные на смартфоне

Первая версия вируса появилась в 2019 году. Фото: Михаил Руденко / iStock

Вирус BRATA - не новый. Ранее он использовался для кражи данных банковских карт. Теперь же обновленная версия программы значительно "поумнела" - она может полностью удалить все данные на Android-смартфоне жертвы. Хакеры знают и примерное месторасположение жертвы - у вируса есть доступ к геопозиции смартфона через систему GPS.

"Вредоносную программу для Android-устройств BRATA впервые обнаружили в 2019 году. Она давала удаленный доступ к мобильным устройствам жертв преимущественно в Бразилии. Позднее вредоносное ПО было модифицировано, и в конце 2021 года оно активно атаковало пользователей онлайн-банкинга в Европе. Стали появляться новые варианты, каждый из которых нацелен на определенный банковский софт. Вредонос накладывает свои окна поверх легитимных банковских приложений, что позволяет перехватить учетные данные для входа", - рассказывает Даниил Чернов, директор Центра Solar appScreener компании "Ростелеком-Солар".

По словам эксперта, секрет успеха BRATA в том, что при установке вирус запрашивает высокий уровень доступа, включая права суперадминистратора. "Таким образом, хакеры получают полный пакет привилегий и могут выполнять любые действия в операционной системе. Получив полный контроль над системой, злоумышленники могут изменять, удалять системные файлы и папки", - говорит Чернов.

Основной способ распространения BRATA - через якобы СMС от банка. "В сообщении просят установить приложение, выполняющее критически важные функции безопасности. Оно должно защитить от финансовых краж и обезопасить все операции, которые пользователь выполняет через онлайн-банк. Это часто сопровождается звонком якобы из службы безопасности банка, представитель которого обращает внимание на СМС, просит в целях безопасности установить данную программу и предлагает консультацию в технических вопросах. "В этот момент главная задача злоумышленника - сделать так, чтобы пользователь установил приложение и предоставил ему высокий уровень привилегий, включая права суперадминистратора, просмотр уведомлений, скриншоты учетных данных, перехват второго фактора аутентификации", - поясняет специалист.

Хакеры "сбрасывают" телефон жертвы в двух случаях. Во-первых, когда вредонос BRATA успешно провел атаку и передал требуемые данные пользователя, а во-вторых - когда обнаруживает, что его пытаются анализировать с помощью антивирусного ПО.

Для защиты вполне достаточно запретить установку из сторонних источников, продолжает Виктор Чебышев, эксперт по кибербезопасности в "Лаборатории Касперского". Кроме того, он добавил, что, несмотря на то, что в России BRATA пока замечен не был, ему не составит труда появиться и тут.

По мнению Чебышева, BRATA отличается от других вирусов: "Злоумышленники зачастую пытаются сделать банковских троянцев максимально самостоятельными. Бывает так, что троянец сам запускает банковское приложение, осуществляет платеж и стирает следы присутствия. В случае с BRATA все наоборот: авторы троянца действует по схеме ручного контроля зараженного устройства через сбор скриншотов и удаленного доступа к экрану устройства".

Кроме того, эксперт усомнился в "профессионализме" хакеров. "Они внедрили функцию полной очистки устройства. Ее обычно содержат приложения типа "антивор", чтобы противодействовать чтению личных данных с устройств. Аналогичная функция есть в BRATA, но дело в том, что вызови троянец такую функцию, это сразу же обнаружит жертва, в то же время восстановить данные и установленные приложения не составит труда. Пользователь весьма быстро заподозрит, что что-то пошло не так. Но при этом злоумышленники уже не смогут контролировать устройство", - заключает Чебышев.