Qadars bankarski trojanac dizajniran za bankarski sektor, proslavio se prije dva filma. Od samog početka s lakoćom je zaobišao mehanizme verifikacije u dva koraka (tehnologija u kojoj se autentifikacija korisnika provodi pomoću dvije različite tehnologije). Virus je u tu svrhu koristio mobilni sadržaj.

Stručnjaci za informacijsku sigurnost vjeruju da ovaj softver koristi razne WEB injekcije za ulazak na računala korisnika. Qadars ima jedan cilj - prodrijeti u računalo korisnika, ukrasti prijavu i lozinku od Klijent-banke i prebaciti sredstva u korist zainteresirane strane.

Za izvođenje ovih koraka morate zaobići bankarski sustav zaštite, pa virus pokušava nagovoriti korisnika da instalira poseban softver. Ovaj program (mobilna aplikacija) je virus Android_Perkele. Korisnik prima ovu aplikaciju zajedno s WEB injekcijom koja instalira zlonamjerni kod. Naknadno, aplikacija presreće potrebne SMS (na primjer, SMS s prijavom i lozinkom od klijent-banke). Čim se korisnik prijavi u Client-Bank, virus nudi instalaciju aplikacije mobitel klijent. Sve izgleda kao softver koji preporučuje banka.

Ova shema je poznata već duže vrijeme, zove se Men_In_The_Browser. Prvo, kod je ugrađen u preglednik (IE, Mozilla, Opera, itd.). Kada se to učini, tvorac virusa može samostalno obavljati transakcije u Internet bankarstvu. Za provedbu prijevoda koristi se skripta napisana u JavaScriptu. Transfer se odvija nezapažen od strane klijenta banke.

Čini se da su se informacije o virusu pojavile dosta davno, prošlo je nekoliko godina, ali stručnjaci se još uvijek ne mogu nositi s tim. A najgore je što ga tvorci Kadara neprestano dorađuju i ažuriraju. Sada je virus posebno popularan u Ujedinjenom Kraljevstvu (UK).

Osim u Britaniji, tijekom godina virus je napao bankarske organizacije u Nizozemskoj, Sjedinjenim Američkim Državama i Kanadi.

Ovaj virus je prilično dobro proučen. Evo nekih od glavnih alata koje koristi:

Mogućnost preuzimanja kontrole nad nekim funkcijama preglednika (Mozilla, IE); Krivotvoreni kolačići; Popunjavanje formulara; WEB injekcije; Hvatač potpunih informacija;

Virus može koristiti Tor (The Onion Route, sustav proxy poslužitelja koji vam omogućuje uspostavljanje anonimnih Mrežna veza) na klijentskom uređaju.

Osim toga, njegov arsenal uključuje mogućnost identificiranja naziva domena generiranih korištenjem algoritma za generiranje domene. Ova tehnologija pomaže kreatorima da sakriju svoje resurse.

Često instalacija virusa izgleda kao instalacija običnog ažuriranja OS-a. Čim se klikne gumb "Ažuriraj", ShellExecuteEx_Win32_API počinje raditi.

Danas je ovo treća verzija virusa, Qadars_v3. Virus se dobro razvija, dobiva nove funkcionalnosti i sve ga je teže pronaći.

Trojanci su još uvijek učinkovito oružje za financijske prevarante

Fotografija: Fotolia/Brian Jackson

Bankarski trojanci postaju sve raznolikiji i sofisticiraniji. Kako funkcioniraju i kako se korisnici mogu zaštititi od online pljačke?

Idealni zločin

Bankarski trojanci pomažu kibernetičkim kriminalcima da počine savršen zločin – krađu sredstava s računa nesuđenih žrtava, ne ostavljajući gotovo nikakve tragove i uz minimalan rizik za sebe. Stoga ne čudi da su između lipnja i prosinca 2016. bankarski trojanci tek neznatno zaostajali za ransomwareom kao najčešći malware. A u zemljama azijsko-pacifičke regije daleko su ispred ransomwarea (od engleskog. otkupnina- “otkupnina” i softver- “softver”, zlonamjerni softver namijenjen iznudi. - Cca. Banki.ru) prema broju napada. Dakle, kako funkcioniraju bankarski trojanci i kako se korisnici mogu zaštititi od online pljačke?

