Банковские троянцы: чем опасны и как защититься. Банковский троян Qadars вернулся и атакует банки в Великобритании
Кража денег с банковских счетов становится все более распространенным делом – в социальных сетях и на форумах постоянно всплывают новые истории от людей, внезапно обнаруживших свой банковский счет пустым. И если раньше основным инструментом воровства выступала платежная карта, с которой где-то «срисовали» данные и ПИН, то сейчас вполне можно обойтись и без физического контакта с ней – достаточно доступа к смартфону или ПК, работающим с банковскими приложениями.
На эту тему я поговорил с Сергеем Ложкиным, одним из экспертов лаборатории Касперского (это произошло на пресс-конференции, посвященной итогам года), и он привел несколько примеров из своей практики. Для меня эти примеры достаточно очевидны (хотя и на старуху бывает проруха), однако многие люди (в том числе те, кто вроде бы «в теме») о них даже не подозревают. Поэтому давайте поговорим об этом чуть подробнее.
Зачем заражать мобильные устройства?
Деятельность злоумышленников по взлому и дальнейшему использованию в своих интересов мобильных устройств расцвела в последнее время буйным цветом. Во-первых, этих устройств стало очень много, так что даже при использовании относительно примитивных инструментов шанс зацепить кого-нибудь все равно довольно велик. Во-вторых, мы очень уж активно доверяем им все детали свой личной и, отдельно, семейной и финансовой жизни. В-третьих, мобильные устройства стали удобным инструментом взаимодействия с банками – тут и авторизация, и SMS-банк, и банковские приложения. Все это делает мобильные устройства лакомым куском для создателей вредоносного ПО: в случае успешного заражения из них можно вытянуть очень много ценного.Наиболее перспективный и прибыльный на сегодня вид вредоносного ПО – это банковские троянцы, которые перехватывают управление взаимодействием с банком и опустошают банковский счет.
Заражение ПК
Один из простых путей: заразить ПК, а через него уже – мобильное устройство. Хотя на сегодняшний день заражение ПК с Windows через новую, неизвестную уязвимость в системе встречается достаточно редко. Неизвестная уязвимость (т.е. 0day) встречается редко, на черном рынке стоит дорого, а при массовом заражении довольно быстро вычисляется и закрывается патчами. Поэтому для массовой рассылки вредоносного ПО (того же банковского трояна) игра чаще всего не стоит свеч.Куда чаще используются уже старые и известные уязвимости, которые закрыты обновлениями ОС – расчет идет на тех пользователей, у которых не работает или отключено автоматическое обновление. Либо для атаки на систему используются уязвимости в стороннем ПО – браузерах, флэш-плеере и других приложениях Adobe, Java-машине и пр.
Один из наиболее распространенных механизмов «автоматического» заражения состоит в том, что пользователя заманивают на вредоносную страницу (или можно внедрить фрейм или скрипт на легальной странице, например, сайте ведущего новостного агентства, от которого не ожидают подвоха), где находится эксплоитпак – набор уязвимостей для разных браузеров или компонентов (того же Adobe Flash, Java и пр.). Стоит вам зайти на нее, как скрипт подберет уязвимость именно вашего браузера и через нее скачает и запустит нужные компоненты вредоносного ПО именно под вашу систему. Уязвимость браузера может существовать в открытом виде неделями, пока информация о ней дойдет до разработчика и пока он не выпустит обновление. Но и дальше она сохраняет актуальность для тех, кто не обновился до последней версии.
Далее на компьютер с помощью этой уязвимости самостоятельно скачивается и запускается, либо (если подходящей уязвимости не нашлось) пользователю предлагается к скачиванию пользователю под любым соусом (например, знаменитые «Обновления браузера Opera» или «обновление Adobe») собственно вирус/троян. Или так называемый дроппер (он же даунлоадер). Это загрузчик, который осматривается в системе и потом закачивает и ставит другие требуемые компоненты – клавиатурные шпионы, вирусы, шифровальщики, компоненты для организации ботнетов и многое другое – в зависимости от полученного задания. Кстати говоря, его работу часто может отловить и заблокировать файрволл. Если он есть, конечно.
Если антивирусная компания находит такую уязвимость либо ловит трояна и по его поведению видит, как он проникает в систему, то она сразу информирует о проблеме разработчиков. Дальше – у всех по-разному. Например, представители Лаборатории Касперского говорят, что в большинстве случаев Google старается выпускать патчи достаточно быстро, Adobe тоже. И при этом относительно невысоко оценивают Safary для Mac, называя его одним из рекордсменов по количеству уязвимостей. А Apple реагирует когда как – иногда заплатки выходят очень быстро, иногда уязвимость может оставаться открытой чуть ли не год.
