Η εταιρεία ασφαλείας προειδοποιεί για κλοπή τραπεζικών δεδομένων που αποστέλλονται με SMS

Πολλές κακόβουλες εφαρμογές Android σχεδιάστηκαν για να κλέψουν τους αριθμούς επαλήθευσης συναλλαγών κινητού τηλεφώνου (mTAN) (<0} Οι εφαρμογές δημιουργήθηκαν από μια συμμορία που χρησιμοποιεί μια παραλλαγή του κακόβουλου λογισμικού του τραπεζικού συστήματος Carberp για να στοχεύσει τους πελάτες πολλών ρωσικών τραπεζών, Denis Maslennikov, αναλυτής κακόβουλου λογισμικού σε Kaspersky, δήλωσε την Παρασκευή σε μια θέση στο blog

Πολλές τράπεζες χρησιμοποιούν το mTAN ως μηχανισμό ασφαλείας για να αποτρέψουν τους κυβερνοεγκληματίες να μεταφέρουν χρήματα από συμβιβασμούς ηλεκτρονικής τραπεζικής ts. Όταν μια συναλλαγή ξεκινάει από έναν λογαριασμό ηλεκτρονικής τραπεζικής, η τράπεζα στέλνει έναν μοναδικό κωδικό που ονομάζεται mTAN μέσω SMS στον αριθμό τηλεφώνου του κατόχου του λογαριασμού. Ο κάτοχος του λογαριασμού πρέπει να εισάγει τον κώδικα αυτό πίσω στον ιστότοπο ηλεκτρονικής τραπεζικής προκειμένου να εγκριθεί η συναλλαγή.

<Προηγμένη ανάγνωση: Πώς να αφαιρέσετε το κακόβουλο λογισμικό από τον υπολογιστή σας Windows

Για να νικήσετε αυτό το είδος άμυνας, οι εγκληματίες του κυβερνοχώρου δημιούργησαν κακόβουλες εφαρμογές για κινητά που αποκρύπτουν αυτόματα μηνύματα SMS που λαμβάνουν από αριθμούς που σχετίζονται με τις στοχευμένες τράπεζες και μεταφέρουν σιωπηρά τα μηνύματα στους διακομιστές τους. Τα θύματα εξαπάτησαν να κατεβάσουν και να εγκαταστήσουν αυτές τις εφαρμογές στα τηλέφωνά τους μέσω αχρεωστήτων μηνυμάτων που εμφανίζονται όταν επισκέπτονται τον ιστότοπο της τράπεζάς τους από έναν μολυσμένο υπολογιστή.

Οι εφαρμογές κλοπής SMS έχουν χρησιμοποιηθεί στο παρελθόν μαζί με τα προγράμματα Trojan bank Zeus και SpyEye και είναι γνωστά ως Zeus -in-the-Mobile (ZitMo) και SpyEye-in-the-Mobile (SpitMo). Ωστόσο, αυτή είναι η πρώτη φορά που βρέθηκε ένα φοβερό κινητό στοιχείο σχεδιασμένο ειδικά για το κακόβουλο λογισμικό Carberp, δήλωσε ο Maslennikov.

Σε αντίθεση με το Zeus και το SpyEye, το πρόγραμμα Trojan Carberp χρησιμοποιείται κυρίως για να στοχεύσει τους πελάτες της σε απευθείας σύνδεση τραπεζών από τη Ρωσία και άλλες ρωσο- όπως η Ουκρανία, η Λευκορωσία ή το Καζακστάν.

Σύμφωνα με μια έκθεση τον Ιούλιο από τον προμηθευτή ιών ESET, οι ρωσικές αρχές συνέλαβαν τους ανθρώπους πίσω από τις τρεις μεγαλύτερες επιχειρήσεις Carberp. Ωστόσο, το κακόβουλο λογισμικό εξακολουθεί να χρησιμοποιείται από άλλες συμμορίες και πωλείται στην υπόγεια αγορά για τιμές μεταξύ US $ 5.000 και $ 40.000, ανάλογα με την έκδοση και τα χαρακτηριστικά της.