Trojanski rat

Zlonamjerni ransomware programi koji zaključavaju vaše računalo i kriptiraju korisničke podatke postaju sve opasniji i traže sve više novca od svojih žrtava. Banki.ru razumio je vrste ransomware trojanaca i kako se zaštititi od njih.

Keylogging s mazgama

Prvo, ovi su zlonamjerni softveri jedna od najtajnovitijih vrsta zlonamjernih programa. Nakon što trojanac zarazi uređaj, on neće pokazivati ​​nikakvu aktivnost sve dok korisnik ne posjeti web stranicu internetskog bankarstva. Nakon što je sačekao ovaj trenutak, trojanac se aktivira i koristi keylogging (snimanje radnji korisnika kao što je pritisak na tipku) kako bi ukrao korisničko ime i lozinku, a zatim tajno šalje te podatke kriminalcima koji izvode napad. Hakeri se tada mogu prijaviti na bankovni račun korisnika i prebaciti novac na njihove račune - obično kroz složen niz transakcija koristeći račune "mazgi" (posrednici koji su plaćeni za svoju pomoć) kako bi prikrili svoje tragove.

Lopov u pregledniku

Mnogi trojanci sposobni su koristiti napredne taktike napada "čovjek u pregledniku". Na primjer, web injekcije ili mehanizmi preusmjeravanja koji maskiraju radnje trojanaca u stvarnom vremenu: tiho zamjenjuju sliku koju korisnik vidi u pregledniku. Čini se da se transakcije odvijaju u normalni mod, a žrtva ne primijeti krađu. Ostale taktike uključuju prikazivanje lažnih stranica upozorenja koje od korisnika traže da unesu svoje vjerodajnice, kao i stranice za odjavu. račun dok zapravo korisnik ostaje prijavljen. Cilj ove taktike je sakriti radnje trojanaca od korisnika što je dulje moguće kako bi kibernetički kriminalci mogli nastaviti krasti sredstva s njihovih računa.

Prema izvješću Check Point 2016 H2 Global Threat Intelligence Trends, najčešći bankarski trojanci u svijetu u drugoj polovici 2016. bili su:

1. Zeuse, napadački uređaji na Windows platforma i često se koristi za krađu bankovnih podataka korištenjem tehnologije čovjek-u-pregledniku - snimanje pritisaka na tipkovnici i hvatanje podataka unesenih u obrasce.

2. Tinba , koji krade podatke o korisničkom računu pomoću web injekcija. Aktivira se kada korisnik pokuša pristupiti web stranici svoje banke.

3. Ramnit, krađu podataka o bankovnom računu klijenta, FTP lozinki, kolačića sesije i osobnih podataka.

Zapravo, tijekom 2016. Zeus, Tinba i Ramnit ostali su među 20 najboljih zlonamjernih programa i često su se pojavljivali u 10 najboljih u svijetu, prema Kontrolna točka.

Prema izvješću Bankarski trojanci: od kamenog doba do svemirske ere, pored dugotrajnih Zeusa, Tinbe i Ramnita, skup bankarskih trojanaca nastavlja se nadopunjavati novim obiteljima. Tako se 2016. pojavila Panda, koja je korištena u zlonamjerni napad na brazilskim bankama uoči Olimpijskih igara 2016., kao i Goznym i Trickbot. Potonji je postao raširen uglavnom u Australiji, Velikoj Britaniji, Indiji, Singapuru i Maleziji.

Zanimljivo je da su trojanci za banke u početku distribuirani uglavnom u zemljama engleskog govornog područja. To je hakerima olakšalo rad s kodom i vektorom napada. Međutim, stručnjaci sada primjećuju sve više ciljanih hakerskih kampanja u određenim zemljama i na različitim jezicima.