Заражение мобильного устройства
Если ПК уже заражен, далее при подключении мобильного устройства троян пытается либо напрямую заразить его, либо заставить пользователя установить вредоносное приложение.Оказалось, что это работает даже для устройств Apple – недавно обнаруженный троян WireLurker использовал именно эту схему. Сначала заражал ПК, потом – подключенный к нему смартфон. Это возможно потому, что iPhone или iPad рассматривает компьютер, к которому подключен, как доверенное устройство (иначе как ему обмениваться данными и применять обновления ОС?). Впрочем, для iOS это исключительная ситуация (подробнее я расскажу о том, как работает WireLurker, в другом материале), а так система очень хорошо защищена от внешних вторжений. Но с важной оговоркой: если не делать джейлбрейк устройства, который полностью снимает защиту и открывает устройство для любой вредоносной деятельности. Вот для джейлбрейкнутых айфонов вирусов предостаточно. Для техники на iOS есть варианты с успешными APT (целевыми атаками), но обычные пользователи с ними почти не сталкиваются, да и усилий для заражения конкретного устройства там приходится прикладывать очень много.
Основная головная боль (и одновременно основной источник заработка) для всех антивирусных компаний – смартфоны на Android. Открытость системы, являющаяся одним тиз ее основных плюсов (простота работы, огромные возможности для разработчиков и пр.) в вопросах безопасности оборачивается минусом: вредоносное ПО получает много возможностей проникнуть в систему и получить над ней полный контроль.
Впрочем, в дополнение к тем возможностям, которые предоставляет злоумышленникам сама система, свой посильный вклад вносят и пользователи. Например, снимают галочку с пункта настроек «Устанавливать приложения только из доверенных источников», существенно облегчая вредоносному ПО проникновение в систему под видом легальных приложений. Также многие пользователи проводят процедуру получения Root-прав (которые могут быть необходимы для решения некоторых задач, да и аудитория у Android больше склонна к экспериментам в системе), что окончательно снимает даже остатки защиты от перехвата управления системой.
Например, сейчас много где используется двухфакторная аутентификация, т.е. операции подтверждаются одноразовым SMS-паролем от банка на смартфон, так что провести снятие денег без участия смартфона не удастся. Вирус, который уже сидит в ПК, видит, что пользователь зашел в банк-клиент – и вставляет в браузер новое окно с запросом, которое выглядит так же, интерфейс веб-страницы банка и содержит запрос номера телефона под любым предлогом (подтверждение, проверка, необходимость загрузки ПО и т.д.). Пользователь вводит свой номер, и на смартфон приходит SMS со ссылкой для скачивания «банковского приложения» или чего-нибудь для обеспечения безопасности. Обычному пользователю кажется, что он получил ссылку от банка, и… Причем сценарий, судя по всему, вполне распространенный – например, огромное предупреждение не устанавливать такие приложения висит на сайте «Сбербанка». В этом случае установленная галочка в настройках Android «устанавливать приложения только из доверенных источников» не дала бы заразить систему.
Зачастую старый добрый замок надежнее ()
Впрочем, если не повезет, то в случае Google можно получить вредоносное приложение и из легального магазина. В Apple Appstore проводится серьезная проверка поступающих приложений, благодаря которой вредоносные программы просто не попадают в официальный магазин, осуществляется контроль над разработчиками. В Google Play же «более открытая схема сотрудничества» приводит к тому, что вредоносные приложения регулярно попадают в магазин, а Google реагирует лишь постфактум. То есть, существует шанс установить себе вирус даже из официального магазина приложений для Android.
Что происходит после заражения мобильной системой
Для начала, пару слов о ситуации, когда заражен ПК, и троян оттуда передал свой компонент на смартфон, где тот успешно заработал. Основной троян может перехватить реквизиты (например, с помощью клавиатурного шпиона или через браузер) и воспользоваться ими, либо просто удаленно зайти на сайт банка через вашу же систему. При совершении операции на смартфон приходит код, его перехватывает второй компонент и передает первому для завершения операции. Для передачи кода может использоваться как интернет-соединение, так и отсылка кода с помощью исходящего смс-сообщенияОчень много троянов знают схему работы банка с пользователями и построение ПО (через клиент-банк или веб-сайт – непринципиально). Соответственно, они могут создавать «персонифицированные» фишинговые страницы, внедрять вредоносный код в страницу банка прямо в браузере (например, у вас появится дополнительное окно с требованием подтвердить тот же телефонный номер) и сделать много чего еще. Например, потребовать «установить компонент безопасности», «приложение для работы с банком» и пр. А может и полностью в фоновом режиме зайти на страницу банка и без вашего участия произвести требуемые операции.
