Как украсть данные с телефона. Как удалить свои данные с утерянного телефона Android

Сразу скажем, красть личную информацию в интернете – незаконно (и некрасиво). Единственной целью нашего редакционного эксперимента было показать, как опасны могут быть общественные сети Wi-Fi. Вся полученная информация (равно как и все "шпионские" программы) удалена с компьютера сразу после окончания эксперимента.

Пользователи сейчас настолько беспечны, что для них случайно потерять конфиденциальные данные – проще простого. Мы задались целью показать, насколько много "дыр" в общественных сетях Wi-Fi. И сами испугались того, как легко оставить полное досье на себя незнакомому, но заинтересованному человеку.

"Используйте, только если полностью осознаете свои действия"

Ни одна из программ не позиционирует себя как "пиратская", "хакерская" или незаконная – их можно без проблем скачать в сети. Правда, одну антивирус сразу же пытается удалить как вредоносную, зато на другую реагирует спокойно.

Читаем инструкции:

"Используйте данный режим мониторинга, только если полностью осознаете свои действия", – просит один из "шпионов". И дополняет, что его технология основана на слабостях протокола ARP. Осознаем ли свои действия? Да конечно!

Отправляюсь в кафе посреди минского торгового центра, прихватив с собой напарника-"жертву" и два ноутбука. Сразу видно, что в кафе бесплатный Wi-Fi, снаружи сидит человек пять с гаджетами, внутри – еще больше.

Инструктирую напарника: он должен зайти в интернет через Wi-Fi и вести себя как обычный пользователь. На его компьютере установлена Windows 8 со встроенными антивирусом и брандмауэром - стандартный вариант, мало кто заморачивается на установку более продвинутого ПО для защиты.

Компьютер с программами-шпионами устраиваю за столиком и пробую проследить за тем, что "жертва" делает в интернете.

Компьютеры – по списку, чужие данные – по времени

Нахожу среди устройств ноутбук напарника. Подключаюсь к нему – на экране начинают появляться данные, которые проходят через сеть. Вся информация структурируется по времени, есть даже встроенный просмотрщик перехваченных данных.

Переглядываемся с напарником, он понимает, что слежка удалась, и решает сменить сайт.

"Жертва" сидит в паре метров, а мы глазеем на ее фото в интернете

Приходит сообщение "ВКонтакте". В одной из подробных спецификаций сообщения обнаруживаем, что в каждой из них виден идентификатор пользователя. Если вставить его в браузер, то откроется аккаунт человека, который получил сообщение.

Открываем страничку напарника "ВКонтакте": на странице указаны имя, фамилия и целый ворох другой информации.

Напарник в это время пишет ответ на сообщение, и явно не догадывается, что мы вовсю глазеем на фотографии в его аккаунте. Подает сигнал одно из приложений соцсети – мы, сидя в двух метрах, можем прослушать этот звук в плеере.

За гранью: функции перехвата паролей и сообщений

Демонстрировать чужую переписку – это уже за гранью добра и зла. Но это работает. В качестве иллюстрации – часть диалога автора текста, пойманную следящим компьютером с устройства-"жертвы".

Другая программа отдельно "складывает" все cookies и пользовательскую информацию, включая пароли. К счастью, в зашифрованном виде, но тут же предлагает установить утилиту, которая их расшифрует. Этого мы твердо решаем не делать, хоть "добра" за несколько сеансов набирается немало.

"Обнаружена попытка перехвата"

Но это единичный случай. Многие публичные сети не выставляют вообще никакой защиты, а иногда и пароля. А значит, трафик коллег, друзей или незнакомцев может перехватить любой желающий.

Самый надежный выход из этой ситуации один: не передавать никакую важную информацию через общественные сети. К примеру, не пересылать телефоны и пароли в сообщениях и не расплачиваться платежной карточкой за пределами дома.

А еще желательно ответственнее относиться к защите устройства, иначе нужно быть готовым попрощаться с личной информацией.