Mobilno bankarstvo: pokretna meta

Također vidimo evoluciju trojanaca za mobilno bankarstvo. Malware obično prikazuje lažne obavijesti i zaslone na zaslonu mobilnog uređaja kada korisnik pokuša raditi s aplikacijom. Ovi zasloni izgledaju baš kao stranice za prijavu za bankovne aplikacije. Preko njih napadači mogu ukrasti vjerodajnice ili presresti SMS poruke od korisnikove banke s pristupnim kodovima, prikupljajući podatke potrebne za odobravanje mobilnih transakcija.

Kako se zaštititi

Jasno je da, osim korištenja posebnih rješenja za zaštitu od zlonamjernih softver, korisnici moraju biti oprezni na internetu. Upravo ovo slabost po pitanju mrežne sigurnosti, budući da ljudi često ne percipiraju niti ne primjećuju čak ni očite znakove prijevare na internetu.

Evo nekoliko klasičnih savjeta koji će vam pomoći da koristite internet i mobilno bankarstvo barem malo sigurnije.

Budi pažljiv Kada otvarate poruke e-pošte, čak i ako se čini da dolaze iz pouzdanih izvora, nemojte klikati na poveznice, otvarati privitke ili uključivati ​​makronaredbe u Microsoft datoteke Ured.

Instalirajte sveobuhvatan moderno rješenje o sigurnosti. Visokokvalitetna sigurnosna rješenja i programi (antivirus, antibot, napredna prevencija prijetnji) zaštitit će vas od raznih vrsta malwarea i vektora napada.

Obratite pažnju na “čudno” ponašanje stranica putem kojih pristupate bankarskim uslugama. Obratite pozornost na adresnu traku stranice: ako naziv stranice ne izgleda kao obično, nemojte unositi svoje osobne podatke putem ove stranice . Problem zlonamjerna stranica može također dodatna polja na stranicama za prijavu koje dosad niste vidjeli (osobito ako traže osobne podatke ili podatke koje banka ne bi trebala tražiti), promjene u dizajnu stranica za prijavu i manji nedostaci i netočnosti prikaza web stranice.

Obratite pozornost na adresnu traku stranice: ako naziv stranice ne izgleda kao inače, nemojte unositi svoje osobne podatke putem ove stranice.

Instalirati mobilne aplikacije a posebno bankarske aplikacije samo iz poznatih i pouzdanih izvora kao što su Google Play I Apple Store. Ovo ne jamči u potpunosti protiv preuzimanja zlonamjernih aplikacija, ali će vas zaštititi od većine prijetnji.

Stvoriti sigurnosne kopije najvažnije datoteke.Čuvajte kopiju svojih datoteka na vanjskom uređaju koji nije povezan s vašim računalom i u online pohrani u oblaku. Najčešći bankovni trojanci danas prate fazu krađe podataka s drugim zlonamjernim softverom, uključujući ransomware, koji može zaključati vaše datoteke i zadržati ih dok ne platite otkupninu.

Krađe novca s bankovnih računa sve su učestalije - u u društvenim mrežama a na forumima se stalno pojavljuju nove priče ljudi kojima je bankovni račun iznenada prazan. A ako je prije glavni instrument krađe bio kartica za plaćanje, s kojeg su podaci i PIN negdje “prepisani”, sada je sasvim moguće bez fizičkog kontakta s njim – dovoljan je pristup pametnom telefonu ili računalu na kojem su pokrenute bankarske aplikacije.

Razgovarao sam o ovoj temi sa Sergeyem Lozhkinom, jednim od stručnjaka Kaspersky Laba (to se dogodilo na konferenciji za novinare posvećenoj rezultatima godine), a on je dao nekoliko primjera iz svoje prakse. Za mene su ovi primjeri sasvim očiti (iako i starica može zeznuti), ali mnogi ljudi (pa i oni koji se naizgled “znaju”) ih nisu ni svjesni. Pa popričajmo o ovome još malo.

Zašto zaraziti mobilne uređaje?