Самостоятельное заражение мобильного устройства
Впрочем, если мобильное устройство уже заражено, помощь большого ПК может и не потребоваться.Самый простой способ украсть деньги с использованием зараженного смартфона – через SMS-банкинг. Большинство банков дают возможность получать информацию о балансе и проводить операции посредством кодированных сообщений на короткий номер. Этим очень легко воспользоваться.
Попав в систему, троян рассылает сообщение с запросом баланса на известные ему номера банков. Некоторые версии умеют определять, в какой стране обитает пользователь, посмотрев региональные настройки телефона, и скачивают с командного сервера список номеров для конкретной страны. Если по одному из номеров получен ответ, то можно начинать вывод денег на подставной счет, откуда они потом обналичиваются. Схема простая и распространенная, причем работает не только при взломе телефона, но и, например, если его украдут. Есть даже ситуации, когда по подставной ксерокопии паспорта или доверенности восстанавливают SIM-карту с тем же результатом. В теории, при смене SIM-карты SMS-банк и интернет-банк должны блокироваться, но это происходит не всегда.
)
Зараженная мобильная система может сама вытягивать информацию из пользователя в самых, казалось бы, невинных ситуациях. Например, при покупке приложения в Google Play у вас появляется дополнительное окно, где просят, в дополнение к паролю, подтвердить номер вашей кредитной карты. Окно поверх приложения Google Play, в нужный момент, все вполне логично и не вызывает сомнений. А на самом деле, это мобильный вирус SVPenk, который таким образом ворует данные кредитки… точнее, даже не ворует - пользователь отдает их ему сам.
Взломать канал связи между банком и приложением трояну вряд ли удастся, там слишком сложное шифрование, сертификаты и пр. Как и «влезть» в легитимное банковское приложение. Но он может, например, перехватить управление тачскрином и отследить действия пользователя в приложении. Ну а дальше он может самостоятельно имитировать работу с тачскрином, вводя в банковское приложение нужные данные. В этой ситуации операция перевода денег инициируется из банковского приложения, а если код подтверждения приходит на то же устройство, то он сразу перехватывается и вводится самим трояном – очень удобно.
Конечно, иметь интернет-банк и канал подтверждения через SMS на одном устройстве – не очень хорошее решение, но редко у кого с собой одновременно два телефона. Лучше всего подтверждение банковских операций к SIM -карте, вставленной в старый телефон без доступа в интернет.
Операция Emmental или «Дыры – они в головах!»
Для примера рассмотрим одну из атак, описанную компанией Trend Micro и названную ее специалистами «Emmental» из-за большого количества дыр в безопасности, которое они сравнили со швейцарским сыром. Атака Emmental была нацелена на клиентов нескольких десятков европейских банков – в Швейцарии (16 банковских сайтов, статистика на основе работы одного из серверов злоумышленников), Австрии (6), Швеции (7) и, почему-то, в Японии (5). Цель атаки – завладеть банковскими данными пользователя для входа в систему с его данными и воровства информации.Основными особенностями Emmental стали, во-первых, двухступенчатый механизм заражения (сначала компьютер, потом смартфон), позволяющий обойти двухфакторную авторизацию. Во-вторых, подмена DNS на собственный, перенаправлявший клиентов на фишинговые сайты, которые выглядели «совсем как настоящие!» и установка поддельного сертификата безопасности. Ну и последняя особенность – судя по некоторым намекам в коде, его делали русскоязычные ребята. Во-первых, в коде забыли убрать коммент «obnulim rid», а во-вторых, в модуле проверки страны SIM-карт есть страны, где проводилась атака, а также Россия, но троян под нее не работает (видимо, использовалась при тестировании). С другой стороны, судя по логам сервера, основная активность шла из Румынии.
Первичное заражение ПК – через спам, причем совершенно без изюминки. Приходит письмо якобы от известного ритейлера (для каждой страны своего) по поводу якобы заказа с якобы приложенным чеком в rtf. Открыв rtf, пользователь видит внутри (!) еще один файл с названием «чек…», который на самом деле является элементом.cpl. Если открыть его (и проигнорировать уведомление о возможной опасности), загрузится модуль netupdater.exe, который делает вид, что это обновление для Microsoft .NET framework, но при этом UAC покажет предупреждение, да еще и напишет, что разработчик неизвестен. То-есть, чтобы получить троян, пользователь должен проявить недюжинную беспечность и неразумность. К счастью для атакующих, таких пользователей большинство.
При этом сам модуль заражения достаточно интересный: он меняет в системе DNS-сервер, который в нужных случаях перенаправляет пользователя на фишинговый сайт, а также устанавливает в систему новый SSL-сертификат, т.е. она теперь не будет ругаться при защищенном HTTPS-соединении не с тем сайтом. После этого модуль сам себя удаляет, так что при дальнейшем сканировании в системе его нет, антивирус не видит ничего подозрительного, да и механизм заражения установить будет сложнее.
