Как понять, что письмо ведет к банковскому трояну?

Чаще всего его выдают срочность, странная ссылка, просьба открыть архив или установить файл вручную. Если письмо подталкивает к действию прямо сейчас и без проверки — это повод остановиться и перепроверить отправителя.

Чем опасны опасные разрешения на Android?

Если приложение получает доступ к специальным возможностям, оно может читать экран, нажимать кнопки и перехватывать ввод. Для вредоносной программы это почти полный контроль над устройством.

Поможет ли антивирус, если пользователь сам установил подделку?

Он помогает, но не закрывает все риски. Лучше сочетать защиту системы с внимательностью, обновлениями, проверкой ссылок и двухфакторной аутентификацией.

Grandoreiro и BTMOB: новые схемы атак на Windows и Android

Новые кампании с Grandoreiro и BTMOB ударили по пользователям Windows и Android в Европе и Латинской Америке. Исследователи говорят о классической схеме: письмо, ссылка, поддельное обновление или фальшивое приложение, а затем — кража банковских данных и учетных записей.

История инцидента

WatchGuard и ESET сообщили о двух волнах атак, которые нацелены на компании и частных пользователей в Испании, Португалии, Мексике и Бразилии. В одном случае злоумышленники распространяют Grandoreiro через фишинговые письма, в другом — BTMOB добирается до Android-устройств через поддельные сайты и фиктивные страницы приложений.

Grandoreiro давно работает как банковский троян. По данным исследователей, он собирает учетные данные для доступа к финансовым сервисам в десятках стран и умеет маскировать связь с командными серверами под обычный интернет-трафик. Именно это делает его опасным не только для клиентов банков, но и для корпоративных пользователей, у которых на устройстве есть почта, мессенджеры и доступ к внутренним системам.

В одном из сценариев атаки злоумышленники используют DLL Side-Loading — подгрузку вредоносных библиотек через легитимные программы. В другом случае жертве присылают архив ZIP, внутри которого лежит запутанный скрипт и фальшивый запрос обновить Adobe Reader. После клика начинается цепочка проверок, которая помогает вредоносной программе скрыться от анализа.

Для понимания масштаба полезно посмотреть и на другие схемы, где злоумышленники живут за счет доверия к привычным инструментам. Например, в Канаде арестовали оператора ботнета Kimwolf после долгой кампании, построенной на обмане и удаленном управлении зараженными машинами.

Что пошло не так в защите

Главная проблема здесь не в какой-то экзотической уязвимости, а в сочетании старых приемов. Фишинговые письма все еще работают, потому что они похожи на обычную деловую переписку, а фальшивые страницы приложений выглядят достаточно убедительно для пользователя, который спешит и не проверяет адрес сайта.

Второй слабый участок — доверие к популярным форматам трафика. Исследователи отдельно отмечают использование WebRTC, STUN и ICE: такие протоколы часто встречаются в видеосвязи и онлайн-коммуникациях, поэтому их сложнее отличить от обычной активности. Для защитных систем это шумный фон, на котором вредоносный обмен данными проще спрятать.

BTMOB добавляет к этому еще один риск — модель «вредонос как услуга». По данным ESET, инструмент продают с конструктором APK, то есть даже малоопытный злоумышленник может собрать новую сборку под свой сценарий атаки. Это снижает порог входа и ускоряет распространение кампаний.

Особенно опасна связка из социальных уловок и расширенных прав доступа. После установки BTMOB просит включить специальные возможности Android, а затем получает возможность управлять устройством почти без участия владельца. В результате атакующий может читать экран, перехватывать ввод и выманивать банковские данные.

Уроки для читателя

Первый вывод простой: злоумышленники редко ломают защиту силой, они заходят через доверие. Пользователь сам запускает файл, сам ставит приложение и сам подтверждает опасные разрешения. Поэтому антифишинг важен не меньше, чем антивирус или обновления системы.

Второй вывод касается корпоративной среды. Если сотрудник открывает вредоносный архив на рабочем ноутбуке, под угрозой оказываются не только его личные счета. Могут пострадать почта, CRM, доступ к внутренним порталам и документы, к которым устройство уже получило сеанс входа.

Третий вывод — не стоит смотреть только на «подозрительные» файлы. Современные кампании прячут вредоносную активность в привычных сценариях: обновление Reader, архив от партнера, приложение с похожим названием, страница с «ошибкой входа». Именно поэтому важны базовые привычки цифровой гигиены: проверка адреса сайта, осторожность с вложениями и двухфакторная защита аккаунтов.

Если вам интересно, как работают похожие многоэтапные атаки на проекты и сервисы, посмотрите разбор атаки на KnowledgeDeliver. Там хорошо видно, как цепочка мелких ошибок приводит к большой проблеме.

Практические выводы и чек-лист

Ниже — короткий список, который можно применить прямо сейчас. Он не требует специальных навыков, но заметно снижает риск заражения.

Проверьте, включена ли двухфакторная защита у почты, банковских сервисов и важных рабочих аккаунтов.
Обновите ОС, браузер и приложения вручную только через магазин или официальный сайт разработчика.
Не открывайте ZIP-архивы и вложения из писем, если не ждали их от отправителя.
На Android не выдавайте приложению доступ к специальным возможностям без понятной причины.
Сверяйте адрес сайта перед входом в аккаунт: одна лишняя буква часто выдает подделку.
Удалите старые и лишние приложения, которым вы когда-то дали доступ к банковским уведомлениям или экрану.
Если пользуетесь публичным Wi‑Fi в дороге, выбирайте дополнительный слой защиты для открытых сетей вместе с менеджером паролей и 2FA.
При малейших признаках заражения — странных запросах на права, всплывающих окнах, пропаже денег или входов — отключите устройство от сети и обратитесь в банк и к ИТ-специалисту.

BTMOB и Grandoreiro показывают одну и ту же тенденцию: массовые атаки стали дешевле, гибче и незаметнее. Побеждает не тот, у кого сложнее вредонос, а тот, кто раньше заметит подделку и не даст ей шанса запуститься.