Car-tech

Firma ochroniarska ostrzega przed złośliwym oprogramowaniem kradnąc dane bankowe wysłane przez SMS

JAK DZIAŁAJĄ KIESZONKOWCY?

JAK DZIAŁAJĄ KIESZONKOWCY?

Spisu treści:

Anonim

Kilka złośliwych aplikacji na Androida przeznaczonych do kradzieży numerów uwierzytelniających transakcje mobilne (mTAN) wysyłanych przez banki do ich klientów za pośrednictwem SMS-ów (Short Message Service) zostały znalezione w Google Play przez naukowców z antywirusowego dostawcy Kaspersky Lab.

Aplikacje zostały stworzone przez gang, który wykorzystuje odmianę złośliwego oprogramowania bankowego Carberp, aby dotrzeć do klientów kilku rosyjskich banków, Denisa Maslennikova, starszy analityk szkodliwego oprogramowania w Kaspersky, powiedział w piątek w poście na blogu.

Wiele banków używa mTAN jako mechanizmu bezpieczeństwa, aby zapobiec cyberprzestępcom przesyłania pieniędzy z zagrożonego konta bankowego online ts. Gdy transakcja jest inicjowana z konta bankowego online, bank wysyła unikalny kod o nazwie mTAN za pośrednictwem wiadomości SMS na numer telefonu właściciela konta. Właściciel konta musi wprowadzić ten kod z powrotem na stronę bankowości internetowej w celu autoryzacji transakcji.

[Czytaj dalej: Jak usunąć złośliwe oprogramowanie z komputera z Windows]

Aby pokonać ten rodzaj obrony, cyberprzestępcy stworzyli złośliwe aplikacje mobilne, które automatycznie ukrywają wiadomości SMS otrzymane od numerów powiązanych z docelowymi bankami i cicho przesyłają wiadomości z powrotem na swoje serwery. Ofiary są wykorzystywane do pobierania i instalowania tych aplikacji na swoich telefonach za pomocą fałszywych wiadomości wyświetlanych podczas odwiedzania witryny banku z zainfekowanego komputera.

Aplikacje do kradzieży SMS były wcześniej używane wraz z trojanami bankowymi Zeus i SpyEye i są znane jako Zeus -in-the-Mobile (ZitMo) i SpyEye-in-the-Mobile (SpitMo). Jest to jednak pierwszy przypadek znalezienia szkodliwego komponentu mobilnego zaprojektowanego specjalnie dla szkodliwego oprogramowania Carberp, powiedział Maslennikov.

W przeciwieństwie do Zeusa i SpyEye, program trojana Carberp jest głównie używany do kierowania klientów bankowości internetowej z Rosji i innych rosyjskich firm. przemawiające kraje, takie jak Ukraina, Białoruś czy Kazachstan.

Trojany uzurpowane przez inne gangi

Według raportu opublikowanego w lipcu od dostawcy oprogramowania antywirusowego ESET, rosyjskie władze aresztowały ludzi za trzema największymi operacjami Carberp. Jednak złośliwe oprogramowanie nadal jest używane przez inne gangi i jest sprzedawane na podziemnym rynku w cenach od 5000 do 40 000 USD, w zależności od wersji i jej funkcji.

"Po raz pierwszy widzieliśmy szkodliwe oprogramowanie mobilne elementy z gangu Carberp ", powiedział w piątek Aleksandr Matrosov, starszy badacz szkodliwego oprogramowania w firmie antywirusowej ESET. "Komponenty mobilne są używane tylko przez jedną grupę Carberp, ale nie możemy obecnie ujawnić więcej szczegółów."

Nowe aplikacje Carberp-in-the-Mobile (CitMo) znalezione w Google Play masqueraded jako aplikacje mobilne od Sberbank i Alfa-Bank, dwa największe rosyjskie banki, i VKontakte, najpopularniejszy internetowy serwis społecznościowy w Rosji, powiedział Maslennikow. Firma Kaspersky skontaktowała się z Google w środę, a wszystkie warianty CitMo zostały usunięte z rynku w czwartek, powiedział.

Jednak fakt, że cyberprzestępcy zdołali przesłać te aplikacje do Google Play, rodzi pytania dotyczące wydajności rynku aplikacji. zabezpieczenia przed złośliwym oprogramowaniem, takie jak Bouncer anty-malware skaner zapowiedziany przez Google na początku tego roku.

"Wygląda na to, że nietrudno jest ominąć zabezpieczenia Google Play, ponieważ szkodliwe oprogramowanie nadal pojawia się tam regularnie", powiedział Maslennikow za pośrednictwem poczty elektronicznej.

Bogdan Botezatu, starszy analityk ds. E-zagrożeń w firmie antywirusowej Bitdefender, uważa, że ​​wykrywanie przez Google wykrywacza ZitMo, SpitMo lub CitMo może być trudne, ponieważ są one funkcjonalnie podobne do niektórych legalnych aplikacji.

"Telefon komórkowy wersja trojana jest odpowiedzialna tylko za przejęcie odebranych wiadomości SMS i przekazanie ich zawartości do innego odbiorcy, a takie zachowanie można znaleźć również w legalnych aplikacjach, takich jak SMS mana aplikacje gementowe, a nawet aplikacje, które pozwalają użytkownikowi zdalnie sterować urządzeniami za pomocą wiadomości SMS w przypadku ich kradzieży lub zagubienia - powiedział za pośrednictwem poczty elektronicznej. "Przechwytywanie wiadomości SMS to funkcja dobrze udokumentowana na forach wraz z przykładowym kodem. Jeśli ten sam przykładowy kod zostanie użyty zarówno w złośliwych, jak i legalnych aplikacjach, będzie jeszcze trudniej go wykryć i zablokować."

Zdolność korzystania z Google Play do rozpowszechniania kradzieży SMS-ów przynosi korzyści cyberprzestępcom, powiedział Botezatu. Przede wszystkim niektóre urządzenia użytkowników są skonfigurowane tak, aby instalować tylko aplikacje pochodzące z Google Play. Ponadto użytkownicy są mniej podejrzliwi wobec aplikacji pobranych za pośrednictwem Google Play i zwracają mniejszą uwagę na swoje uprawnienia, ponieważ oczekują, że aplikacje są zgodne z ich opisami, powiedział.