)
При попытке зайти на сайт своего банка пользователь перенаправляется на фишинговый сайт, где для авторизации указывает логин и пароль, после чего злоумышленники получают доступ к аккаунту и всей информации на нем. Далее фишинговый сайт требует от пользователя установить на телефон приложение для генерации одноразовых паролей при работе с банком, якобы с целью повышения безопасности. В инструкции говорится о том, что линк придет на SMS, но этот вариант не работает (это сделано специально), и пользователи вынуждены использовать «запасной вариант»: вручную скачивать APK-файл приложения для Android по предложенной ссылке. После установки (как проходит установка, в отчете не раскрывается, а жаль – ведь защита у Android тоже есть) нужно ввести пароль от приложения на сайте – чтобы типа активировать новую систему безопасности. Это сделано для того, чтобы удостовериться, что пользователь действительно установил приложение на Android.
На этом, собственно, и все: теперь у злоумышленников есть логин, пароль, и приложение на смартфоне, которое будет перехватывать SMS с паролями (для этого оно устанавливает собственный сервис прослушки SMS), скрывать их от пользователя и отправлять их на командный сервер (умеет это делать и через интернет, и через SMS). Кроме этого, приложение для смартфона умеет собирать и отсылать на командный сервер довольно много разной информации о телефоне и его владельце.
В целом, Emmental – сложная операция, требующая высокой квалификации и профессионализма участников. Во-первых, она включает создание двух разных троянов под две платформы. Во-вторых, разработку серьезной инфраструктуры под них – сервера DNS, фишинговые сайты, тщательно мимикрирующие под сайты банков, командный сервер, координирующий работу сайтов и приложений, плюс сам модуль для кражи денег. Самоудаляющийся модуль заражения ограничивает возможности для исследования – в частности, заражение могло происходить не только через почту, но и другими способами.
Итоги
Здесь мы описали лишь пару ситуаций, когда вирус получает контроль над смартфоном, и этого хватает для того, чтобы осуществить перевод денег на подставной счет. Существует очень много самых разнообразных вариантов банковских троянев, которые используют разные (подчас весьма сложные и даже изящные) схемы заражения и похищения данных, а вслед за ними и денег.Правда, для заражения системы «массовым вирусом» (т.е. широко рассылаемым, а не направленным на конкретного пользователя) обычно должно совпасть много факторов (включая небрежность или неграмотность пользователя), но в этом и прелесть массовых решений: найдется достаточное количество «клиентов» с этим сочетанием, чтобы злоумышленники в особо удачных случаях не успевали обналичивать падающие к ним на счет украденные деньги (реальная ситуация!). Так что в огромном количестве случаев спастись от финансовых потерь поможет обычная осмотрительность – просто нужно обращать внимание на странное и необычное поведение смартфона, банк-клиента, компьютера и т.д. Хотя полагаться только на нее, когда речь идет о финансовых вопросах, наверное, не стоит.
Неужели, не успев нарадоваться широчайшим возможностям интернет-банкинга, нам снова предстоит прятать свои кровные под подушкой или в трехлитровой банке в погребе? Ведь ваши сбережения, которые вы тщательно контролируете по интернету, могу улетучиться буквально за минуту. А виной всему широко распространившиеся в последнее время троянские программы (вирусы), способные нанести непоправимый вред вашему банковскому счету, умыкнув оттуда кругленькую сумму.
Вирусы специально заказывают у хакеров для того, чтобы воровать деньги с банковских счетов или любым другим образом скомпрометировать систему интернет-банкинга или систему безопасности отдельных банков.
Первые банковские трояны появились еще в 2007 году.
Что может банковский троян
Банковский троян – это вовсе не безобидный вирус. Банковский троян способен:
Похищать пароли доступа к банковским счетам
- похищать деньги с банковского счета посредством проникновения в ваш личный кабинет онлайн-банкинга (для этого трояну требуется от 1 до 3 минут)
- загружать любые другие вредоносные программы и модули на ваш компьютер или мобильный
- маскироваться под обычные процессы
- полностью парализовать работу на зараженном компьютере.
Какие бывают банковские вирусы (троянские программы)
1.Банковский троян ZeuS, или Zbot
Одной из первых «банковских» ласточек стал троян ZeuS (или ZBot). Компьютеры, зараженные этим вирусом, получают команды от центрального сервера, куда затем и отправляются все украденные банковские данные. С этого сервера мошенники их считывают и используют с целью опустошить чужой счет.
Как работает троян ZeuS:
При заходе на страницу онлайн-банкинга программа «на лету» меняет код HTML, вставляя свою форму для ввода данных и таким образом получая любые пароли и информацию о банковской карточке. Троян ZeuS мог внедряться и работать только в браузере Internet Explorer, но все равно, по подсчетам специалистов, сумел украсть со счетов по всему миру более 70 млн. долларов.