Если вы работаете с устаревшей бесплатной версией G Suite и хотите использовать эту функцию, перейдите на G Suite Basic .

Мобильное устройство позволяет сотруднику работать с важной информацией и корпоративным аккаунтом. Если пользователь покинет организацию или потеряет телефон, вы сможете дистанционно удалить с его устройства корпоративные приложения и данные, корпоративный аккаунт, рабочий профиль, а также стереть информацию. При этом корпоративные данные будут по-прежнему доступны через браузер и с других авторизованных мобильных устройств.

Подготовка

Вы можете удалить все приложения и данные или только корпоративный аккаунт.

• Удалите все данные , если личное или корпоративное устройство потеряно либо украдено.
• Удалите корпоративный аккаунт с личного устройства сотрудника, если он покидает компанию.

То, какие именно данные будут удалены, зависит от типа устройства. Подробная информация приведена в таблице ниже.

Примечание. В базовом режиме управления мобильными устройствами удалить все приложения и данные нельзя. Эта возможность доступна только при условии, что применены расширенные параметры управления, а на устройстве установлено приложение Google Apps Device Policy (Android), настроен профиль Device Policy (Apple iOS) или используется Google Sync (только для G Suite).

*При удалении выполняется быстрая, а не полная очистка SD-карты. Данные удаляются только с основных подключенных SD-карт, но остаются на картах, доступных только для чтения.

Если устройство не потеряно и не украдено и у вас есть доступ к нему, следуйте инструкциям ниже.

• Убедитесь, что пользователь может войти в корпоративный аккаунт.
  • Если пользователь не знает пароля, сбросьте его , прежде чем удалять данные с устройства. В противном случае он сможет войти на устройство только через 24 часа.
  • Если аккаунт заблокирован, восстановите его.
• Если для устройства Android включена защита от сброса настроек , убедитесь, что вы можете получить доступ к нему с помощью других аккаунтов администратора. Эти аккаунты должны быть активны, в противном случае после восстановления заводских настроек устройство будет недоступно.
• Прежде чем стереть все данные или аккаунт, выйдите из корпоративного аккаунта и удалите его.

Как удалить данные или корпоративный аккаунт с устройства

При следующей синхронизации информация будет удалена, а настройки устройства сброшены (если применимо). Обычно данные удаляются с устройства в течение нескольких минут, но иногда эта операция занимает до трех часов. После этого в консоли администратора устройству будет назначен статус Данные удалены или Аккаунт удален . Если устройство не в сети, то операция будет завершена после его возвращения в онлайн-режим. До этого его статус в консоли администратора будет показан как Удаление данных .

Корпорация Google, наконец, разработала специальный инструмент, позволяющий владельцам находить свои утерянные Android-смартфоны. Функция «поиска» доступна даже тем, кто не обновлял программное обеспечение, а, следовательно, и не устанавливал специальные приложения или не менял настройки. Утерянный смартфон не только можно отыскать на карте, но и воспользоваться функцией удаления пользовательской информации в дистанционном режиме. Также инструмент от Google позволяет осуществить удаленный звонок, когда смартфон был украден или найден, и SIM-карта заменена новым владельцем.

Что нужно, чтобы найти Android телефон

А вот вся пользовательская информация с утерянного мобильного устройства может быть удалена лишь при наличии определенных настроек. Делается это просто и совершено бесплатно: в Администраторы устройств необходимо отметить галкой соответствующий пункт и согласиться с измененными параметрами. Всего два клика открывают вам новые возможности. Вам не надо будет загружать какие-либо утилиты, чтобы найти утерянный телефон или осуществить некоторые действия дистанционно с ПК или любого устройства, где есть доступ к учетной записи Google.

И даже если вы педантичны, внимательны и абсолютно уверены, что никогда не потеряете мобильное устройство, мы рекомендуем вам не пренебрегать возможностью получить новые функции. Мало ли что...

