Хакеры научились удаленно стирать все данные на смартфоне

Первая версия вируса появилась в 2019 году. Фото: Михаил Руденко / iStock

Вирус BRATA — не новый. Ранее он использовался для кражи данных банковских карт. Теперь же обновленная версия программы значительно «поумнела» — она может полностью удалить все данные на Android-смартфоне жертвы. Хакеры знают и примерное месторасположение жертвы — у вируса есть доступ к геопозиции смартфона через систему GPS.

«Вредоносную программу для Android-устройств BRATA впервые обнаружили в 2019 году. Она давала удаленный доступ к мобильным устройствам жертв преимущественно в Бразилии. Позднее вредоносное ПО было модифицировано, и в конце 2021 года оно активно атаковало пользователей онлайн-банкинга в Европе. Стали появляться новые варианты, каждый из которых нацелен на определенный банковский софт. Вредонос накладывает свои окна поверх легитимных банковских приложений, что позволяет перехватить учетные данные для входа», — рассказывает Даниил Чернов, директор Центра Solar appScreener компании «Ростелеком-Солар».

По словам эксперта, секрет успеха BRATA в том, что при установке вирус запрашивает высокий уровень доступа, включая права суперадминистратора. «Таким образом, хакеры получают полный пакет привилегий и могут выполнять любые действия в операционной системе. Получив полный контроль над системой, злоумышленники могут изменять, удалять системные файлы и папки», — говорит Чернов.

Основной способ распространения BRATA — через якобы СMС от банка. «В сообщении просят установить приложение, выполняющее критически важные функции безопасности. Оно должно защитить от финансовых краж и обезопасить все операции, которые пользователь выполняет через онлайн-банк. Это часто сопровождается звонком якобы из службы безопасности банка, представитель которого обращает внимание на СМС, просит в целях безопасности установить данную программу и предлагает консультацию в технических вопросах. «В этот момент главная задача злоумышленника — сделать так, чтобы пользователь установил приложение и предоставил ему высокий уровень привилегий, включая права суперадминистратора, просмотр уведомлений, скриншоты учетных данных, перехват второго фактора аутентификации», — поясняет специалист.

Вирус распространяется через якобы СМС от банка

Хакеры «сбрасывают» телефон жертвы в двух случаях. Во-первых, когда вредонос BRATA успешно провел атаку и передал требуемые данные пользователя, а во-вторых — когда обнаруживает, что его пытаются анализировать с помощью антивирусного ПО.

Для защиты вполне достаточно запретить установку из сторонних источников, продолжает Виктор Чебышев, эксперт по кибербезопасности в «Лаборатории Касперского». Кроме того, он добавил, что, несмотря на то, что в России BRATA пока замечен не был, ему не составит труда появиться и тут.

По мнению Чебышева, BRATA отличается от других вирусов: «Злоумышленники зачастую пытаются сделать банковских троянцев максимально самостоятельными. Бывает так, что троянец сам запускает банковское приложение, осуществляет платеж и стирает следы присутствия. В случае с BRATA все наоборот: авторы троянца действует по схеме ручного контроля зараженного устройства через сбор скриншотов и удаленного доступа к экрану устройства».

Кроме того, эксперт усомнился в «профессионализме» хакеров. «Они внедрили функцию полной очистки устройства. Ее обычно содержат приложения типа «антивор», чтобы противодействовать чтению личных данных с устройств. Аналогичная функция есть в BRATA, но дело в том, что вызови троянец такую функцию, это сразу же обнаружит жертва, в то же время восстановить данные и установленные приложения не составит труда. Пользователь весьма быстро заподозрит, что что-то пошло не так. Но при этом злоумышленники уже не смогут контролировать устройство», — заключает Чебышев.