Разработчики ZeuS не остановились на достигнутом и со временем создали версию трояна для системы Symbian. Троян ZeuS для Symbian вставляет на банковскую страницу дополнительное поле для ввода телефонного номера. Жертва вводит его и получает SMS со ссылкой и просьбой загрузить некое ПО. Через эту ссылку троян и попадает на телефон, где затем собирает одноразовые пароли, высылаемые банком для идентификации клиента. Поэтому специалисты в области компьютерной безопасности советуют ни в коем случае не устанавливать утилиты для банкинга через ссылки в SMS.
2.Conficker
– универсальный троян, который способен не только красть пароли, но и совершать DDoS-атаки и распространять волны спама.
3.Вирус SpyEye
. В 2009 году появился еще более крутой троян, способный вредить не только в браузере Internet Explorer, но и в Mozilla Firefox. При этом разработчики банковского трояна SpyEye внедрили в свое творение возможность удалять троян ZeuS, что позволило им позиционировать себя как антишпионское ПО (что отображено уже в названии) и даже рекламировать его по интернету.
4.Троян Ice IX – ZeuS в новой оболочке
В августе 2011 года широкое распространение в России получил троян Ice IX, являющийся клоном трояна ZeuS. Российские хакеры разработали также и телефонную версию ZeuSа - программу Zitmo, которая перехватывает SMS с одноразовыми паролями и отсылает их злоумышленнику. Российские хакеры таким образом научились обходить двухфакторную аутентификацию в системах интернет-банкинга.
5. Shylock
, действующий посредством атаки «Man In The Browser», похищает денежные средства с банковских счетов жертв.
6. Троянцы семейства Trojan.Carberp
. В связи с особенностями схемы, применяемой злоумышленниками для заражения, наибольшей опасности подвергаются компании малого и среднего бизнеса. Trojan.Carberp проникает в систему во время просмотра взломанных сайтов. А таковым может оказаться любой сайт – с финансовыми новостями или кулинарными рецептами.
Как можно заразиться банковским трояном
1. Зайдя на зараженный сайт
Подхватить троян можно не только на подозрительных или порнографических сайтах.
Сайты, которые чаще всего являются источниками вредоносного ПО:
а) Сайты, посвященные технологиям и телекоммуникациям.
б) Сайты, где предлагается скачать программы, игры, фильмы, музыку.
в) Новостные порталы, бухгалтерские сайты и форумы, интернет-курсы\лекции\тренинги.
г) Женские сайты (о здоровье, кулинарии).
д) Социальные сети. Вирус легко поймать, пройдя по ссылке, полученной якобы от друзей.
2. Через съемные устройства.
Поймать вирус можно не только с флеш-карты, но и вообще с любых подключаемых к компьютеру через USB устройств – например, через подключенный фотоаппарат, мобильные телефон или МРЗ-плеер.
3. Перейдя по ссылке,
присланной в социальных сетях, по почте или с помощью интернет-мессенджеров (Скайп, ICQ).
Средства борьбы с банковскими троянами
Разработчики известного антивируса "Доктор Веб" запустили проект по борьбе с банковскими троянцами. «Информирован – значит, вооружен», - считают создатели Доктор Веб. Поэтому для победы над ИТ-безграмотностью компания «Доктор Веб» создала и продвигает обучающие курсы, рассчитанные на широкий круг пользователей ПК. Пройдя такой ИТ-курс, пользователь сможет лучше справляться с компьютерными угрозами и не попадаться на уловки мошенников.
За прохождение курса каждый пользователь награждается приятными мелочами – бонусами, за которые впоследствии можно будет приобрести подарки, и бесплатным 3-месячным ключом к антивирусу Dr.Web Security Space
Образовательный проект
ВебIQметр от Доктор Веб:
Портал системы
обучения «Доктор Веб»:
Защититься от банковских троянов и хищения своих сбережений через интернет-банкинг можно, приобретя современную антивирусную защиту. Многие из известных антивирусных продуктов уже умеют защищать пользователя от угрозы банковских троянов. Кроме защиты компьютера от попадания таких троянов в саму систему, эти антивирусы обладают функцией отдельной защиты банковских страниц, через которые вы заходите в свой профиль интернет-банкинга.
Например, данная функция есть в новом антивирусном продукте Лаборатории Касперского - Kaspersky Internet Security 2013/2014 . Функция называется "Безопасные платежи". Она предоставляет вам качественную защиту при использовании системам онлайн-банкинга и при работе с платежными системами WebMoney, PayPal, Яндекс.Деньги и др., а также при совершении покупок в интернете.
Несколько лет назад. Практически с самого момента своего появления он умел обходить механизм двухфакторной аутентификации. Троян делал это при помощи вредоносного мобильного контента.