Чтобы воспользоваться новыми функциями от разработчика операционной системы, вам необходимо иметь любое мобильное устройство Андроид, которое привязано к учетной записи Google.

На заметку! К Администратору устройств еще три года назад имели доступ лишь пользователи бизнес-аккаунтов Google. Сейчас удаленное управление андроид доступен и на стандартных учетных записях. И появилась опция на мобильном устройстве по умолчанию, без обновления программного обеспечения и настройки определенных параметров. Опция доступна всем пользователям без исключения, поскольку привязывается не к операционной системе, а к учетной записи.

Включение функции удаленное управление Android

На заметку! Если на вашем смартфоне установлена более старая версия программного обеспечения, поищите и отметьте галкой пункты, разрешающие находить телефон удаленно и сбрасывать настройки до заводских параметров.

Вот так легко, быстро и просто вы включили функцию удаленного управления. Никаких дальнейших действий предпринимать не надо: пользуйтесь мобильным устройством, как обычно.

Удаленное управление Андроид

Новые функциональные возможности операционной системы Google Android позволят находить утерянные устройства, удалять пользовательскую информацию и настройки дистанционно и не терять из виду своих детей.

С помощью смартфона человек совершает много операций: ведет рабочие процессы, переписку с друзьями, просматривает фото и видео, заказывает еду, билеты на поезд, оплачивает коммунальные услуги и пр. Несмотря на то, что в нашей стране мобильные устройства стали популярными всего несколько лет назад, среди украинцев зафиксировано уже более 10 млн владельцев смартфонов.

Вместе с развитием интернет-технологий и онлайн платежей активно процветает и кибермошенничество. Преступники зашли очень далеко: сейчас они могут воровать с телефонов не только аккаунты или фото, но и пароли к почте, доступы к виртуальным хранилищам различной конфиденциальной информации и т.д.

Как же обезопасить себя и своих близких от утечки личных данных и средств во время совершения той или иной операции в онлайн через смартфон? Читайте в статье.

Как хакеры воруют данные в Сети?

Установка вирусного ПО

Впустить мошенников в свою жизнь через смартфон очень просто: обычно они получают доступ к личной информации из-за низкого уровня системы защиты устройства. Вы сами открываете им для этого «дверь», например, подключившись к бесплатному Wi-Fi или установив бесплатное приложение. К сожалению, украинцы еще не осознали до конца все последствия незаконного скачивания контента из интернета. Отсюда – масса вредоносного ПО, избавиться от которого бывает очень проблематично.

Получив доступ через вирусное программное обеспечение к данным пользователя, мошенники могут им дистанционно управлять. Это значит, что все ваши действия в интернете, включая проведение онлайн платежей с разовыми паролями, будут им видны.

Требование перевода денег для разблокировки телефона

Блокировка смартфона и вымогательство средств – весьма популярный вид кибератак по всему земному шару. Попав в ваш смартфон через установку какой-нибудь программы, вредоносная система отправит вам примерно такое сообщение: «Для разблокировки устройства требуется перевести средства на этот счет» (для наших граждан – WebMoney, «Яндекс.Деньги», за границей – Bitcoin).

В такой ситуации ни в коем случае нельзя совершать оплату, ведь для хакеров это станет сигналом, что данный IP-адрес пригоден для шантажа. Выход один – обратиться в полицию и затем к программистам для разблокировки устройства.

Также весьма распространенный способ воровства данных с помощью вирусного ПО – перехват кодов SMS-сообщений, требуемых для подтверждения операции в интернет-банкинге. Человек просто не получает SMS – вирусная система их блокирует. К слову, нашумевший в Европе «троян» Eurograbber лишил средств 30 000 человек на общую сумму 36 млн евро.

