Хакерской атаке подверглись клиенты Сбербанка. Обладатели мобильных устройств с приложениями «Сбербанк-бизнес ОнЛ@йн» и «Сбербанк ОнЛ@йн» попали в прицел хакеров, их проявлением стало появление окна с запросом на ввод номера телефона при попытке запуска программы. Вредоносный модуль обнаружила организация Group-IB, она также отметила наличие такого же «зловреда» и для пользователей Альфа-банка.
Масштабы распространения оказались не слишком велики. У Сбербанка угрозу скачало 250 человек, а у Альфа-банка не более 20 человек. Программа распространялась через сервис Google Play, то есть «оккупировала» только устройства с Android. На данный момент разработка удалена с сервиса. По мнению гендиректора гендиректор Group-IB Ильи Сачкова, пользователи столкнулись с разновидностью модуля Carberp.
Он действует в несколько этапов. Сначала попадает на компьютер и выясняет сведения об используемой системе интернет-банкинга. Затем крадет данные доступа к кабинету и узнает номер телефона «юзера». Когда он вводит номер, то получает SMS со ссылкой на программу на Google Play якобы для «безопасного получения смс от банка». В таком случае цепочка ведет к возможности перехвата паролей, которые банк будет высылать на телефон.