Специалисты по информационной безопасности утверждают, что это ПО использует различные типы веб-инъекций для проникновения на компьютеры пользователей. Цель у этого трояна одна - похищение у жертвы аутентификационных данных для проведения транзакций в онлайн-банкинге в интересах своего создателя.
Для того, чтобы обойти систему защиты большинства банковских организаций, этот троян старается убедить жертву установить мобильное приложение. Оно помогает обходить необходимость подтверждения банковских операций. Это приложение представляет собой вредоносный код Android/Perkele. Жертва получает его одновременно с веб-инъекцией, используемой для установки кода. Мобильный зловред может перехватывать SMS-сообщения с устройства пользователя (например, авторизационные SMS, отправляемые банком). Как только жертва заходит в свой аккаунт онлайн-банкинга, код, встроенный в веб-страницу, запрашивает установку мобильного приложения для конкретной модели телефона. Пользователю сообщается, что это мобильное приложение его банка.
Схема атаки, которую использует зловред, хорошо известна. Это Man-in-the-Browser, MiB. На первом этапе malware внедряет свой код в любой из популярных браузеров (Internet Explorer, Firefox и другие), эксплуатируя специфическую уязвимость. После внедрения создатель трояна получает возможность проводить транзакции от имени пользователя в интересах своего создателя. Для этого используется JavaScript, который выполняет перевод средств со счета жертвы на счет злоумышленника без ведома владельца счета.
Несмотря на то, что специалисты по информационной безопасности обнаружили троян несколько лет назад, справиться с ним пока не удалось. Более того, создатели трояна усовершенствовали его структуру и обновили некоторые функции. Сейчас основная цель трояна - это банковские структуры Великобритании.
В разные периоды прошлых лет Qadars атаковал банки Нидерландов, Австралии, Канады и США. Сейчас его создатели решили остановиться на Великобритании. Специалисты нашей компании изучили это зловредное ПО, которое уже затронуло работу 18 британских банков.
Среди прочих инструментов этого ПО стоит выделить следующие:
Перехват различных функций браузера (IE, Firefox);
Подделка сертификатов и куки;
Работа с формами;
Веб-инъекции;
FIGrabbers;
Использование клиента Tor на стороне клиента для скрытия своих каналов коммуникации;
Использование алгоритма DGAдля маскировки удаленных ресурсов злоумышленников.
Троян маскируется под окна обновления известных ОС. Как только пользователь нажимает «обновиться», троян запускает ShellExecuteEx Win32 API
Сейчас, как утверждают наши специалисты , в Сети работает уже третье поколение трояна, Qadars v3. С течением времени его создатели добавили трояну еще больше функций, позволяющих ему избегать обнаружения. Усовершенствовано и проведение веб-инъекций.
Троян обфусцирует все свои Win32 API вызовы. В этом отношении он работает схожим образом с такими зловредами, как URL Zone, Dridex и Neverquest. Приложение содержит зашифрованные CRC32 значения, что позволяет скрывать названия функций, работающих в трояне. Благодаря своим возможностям этот троян является одним из наиболее опасных банковских троянов последнего времени.
Успешная работа Qadars зависит от работы со своими серверами по специальным каналам связи. Также троян предоставляет возможность удаленного управления зараженных машин, что может повысить шансы злоумышленников на успех.
Бум смартфонов, проникновение которых за пару лет превысило 50% «мобильного» населения, принес с собой одну серьезную проблему - мобильные киберугрозы. Если на компьютере пользователи более-менее привыкли соблюдать правила «информационной гигиены», то смартфон в сознании большинства - всего лишь телефон, устройство сродни утюгу или стиральной машине. Чего тут бояться?
Между тем современный смартфон - это полноценный компьютер, помощнее того, что стоял у вас на столе каких-нибудь 10 лет назад. И очень опасный компьютер. На диске домашнего компьютера может не быть ничего ценного, кроме пары хранящихся со студенческих времен собственноручно написанных рефератов да груды фотографий из поездки в Турцию. А вот смартфон почти наверняка содержит данные, ценные не только для вас, но и для злоумышленников.
Дело в том, что если у вас есть смартфон, то велика вероятность и наличия банковской карты. А поскольку банки используют мобильные номера для авторизации (например, отправляют SMS с одноразовыми паролями для подтверждения операций), возникает соблазн этот канал коммуникации перехватить и совершать переводы и платежи с вашего банковского счета от вашего имени.
Неудивительно, что банковские троянцы являются сегодня наиболее распространенной мобильной киберугрозой: к ним относится до 95% зловредов для смартфонов. Свыше 98% из них предназначены для платформы Android, что неудивительно. Во-первых, она наиболее массовая (занимает свыше 80% рынка смартфонов). Во-вторых, единственная среди популярных платформ, принципиально допускающая установку ПО из неизвестных источников.