Промышленный шпионаж

А какой ущерб может создать вредоносное ПО для бизнеса! Так, в Европе массовым явлением стала кража денежных средств со счетов юрлиц через подмену ФИО получателя в электронной почте. Сделать это возможно в том случае, если поставщик и покупатель вели переписку через электронку и фиксировали реквизиты получателя денег. Перед самой оплатой покупателю может прийти письмо с новыми реквизитами и просьбой выслать деньги на новый счет. Притом с адреса продавца. В итоге, деньги могут быть отправлены не по назначению, а в руки мошенников.

Доступ к конфиденциальной информации можно получить и через скайп сотрудника банка, от имени которого будет отправлена «зараженная» ссылка клиентам финучреждения.

«Слив» данных через закладки установленных программ

Самая важная деталь процесса кибератак – это их незаметность на фоне других процессов. Технические возможности преступников за последнее время усилились, и теперь обмануть пользователя им стало еще проще – он просто может не знать, что его смартфон заражен вирусом. Вирусный код устанавливается не сразу, чтобы антивирусная программа его не заметила. Зайти на мобильное устройство стало возможно и через закладки к уже скачанным программам, а уже через них скачать вредоносный файл.

И кстати, если раньше о вирусе могло подсказать замедление работы телефона, то сейчас никаких сбоев не произойдет.

Что делать в случае заражения телефона вирусным ПО?

Первым делом нужно сбросить текущие настройки телефона и вернуться к заводским. Чтобы сохранить важные данные, продублируйте их в облако или на другие устройства. Данные почты не нужно копировать, поскольку они хранятся на сервере, а не на телефоне. Дублирование данных обезопасит вас от возможной блокировки устройства с целью вымогания средств.

Кража денег с банковских счетов становится все более распространенным делом – в социальных сетях и на форумах постоянно всплывают новые истории от людей, внезапно обнаруживших свой банковский счет пустым. И если раньше основным инструментом воровства выступала платежная карта, с которой где-то «срисовали» данные и ПИН, то сейчас вполне можно обойтись и без физического контакта с ней – достаточно доступа к смартфону или ПК, работающим с банковскими приложениями.

На эту тему я поговорил с Сергеем Ложкиным, одним из экспертов лаборатории Касперского (это произошло на пресс-конференции, посвященной итогам года), и он привел несколько примеров из своей практики. Для меня эти примеры достаточно очевидны (хотя и на старуху бывает проруха), однако многие люди (в том числе те, кто вроде бы «в теме») о них даже не подозревают. Поэтому давайте поговорим об этом чуть подробнее.

Зачем заражать мобильные устройства?

Наиболее перспективный и прибыльный на сегодня вид вредоносного ПО – это банковские троянцы, которые перехватывают управление взаимодействием с банком и опустошают банковский счет.

Заражение ПК

Куда чаще используются уже старые и известные уязвимости, которые закрыты обновлениями ОС – расчет идет на тех пользователей, у которых не работает или отключено автоматическое обновление. Либо для атаки на систему используются уязвимости в стороннем ПО – браузерах, флэш-плеере и других приложениях Adobe, Java-машине и пр.

Один из наиболее распространенных механизмов «автоматического» заражения состоит в том, что пользователя заманивают на вредоносную страницу (или можно внедрить фрейм или скрипт на легальной странице, например, сайте ведущего новостного агентства, от которого не ожидают подвоха), где находится эксплоитпак – набор уязвимостей для разных браузеров или компонентов (того же Adobe Flash, Java и пр.). Стоит вам зайти на нее, как скрипт подберет уязвимость именно вашего браузера и через нее скачает и запустит нужные компоненты вредоносного ПО именно под вашу систему. Уязвимость браузера может существовать в открытом виде неделями, пока информация о ней дойдет до разработчика и пока он не выпустит обновление. Но и дальше она сохраняет актуальность для тех, кто не обновился до последней версии.

