Безопасность мобильных устройств: угрозы пути защиты
Нашу жизнь сегодня невозможно представить без мобильных устройств. Смартфон — наш связной с миром цифровых услуг и одновременно — потенциальный источник угроз для нашей информационной безопасности.
Эксперт по информационной безопасности Алексей Леонов специально для членов Союза «Грамотные финансовые решения» подготовил выступление, посвященное актуальным угрозам, связанным с вредоносными программами для мобильных устройств, а также о способах воздействия злоумышленников на банковские приложения и другие платежные сервисы.
Справка Союза «Грамотные финансовые решения»: Алексей Леонов, независимый эксперт, имеет профильное образование в сфере информационной безопасности (ИБ), опыт работы — 20 лет. Специализации: этичный хакинг (white hat), построение и управление ИБ, персональные данные, профайлинг, облачная ИБ, банковская безопасность. Участвовал в комиссии по аутсорсингу И Б Ассоциации ФинТех.
Членам Союза «Грамотные финансовые решения» доступна полная запись видеолекции Алексея Леонова. Ниже представлены основные тезисы выступления.
Эксперт по информационной безопасности Алексей Леонов специально для членов Союза «Грамотные финансовые решения» подготовил выступление, посвященное актуальным угрозам, связанным с вредоносными программами для мобильных устройств, а также о способах воздействия злоумышленников на банковские приложения и другие платежные сервисы.
Справка Союза «Грамотные финансовые решения»: Алексей Леонов, независимый эксперт, имеет профильное образование в сфере информационной безопасности (ИБ), опыт работы — 20 лет. Специализации: этичный хакинг (white hat), построение и управление ИБ, персональные данные, профайлинг, облачная ИБ, банковская безопасность. Участвовал в комиссии по аутсорсингу И Б Ассоциации ФинТех.
Членам Союза «Грамотные финансовые решения» доступна полная запись видеолекции Алексея Леонова. Ниже представлены основные тезисы выступления.
Современные угрозы для мобильных устройств
В 2024—2025 годах наблюдается рост целевых атак на Android и iOS, особенно на банковские приложения и платежные сервисы.
Злоумышленники используют:
Тенденции:
Злоумышленники используют:
- подмену интерфейсов банковских приложений;
- вредоносные модули в системе уведомлений и мессенджерах;
- фишинг внутри мобильных приложений.
Тенденции:
- Увеличение числа троянов, маскирующихся под легитимные программы с доступом к учетным данным и транзакциям.
- Распространение через модифицированные дистрибутивы, загрузчики, эксплойты в нативных библиотеках.
- Активное использование Telegram и аналогичных сервисов для доставки вредоносов.
- Кража данных через перехват кодов, манипуляцию авторизацией и проведение рискованных операций.
- Необходимость многоуровневой защиты: обновления ОС/приложений, контроль разрешений, многофакторная аутентификация (MFA), мониторинг транзакций.
Android vs iOS: различия в уязвимостях
Android
iOS
- Открытая экосистема → выше риск заражения через сторонние источники.
- Частые атаки через APK-файлы, загрузчики, сторонние магазины.
- Возможность внедрения оверлеев поверх окон и использования сервисов доступности.
iOS
- Жесткая проверка приложений снижает риск прямого заражения.
- Ограниченный доступ к низкоуровневым функциям.
- Основной источник атак — социальная инженерия, фишинг внутри доверенных приложений или веб-оболочек.
Основные объекты атак
- Интернет-банкинг и платежные сервисы — перехват одноразовых кодов (OTP), подмена экранов авторизации.
- Поддельные приложения — сбор данных карт и аккаунтов под видом легитимных клиентов банка.
- Мессенджеры — доставка вредоносов под видом обновлений или инструкций.
- Эксплуатация уязвимостей — внедрение через обновления или нативные библиотеки.
Примеры вредоносов
- SpyNote — троянец с удаленным доступом к устройству.
- Mamont — мобильный банковский троянец.
- Маскировка под Zoom, Outlook, PowerPoint, ChatGPT (8 500 жертв среди МСБ за январь–апрель 2025 г.).
Популярные мошеннические сценарии
- Продление договоров: ОМС, связь, банковские карты, страховки — звонки от «сотрудников» компаний с требованием срочно продлить документ.