"Αυτή είναι η πρώτη φορά που έχουμε δει κακόβουλα κινητά συστατικά από μια συμμορία Carberp ", δήλωσε ο παρασκευαστής κακόβουλου λογισμικού Aleksandr Matrosov στον προμηθευτή antivirus ESET, μέσω ηλεκτρονικού ταχυδρομείου την Παρασκευή. "Τα κινητά εξαρτήματα χρησιμοποιούνται μόνο από μία ομάδα Carberp, αλλά δεν μπορούμε να αποκαλύψουμε περισσότερες λεπτομέρειες στο παρόν."

Οι νέες εφαρμογές Carberp-in-the-Mobile (CitMo) που βρέθηκαν στο Google Play μετασχηματίστηκαν ως κινητές εφαρμογές από τη Sberbank και η Alfa-Bank, δύο από τις μεγαλύτερες τράπεζες της Ρωσίας, και η VKontakte, η πιο δημοφιλής σε απευθείας σύνδεση υπηρεσία κοινωνικής δικτύωσης στη Ρωσία, δήλωσε ο Maslennikov. Ο κ. Kaspersky επικοινώνησε με την Google την Τετάρτη και όλες οι παραλλαγές του CitMo διαγράφηκαν από την αγορά μέχρι την Πέμπτη.

Ωστόσο, το γεγονός ότι οι κυβερνοεγκληματίες κατάφεραν να φορτώσουν αυτές τις εφαρμογές στο Google Play αρχίζει να θέτει ερωτήματα σχετικά με την αποτελεσματικότητα της αγοράς εφαρμογών όπως είναι ο ανιχνευτής προστασίας από κακόβουλο λογισμικό Bouncer που ανακοινώθηκε από την Google νωρίτερα φέτος

"Φαίνεται ότι δεν είναι τόσο δύσκολο να παρακάμψουμε την άμυνα του Google Play, επειδή το κακόβουλο λογισμικό εξακολουθεί να εμφανίζεται εκεί τακτικά", δήλωσε ο Maslennikov μέσω ηλεκτρονικού ταχυδρομείου.

Ο Bogdan Botezatu, ένας ανώτερος αναλυτής της ηλεκτρονικής απειλής στην εταιρεία Bitdefender, πιστεύει ότι μπορεί να είναι δύσκολο για τον Bouncer να ανιχνεύσει στοιχεία ZitMo, SpitMo ή CitMo, επειδή είναι λειτουργικά παρόμοια με κάποιες νόμιμες εφαρμογές. η έκδοση του Trojan είναι υπεύθυνη μόνο για την κατάχρηση του ληφθέντος SMS και την προώθηση του περιεχομένου του σε διαφορετικό παραλήπτη και αυτή η συμπεριφορά βρίσκεται επίσης σε νόμιμες εφαρμογές, όπως το SMS mana app εφαρμογές ή ακόμα και εφαρμογές που επιτρέπουν στο χρήστη να ελέγχει εξ αποστάσεως τις συσκευές τους μέσω SMS σε περίπτωση κλοπής ή απώλειας », δήλωσε μέσω ηλεκτρονικού ταχυδρομείου. "Η υποκλοπή SMS είναι ένα χαρακτηριστικό γνώρισμα που είναι καλά τεκμηριωμένο στα φόρουμ, μαζί με δείγμα κώδικα.Αν το ίδιο δείγμα κώδικα χρησιμοποιείται τόσο σε κακόβουλες όσο και σε νόμιμες εφαρμογές, θα ήταν ακόμη πιο δύσκολο να εντοπιστεί και να αποκλειστεί."

Η δυνατότητα χρήσης του Google Play για τη διανομή εφαρμογών κλοπής SMS προσφέρει πλεονεκτήματα σε κυβερνοεγκληματίες, είπε ο Botezatu. Καταρχήν, ορισμένες συσκευές χρηστών έχουν ρυθμιστεί ώστε να εγκαθιστούν μόνο εφαρμογές που έχουν ληφθεί από το Google Play. Επίσης, οι χρήστες είναι γενικά λιγότερο ύποπτοι για εφαρμογές που έχουν μεταφορτωθεί μέσω του Google Play και δίνουν λιγότερη προσοχή στα δικαιώματά τους, επειδή αναμένουν ότι οι εφαρμογές θα είναι αυτό που οι περιγραφές τους ισχυρίζονται ότι είναι,