Далее на компьютер с помощью этой уязвимости самостоятельно скачивается и запускается, либо (если подходящей уязвимости не нашлось) пользователю предлагается к скачиванию пользователю под любым соусом (например, знаменитые «Обновления браузера Opera» или «обновление Adobe») собственно вирус/троян. Или так называемый дроппер (он же даунлоадер). Это загрузчик, который осматривается в системе и потом закачивает и ставит другие требуемые компоненты – клавиатурные шпионы, вирусы, шифровальщики, компоненты для организации ботнетов и многое другое – в зависимости от полученного задания. Кстати говоря, его работу часто может отловить и заблокировать файрволл. Если он есть, конечно.

Если антивирусная компания находит такую уязвимость либо ловит трояна и по его поведению видит, как он проникает в систему, то она сразу информирует о проблеме разработчиков. Дальше – у всех по-разному. Например, представители Лаборатории Касперского говорят, что в большинстве случаев Google старается выпускать патчи достаточно быстро, Adobe тоже. И при этом относительно невысоко оценивают Safary для Mac, называя его одним из рекордсменов по количеству уязвимостей. А Apple реагирует когда как – иногда заплатки выходят очень быстро, иногда уязвимость может оставаться открытой чуть ли не год.

Заражение мобильного устройства

Оказалось, что это работает даже для устройств Apple – недавно обнаруженный троян WireLurker использовал именно эту схему. Сначала заражал ПК, потом – подключенный к нему смартфон. Это возможно потому, что iPhone или iPad рассматривает компьютер, к которому подключен, как доверенное устройство (иначе как ему обмениваться данными и применять обновления ОС?). Впрочем, для iOS это исключительная ситуация (подробнее я расскажу о том, как работает WireLurker, в другом материале), а так система очень хорошо защищена от внешних вторжений. Но с важной оговоркой: если не делать джейлбрейк устройства, который полностью снимает защиту и открывает устройство для любой вредоносной деятельности. Вот для джейлбрейкнутых айфонов вирусов предостаточно. Для техники на iOS есть варианты с успешными APT (целевыми атаками), но обычные пользователи с ними почти не сталкиваются, да и усилий для заражения конкретного устройства там приходится прикладывать очень много.

Основная головная боль (и одновременно основной источник заработка) для всех антивирусных компаний – смартфоны на Android. Открытость системы, являющаяся одним тиз ее основных плюсов (простота работы, огромные возможности для разработчиков и пр.) в вопросах безопасности оборачивается минусом: вредоносное ПО получает много возможностей проникнуть в систему и получить над ней полный контроль.

Впрочем, в дополнение к тем возможностям, которые предоставляет злоумышленникам сама система, свой посильный вклад вносят и пользователи. Например, снимают галочку с пункта настроек «Устанавливать приложения только из доверенных источников», существенно облегчая вредоносному ПО проникновение в систему под видом легальных приложений. Также многие пользователи проводят процедуру получения Root-прав (которые могут быть необходимы для решения некоторых задач, да и аудитория у Android больше склонна к экспериментам в системе), что окончательно снимает даже остатки защиты от перехвата управления системой.

Например, сейчас много где используется двухфакторная аутентификация, т.е. операции подтверждаются одноразовым SMS-паролем от банка на смартфон, так что провести снятие денег без участия смартфона не удастся. Вирус, который уже сидит в ПК, видит, что пользователь зашел в банк-клиент – и вставляет в браузер новое окно с запросом, которое выглядит так же, интерфейс веб-страницы банка и содержит запрос номера телефона под любым предлогом (подтверждение, проверка, необходимость загрузки ПО и т.д.). Пользователь вводит свой номер, и на смартфон приходит SMS со ссылкой для скачивания «банковского приложения» или чего-нибудь для обеспечения безопасности. Обычному пользователю кажется, что он получил ссылку от банка, и… Причем сценарий, судя по всему, вполне распространенный – например, огромное предупреждение не устанавливать такие приложения висит на сайте «Сбербанка». В этом случае установленная галочка в настройках Android «устанавливать приложения только из доверенных источников» не дала бы заразить систему.