- Звонки от «службы безопасности» банка: часто через автоинформатор с переводом на «оператора».
- Звонки от «правоохранительных органов»: легенда о возбужденном деле или хищении средств с предложением «помочь следствию».
- Госуслуги и выплаты: предложения компенсаций или участия в программах поддержки; создание фишинговых сайтов.
Техники атак
Поддельные банки
Оверлеи
Оверлейные техники предусматривают визуальное наложение поверх интерфейса другого приложения с целью перехвата ввода пользователя.
Фишинг в приложениях
Ложные формы входа или подтверждения платежей:
Обход многофакторной аутентификации (MFA)
Обход MFA:
Формирование платежных запросов без ведома пользователя; подписки внутри легитимных банковских форм; автоматическая подстановка кодов.
- Android: отдельные APK с копиями интерфейсов банков; запрос реквизитов; скрытая передача данных злоумышленникам.
- iOS: внедрение вредоносных элементов в легитимные приложения или веб-интерфейсы.
Оверлеи
Оверлейные техники предусматривают визуальное наложение поверх интерфейса другого приложения с целью перехвата ввода пользователя.
- Android: наложение экранов через сервисы доступности для перехвата паролей/кодовых SMS.
- iOS: прямые оверлеи невозможны; используются ложные уведомления для перехода на фишинговые страницы.
Фишинг в приложениях
Ложные формы входа или подтверждения платежей:
- Android: как часть поддельного банка или модуль к легитимному приложению.
- iOS: чаще через веб-интерфейсы внутри доверенных приложений.
Обход многофакторной аутентификации (MFA)
Обход MFA:
- Android — перехват OTP из СМС; автоматизация подтверждений транзакций через сервисы доступности.
- iOS — точечные кампании с социальной инженерией внутри доверенных контуров.
Формирование платежных запросов без ведома пользователя; подписки внутри легитимных банковских форм; автоматическая подстановка кодов.
Дистанционное управление
Сценарии, в рамках которых вредоносное программное обеспечение получает команды от центра управления и координируется для осуществления целевых действий с банковскими сервисами:
- Android: загрузка модулей для автоматизации входа в банк, подмены контента.
- iOS: ограничено архитектурой; атаки через социальную инженерию.
Мошенничество через мессенджеры
Используются фейковые аккаунты «сотрудников банка» или «правоохранителей» для рассылки вредоносных файлов/ссылок под видом обновлений или инструкций по безопасности.
Для повышения доверия используются элементы социальной инженерии: оформление сообщений напоминает официальные коммуникации, используются юридические формулировки, а также предупреждения о якобы срочных операциях, требующих немедленного реагирования.
Для повышения доверия используются элементы социальной инженерии: оформление сообщений напоминает официальные коммуникации, используются юридические формулировки, а также предупреждения о якобы срочных операциях, требующих немедленного реагирования.
Типовые схемы включают звонки или сообщения, выдающиеся за коммуникацию от руководителей или сотрудников службы безопасности. В таких случаях внимание акцентируется на оперативности, принуждении к раскрытию конфиденциальной информации или выполнению действий, которые приводят к раскрытию данных или установке вредоносного ПО.
В рамках атак часто используется давление фактором времени, что повышает вероятность ошибки со стороны пользователя.
В рамках атак часто используется давление фактором времени, что повышает вероятность ошибки со стороны пользователя.
Рекомендации по защите
- Обновления: своевременно устанавливать патчи ОС и приложений.
- Загрузка только из официальных магазинов: отключить установку из неизвестных источников (Android).
- MFA + биометрия: использовать аппаратные ключи или офлайн-аутентификаторы; хранить биометрию только на устройстве.
- Контроль разрешений: минимизировать доступ к СМС, уведомлениям, сервисам доступности.
- Антивирус: установить надежное решение для мобильных устройств.
- Банковские уведомления: включить мгновенные оповещения об операциях и изменениях настроек аккаунта.
- Красные флаги мошенничества: срочность действий, запрос паролей/кодовых СМС, необычные источники коммуникации.
Вывод: атаки на мобильные устройства становятся всё более комплексными и персонализированными. Защита требует сочетания технических мер (обновления, антивирусы, MFA) и внимательности пользователя к любым нестандартным запросам.