Несмотря на то что троянцы куда менее опасны, чем вирусы, так как обязательно требуют участия пользователя для установки в систему, существует большое количество эффективных методов социальной инженерии, подталкивающих «клиента» установить троянца под видом, скажем, важного обновления или бонусных уровней к популярной игре. Есть и эксплойты, загружающие зловредов автоматически, стоит пользователю случайно запустить один из них.
Основных методов работы банковских троянцев три:
Они могут скрывать от пользователя банковские SMS с паролями и тут же перенаправлять их злоумышленнику, который воспользуется ими, чтобы перевести ваши деньги на свой счет.
Таким же образом банковские троянцы могут действовать в автоматическом режиме, время от времени отправляя относительно небольшие суммы на счета преступников.
Либо зловреды сразу мимикрируют под мобильные приложения банков и, получив доступ к реквизитам для входа в мобильный интернет-банк, делают все то же самое.
Больше всего банковских троянцев - до 50% - ориентировано на Россию и страны СНГ; довольно распространены они также в Индии и Вьетнаме, в последнее время стали популярны универсальные зловреды, способные загружать обновляемые профили банков разных стран: США, Германии, Великобритании.
«Дедушкой» мобильных банковских троянов является Zeus , он же Zitmo (Zeus-in-the-mobile), появившийся еще в 2010 году (а его предок для ПК, оригинальный Zeus, был создан вообще в 2006 году) и успевший в одних только США заразить свыше 3,5 млн устройств, создав крупнейший в истории ботнет.
Это классический «перехватчик», он сохраняет вводимые пользователем в браузере логины и пароли для доступа к интернет-банку и затем отсылает их злоумышленнику, который впоследствии может войти в систему под указанными реквизитами и совершить переводы (двухфакторную авторизацию Zitmo тоже обходил).
Кроме того, при помощи Zeus удалось украсть более 74 тыс. FTP-паролей от различных сайтов, включая сайт Bank of America, и изменить на них код таким образом, чтобы получить данные кредитных карт при попытке ими что-то оплатить. Zeus был особенно активен до конца 2013 года, когда его начал вытеснять более современный Xtreme RAT, однако ядро трояна до сих пор популярно у создателей зловредов.
В 2011 году появился SpyEye - один из самых успешных банковских троянцев в истории. Его автор - Александр Андреевич Панин продавал код на черном рынке по цене от $1000 до $8500; по данным ФБР, деанонимизировавшего создателя SpyEye, всего было около 150 покупателей троянца, создавших его модификации для хищений у клиентов различных банков. Один из покупателей кода за шесть месяцев смог украсть $3,2 млн.
В 2012 году обнаружился Carberp - компонент, маскировавшийся под Android-приложения крупнейших российских банков: Сбербанка и Альфа-Банка - и ориентированный на клиентов этих банков в России, Белоруссии, Казахстане, Молдавии и на Украине. Одним из интересных моментов этой истории стало то, что преступникам удалось разместить фейковые приложения в Google Play.
Злоумышленники в количестве 28 человек были обнаружены и арестованы российской и украинской полицией. Однако исходный код Carberp оказался опубликован в 2013 году, так что теперь любой желающий может на его основе написать свой собственный зловред. И если оригинальный Carberp встречался в странах бывшего СССР, то его клоны сейчас обнаруживаются то в Европе, то в США, то в Латинской Америке.
В 2013 году из Турции через Португалию и Чехию победное шествие начал Hesperbot: этот троян помимо прочего создает на зараженном устройстве скрытый VNC-сервер, при помощи которого злоумышленник может получить доступ к удаленному управлению смартфоном.
Даже после удаления трояна доступ остается, и вор может перехватить все сообщения, как если бы аппарат был у него в руках, и, конечно же, снова установить зловреда. Кроме того, Hesperbot был замечен не только в роли банковского трояна, но и в качестве похитителя биткойнов. Распространяется Hesperbot с помощью фишинга под видом сообщений от почтовых сервисов.
В 2014 году был открыт исходный код Android.iBanking - готового комплекса для перехвата банковских SMS-паролей и удаленного управления смартфоном. Ранее он продавался за $5000, публикация кода привела к значительному всплеску заражений.
Комплекс состоит из вредоносного кода, заменяющего собой уже установленное на смартфоне приложение банка (функциональность оригинального приложения при этом сохраняется, но появляется широкий набор новых возможностей), и программы под Windows с удобным графическим интерфейсом, позволяющим управлять всеми подконтрольными смартфонами из автоматически обновляемого списка.
Интересно, что, несмотря на наличие бесплатной версии, все равно существует и пользуется спросом платная: владельцам «премиум-аккаунтов» предоставляются регулярные обновления и качественная техподдержка. В конце того же года в Google Play было обнаружено два троянца, ориентированных на бразильских пользователей, созданных без каких-либо навыков программирования при помощи универсального конструктора приложений.