Зачастую старый добрый замок надежнее ()

Впрочем, если не повезет, то в случае Google можно получить вредоносное приложение и из легального магазина. В Apple Appstore проводится серьезная проверка поступающих приложений, благодаря которой вредоносные программы просто не попадают в официальный магазин, осуществляется контроль над разработчиками. В Google Play же «более открытая схема сотрудничества» приводит к тому, что вредоносные приложения регулярно попадают в магазин, а Google реагирует лишь постфактум. То есть, существует шанс установить себе вирус даже из официального магазина приложений для Android.

Что происходит после заражения мобильной системой

Очень много троянов знают схему работы банка с пользователями и построение ПО (через клиент-банк или веб-сайт – непринципиально). Соответственно, они могут создавать «персонифицированные» фишинговые страницы, внедрять вредоносный код в страницу банка прямо в браузере (например, у вас появится дополнительное окно с требованием подтвердить тот же телефонный номер) и сделать много чего еще. Например, потребовать «установить компонент безопасности», «приложение для работы с банком» и пр. А может и полностью в фоновом режиме зайти на страницу банка и без вашего участия произвести требуемые операции.

Самостоятельное заражение мобильного устройства

Самый простой способ украсть деньги с использованием зараженного смартфона – через SMS-банкинг. Большинство банков дают возможность получать информацию о балансе и проводить операции посредством кодированных сообщений на короткий номер. Этим очень легко воспользоваться.

Попав в систему, троян рассылает сообщение с запросом баланса на известные ему номера банков. Некоторые версии умеют определять, в какой стране обитает пользователь, посмотрев региональные настройки телефона, и скачивают с командного сервера список номеров для конкретной страны. Если по одному из номеров получен ответ, то можно начинать вывод денег на подставной счет, откуда они потом обналичиваются. Схема простая и распространенная, причем работает не только при взломе телефона, но и, например, если его украдут. Есть даже ситуации, когда по подставной ксерокопии паспорта или доверенности восстанавливают SIM-карту с тем же результатом. В теории, при смене SIM-карты SMS-банк и интернет-банк должны блокироваться, но это происходит не всегда.

)

Зараженная мобильная система может сама вытягивать информацию из пользователя в самых, казалось бы, невинных ситуациях. Например, при покупке приложения в Google Play у вас появляется дополнительное окно, где просят, в дополнение к паролю, подтвердить номер вашей кредитной карты. Окно поверх приложения Google Play, в нужный момент, все вполне логично и не вызывает сомнений. А на самом деле, это мобильный вирус SVPenk, который таким образом ворует данные кредитки… точнее, даже не ворует - пользователь отдает их ему сам.

Взломать канал связи между банком и приложением трояну вряд ли удастся, там слишком сложное шифрование, сертификаты и пр. Как и «влезть» в легитимное банковское приложение. Но он может, например, перехватить управление тачскрином и отследить действия пользователя в приложении. Ну а дальше он может самостоятельно имитировать работу с тачскрином, вводя в банковское приложение нужные данные. В этой ситуации операция перевода денег инициируется из банковского приложения, а если код подтверждения приходит на то же устройство, то он сразу перехватывается и вводится самим трояном – очень удобно.

Конечно, иметь интернет-банк и канал подтверждения через SMS на одном устройстве – не очень хорошее решение, но редко у кого с собой одновременно два телефона. Лучше всего подтверждение банковских операций к SIM -карте, вставленной в старый телефон без доступа в интернет.

Операция Emmental или «Дыры – они в головах!»

Основными особенностями Emmental стали, во-первых, двухступенчатый механизм заражения (сначала компьютер, потом смартфон), позволяющий обойти двухфакторную авторизацию. Во-вторых, подмена DNS на собственный, перенаправлявший клиентов на фишинговые сайты, которые выглядели «совсем как настоящие!» и установка поддельного сертификата безопасности. Ну и последняя особенность – судя по некоторым намекам в коде, его делали русскоязычные ребята. Во-первых, в коде забыли убрать коммент «obnulim rid», а во-вторых, в модуле проверки страны SIM-карт есть страны, где проводилась атака, а также Россия, но троян под нее не работает (видимо, использовалась при тестировании). С другой стороны, судя по логам сервера, основная активность шла из Румынии.