Aktivnosti hakera da hakiraju i dalje koriste mobilne uređaje u svoju korist procvjetale su u U zadnje vrijeme bujna boja. Prvo, ima mnogo tih uređaja, pa čak i kada koristite relativno primitivne alate, šansa da nekoga zakačite je još uvijek prilično velika. Drugo, mi im vrlo aktivno povjeravamo sve pojedinosti našeg osobnog, a posebno obiteljskog i financijskog života. Treće, mobilni uređaji su postali prikladan alat interakcija s bankama - to uključuje autorizaciju, SMS bankarstvo i bankovne aplikacije. Sve to čini mobilne uređaje slasnim zalogajem za kreatore zlonamjernog softvera: ako se uspješno zaraze, iz njih se može izvući mnogo vrijednih informacija.

Najperspektivnija i najprofitabilnija vrsta zlonamjernog softvera danas su bankarski trojanci koji presreću kontrolu nad interakcijama s bankom i prazne bankovni račun.

PC infekcija

Jedan od jednostavnih načina: zaraziti računalo, a preko njega - mobilni uređaj. Iako je danas zaraza Windows računala novom, nepoznatom ranjivošću u sustavu prilično rijetka. Nepoznata ranjivost (tj. 0day) je rijetka, skupa na crnom tržištu i masovna infekcija Izračunava se prilično brzo i zatvara zakrpama. Stoga za masovno slanje poštom malware (isti bankarski trojanac) igra najčešće nije vrijedna svijeće.

Puno češće se koriste stare i poznate ranjivosti koje se zatvaraju ažuriranjem OS-a - obračun ide onim korisnicima koji ne rade ili su onemogućeni automatsko ažuriranje. Ili se ranjivosti u softveru treće strane - preglednici, flash playeri i drugi - koriste za napad na sustav Adobe aplikacije, Java stroj itd.

Jedan od najčešćih mehanizama "automatske" infekcije je da se korisnik namami na zlonamjernu stranicu (ili možete ubaciti okvir ili skriptu u legitimnu stranicu, na primjer, stranicu vodeće novinske agencije, s koje nema trika se očekuje), gdje se nalazi exploit paket - skup ranjivosti za različitim preglednicima ili komponente (isti Adobe Flash, Java itd.). Čim odete na njega, skripta će odabrati ranjivost vašeg preglednika i preko njega preuzeti i pokrenuti potrebne komponente zlonamjernog softvera posebno za vaš sustav. Ranjivost preglednika može postojati u otvorena forma tjedana dok informacije o tome ne stignu do programera i dok on ne objavi ažuriranje. Ali i dalje je relevantan za one koji ga nisu ažurirali Najnovija verzija.

Zatim se pomoću ove ranjivosti automatski preuzima i pokreće na računalu ili (ako se ne pronađe odgovarajuća ranjivost) korisniku se nudi preuzimanje pod bilo kojim imenom (na primjer, poznata „Ažuriranja preglednika Opera“ ili „ Adobe ažuriranje") zapravo virus/trojanac. Ili takozvani dropper (aka downloader). Ovo je učitavač koji pregledava sustav, a zatim preuzima i instalira ostale potrebne komponente - keyloggere, viruse, ransomware, komponente za organiziranje botneta i mnogo više - ovisno o primljenom zadatku. Usput, njegov rad često može biti uhvaćen i blokiran vatrozidom. Ako postoji, naravno.

Ako antivirusna tvrtka pronađe takvu ranjivost ili uhvati trojanca i iz njegovog ponašanja vidi kako prodire u sustav, odmah obavještava programere o problemu. Onda je za svakoga drugačije. Na primjer, predstavnici Kaspersky Laba kažu da Google u većini slučajeva pokušava izdati zakrpe dovoljno brzo, a također i Adobe. U isto vrijeme, Safari za Mac je ocijenjen relativno nisko, nazivajući ga jednim od rekordera po broju ranjivosti. I Apple reagira na različite načine - ponekad zakrpe izađu vrlo brzo, ponekad ranjivost može ostati otvorena gotovo godinu dana.

Infekcija mobilnog uređaja

Ako je računalo već zaraženo, tada kada se poveže mobilni uređaj, trojanac ga pokušava ili izravno zaraziti ili prisiliti korisnika da instalira zlonamjernu aplikaciju.