Бразилия вообще особенный регион в плане «банковских» атак. Дело в том, что в стране очень популярна мобильная платежная система Boleto, которая позволяет переводить средства друг другу путем создания виртуальных чеков с уникальным идентификатором платежа, преобразованным в штрихкод на экране смартфона, откуда его можно сосканировать камерой другого смартфона.
Специальные троянцы, ориентированные на Boleto, вроде Infostealer.Boleteiro перехватывают генерируемые чеки в момент их отображения в браузере и буквально «на лету» модифицируют их таким образом, чтобы платеж был отправлен не первоначальному адресату, а злоумышленнику.
Дополнительно троянец мониторит ввод ID в системе Boleto на сайтах и в банковских приложениях (при пополнении счета в системе) и затем скрыто подставляет при отправке формы ID злоумышленника - таким образом пополняется его счет.
Банковские трояны: главная мобильная киберугроза
В России в июне 2015 года обнаружен троянец Android.Bankbot.65.Origin, распространяющийся под видом пропатченного официального приложения «Сбербанк Онлайн», - мол, при удалении старой версии и установке новой пользователь получит полный доступ к функциям мобильного банка, а не только к шаблонам платежей.
Так как троян после установки сохранял все функции оригинального приложения, пользователи поначалу не замечали подвоха. А в июле со счетов 100 тыс. клиентов Сбербанка было похищено в общей сложности более 2 млрд рублей. Все жертвы использовали скомпрометированное приложение «Сбербанк Онлайн».
Разумеется, история банковских троянов все еще пишется, постоянно появляются все новые и новые приложения, преступники находят все более и более эффективные приемы для заманивания своих жертв. Так что стоит защитить свой смартфон как следует .
Банковские трояны: главная мобильная киберугроза
Банковский троян Qadars, созданный для банковской сферы, стал известным около двух лент назад. С самого начала он без проблем обходил механизмы двух этапной верификации (технология, при которой аутентификация пользователя проходит с применением двух разных технологий). Вирус использовал для этого мобильный контент.
Эксперты в области ИБ считают, это программное обеспечение применяет различные WEB-инъекции для попадания на ПК пользователей. Цель у Qadars одна – проникнуть на компьютер пользователя, похитить логин и пароль от Клиент-Банка и совершить перевод средств в пользу заинтересованного лица.
Для выполнения этих действий необходимо обойти банковскую систему защиты, поэтому вирус пытается склонить пользователя к установке специального ПО. Эта программа (мобильное приложение) является вирусом Android_Perkele. Пользователь получает данное приложение вместе с WEB-инъекцией, которая устанавливает вредоносный код. В дальнейшем, приложение перехватывает необходимые СМС (например, СМС с логином и паролем от Клиент-Банка). Как только пользователь заходит в Клиент-Банк, вирус предлагает установить приложение на мобильный телефон клиента. Выглядит это всё, как рекомендованное банком ПО.
Эта схема известна уже давным-давно, называется она Men_In_The_Browser. Сначала код внедряется в браузер (IE, Mozilla, Opera и т.д.). Когда это сделано, создатель вируса может самостоятельно проводить операции в Интернет-Банке. Для реализации перевода используется скрипт написанный на JavaScript. Перевод проходит незаметно для клиента банка.
Казалось бы, информация о вирусе появилась уже достаточно давно, прошло уже несколько лет, но специалисты так и не могут с ним справится. А хуже всего-то, что создатели Qadars постоянно занимаются его доработкой и обновлением. Сейчас, вирус особенно популярен в Объединенном Королевстве Великобритании (UK).
Помимо Британии, в разные годы вирус атаковал банковские организации Голландии, Соединенных штатов Америки и Канады.
Данный вирус был достаточно хорошо изучен. Вот несколько основных инструментариев которые он использует:
Возможность брать под свой контроль некоторые функции браузеров (Mozilla, IE); Подделка Cookies; Заполнение форм; WEB-инъекции; Full Information Grabber;
Вирус может использовать Tor (The Onion Route, система прокси-серверов, позволяющая устанавливать анонимное сетевое соединение) на клиентском устройстве.
Помимо этого, в его арсенале присутствует возможность выявления доменных имен, сгенерированных с использованием Domain Generation Algorithm. Данная технология помогает создателям скрывать свои ресурсы.
Зачастую, установка вируса выглядит как установка обычного обновления для OS. Как только нажимается кнопка «Обновить», начинается запуск ShellExecuteEx_Win32_API.
На сегодняшний день это уже третья версия вируса, Qadars_v3. Вирус хорошо развивается, получает новый функционал и найти его становится всё сложнее.