Первичное заражение ПК – через спам, причем совершенно без изюминки. Приходит письмо якобы от известного ритейлера (для каждой страны своего) по поводу якобы заказа с якобы приложенным чеком в rtf. Открыв rtf, пользователь видит внутри (!) еще один файл с названием «чек…», который на самом деле является элементом.cpl. Если открыть его (и проигнорировать уведомление о возможной опасности), загрузится модуль netupdater.exe, который делает вид, что это обновление для Microsoft .NET framework, но при этом UAC покажет предупреждение, да еще и напишет, что разработчик неизвестен. То-есть, чтобы получить троян, пользователь должен проявить недюжинную беспечность и неразумность. К счастью для атакующих, таких пользователей большинство.
При этом сам модуль заражения достаточно интересный: он меняет в системе DNS-сервер, который в нужных случаях перенаправляет пользователя на фишинговый сайт, а также устанавливает в систему новый SSL-сертификат, т.е. она теперь не будет ругаться при защищенном HTTPS-соединении не с тем сайтом. После этого модуль сам себя удаляет, так что при дальнейшем сканировании в системе его нет, антивирус не видит ничего подозрительного, да и механизм заражения установить будет сложнее.

)

При попытке зайти на сайт своего банка пользователь перенаправляется на фишинговый сайт, где для авторизации указывает логин и пароль, после чего злоумышленники получают доступ к аккаунту и всей информации на нем. Далее фишинговый сайт требует от пользователя установить на телефон приложение для генерации одноразовых паролей при работе с банком, якобы с целью повышения безопасности. В инструкции говорится о том, что линк придет на SMS, но этот вариант не работает (это сделано специально), и пользователи вынуждены использовать «запасной вариант»: вручную скачивать APK-файл приложения для Android по предложенной ссылке. После установки (как проходит установка, в отчете не раскрывается, а жаль – ведь защита у Android тоже есть) нужно ввести пароль от приложения на сайте – чтобы типа активировать новую систему безопасности. Это сделано для того, чтобы удостовериться, что пользователь действительно установил приложение на Android.

На этом, собственно, и все: теперь у злоумышленников есть логин, пароль, и приложение на смартфоне, которое будет перехватывать SMS с паролями (для этого оно устанавливает собственный сервис прослушки SMS), скрывать их от пользователя и отправлять их на командный сервер (умеет это делать и через интернет, и через SMS). Кроме этого, приложение для смартфона умеет собирать и отсылать на командный сервер довольно много разной информации о телефоне и его владельце.

В целом, Emmental – сложная операция, требующая высокой квалификации и профессионализма участников. Во-первых, она включает создание двух разных троянов под две платформы. Во-вторых, разработку серьезной инфраструктуры под них – сервера DNS, фишинговые сайты, тщательно мимикрирующие под сайты банков, командный сервер, координирующий работу сайтов и приложений, плюс сам модуль для кражи денег. Самоудаляющийся модуль заражения ограничивает возможности для исследования – в частности, заражение могло происходить не только через почту, но и другими способами.

Итоги

Правда, для заражения системы «массовым вирусом» (т.е. широко рассылаемым, а не направленным на конкретного пользователя) обычно должно совпасть много факторов (включая небрежность или неграмотность пользователя), но в этом и прелесть массовых решений: найдется достаточное количество «клиентов» с этим сочетанием, чтобы злоумышленники в особо удачных случаях не успевали обналичивать падающие к ним на счет украденные деньги (реальная ситуация!). Так что в огромном количестве случаев спастись от финансовых потерь поможет обычная осмотрительность – просто нужно обращать внимание на странное и необычное поведение смартфона, банк-клиента, компьютера и т.д. Хотя полагаться только на нее, когда речь идет о финансовых вопросах, наверное, не стоит.