Pokazalo se da to čak i funkcionira Apple uređaji– nedavno otkriveni trojanac WireLurker koristio je upravo ovu shemu. Prvo je zarazio računalo, a zatim i pametni telefon spojen na njega. To je moguće jer iPhone ili iPad računalo s kojim je spojen smatra pouzdanim uređajem (kako inače može razmjenjivati ​​podatke i primijeniti ažuriranja OS-a?). Međutim, za iOS je ovo iznimna situacija(O tome kako WireLurker radi detaljnije ću govoriti u drugom materijalu), a sustav je vrlo dobro zaštićen od vanjskih upada. Ali uz važno upozorenje: osim ako ne napravite jailbreak uređaja, što u potpunosti uklanja zaštitu i otvara uređaj za bilo kakvu zlonamjernu aktivnost. Postoji mnogo virusa za jailbreak iPhone. Za iOS uređaje postoje opcije s uspješnim APT-ovima (ciljanim napadima), ali obični korisnici se s njima rijetko susreću i jedva da se trude zaraziti. određeni uređaj tu se treba jako potruditi.

Glavna glavobolja (a ujedno i glavni izvor prihoda) za sve antivirusne tvrtke su Android pametni telefoni. Otvorenost sustava, koja je jedna od njegovih glavnih prednosti (jednostavnost rada, ogromne mogućnosti za programere, itd.) u sigurnosnim pitanjima pokazuje se kao nedostatak: zlonamjerni softver dobiva mnogo prilika da prodre u sustav i stekne potpunu kontrolu nad njim.

No, osim mogućnosti koje sam sustav pruža napadačima, svoj doprinos daju i korisnici. Na primjer, poništavaju odabir stavke postavki "Instaliraj aplikacije samo iz pouzdanih izvora", što uvelike olakšava zlonamjernom softveru prodiranje u sustav pod krinkom legitimnih aplikacija. Također, mnogi korisnici provode proceduru dobivanja Root prava (što može biti potrebno za rješavanje nekih problema, a Android publika je sklonija eksperimentiranju u sustavu), čime se konačno uklanjaju čak i ostaci zaštite od presretanja kontrole sustava.

Na primjer, provjera autentičnosti u dva faktora sada se koristi na mnogim mjestima, tj. transakcije se potvrđuju jednokratnom SMS lozinkom iz banke na pametni telefon, tako da neće biti moguće podići novac bez sudjelovanja pametnog telefona. Virus, koji se već nalazi na računalu, vidi da se korisnik prijavio u banku klijenta - i ubaci novi prozor sa zahtjevom u preglednik, koji izgleda isto kao sučelje web stranice banke i sadrži zahtjev za telefonski broj pod bilo kojom izlikom (potvrda, verifikacija, potreba za preuzimanjem softvera itd.). Korisnik upisuje svoj broj, a na pametni telefon se šalje SMS s poveznicom za preuzimanje “bankarske aplikacije” ili nečeg drugog za osiguranje sigurnosti. Za običnog korisnikačini se da je dobio poveznicu od banke i... Štoviše, scenarij je, očito, sasvim uobičajen - primjerice, na web stranici Sberbanka visi veliko upozorenje da se takve aplikacije ne instaliraju. U ovom slučaju, potvrdni okvir u Android postavke“Instalirajte aplikacije samo iz pouzdanih izvora” spriječilo bi zarazu sustava.

Često je dobra stara brava pouzdanija ()

Međutim, ako nemate sreće, onda u slučaju Googlea možete dobiti zlonamjernu aplikaciju iz legitimne trgovine. Apple Appstore provodi ozbiljnu provjeru dolaznih aplikacija, zahvaljujući kojima zlonamjerni programi jednostavno ne završe u službenoj trgovini, a nad programerima se vrši kontrola. Na Google Playu, “više otvoreni krug suradnja" dovodi do toga da zlonamjerne aplikacije redovito dolazi u trgovinu, a Google reagira tek naknadno. Odnosno, postoji mogućnost instaliranja virusa čak i iz službena trgovina aplikacije za Android.

Što se događa nakon što je mobilni sustav zaražen?

Za početak, nekoliko riječi o situaciji kada je računalo zaraženo, a trojanac s njega prenese svoju komponentu na pametni telefon, gdje uspješno počinje s radom. Glavni trojanac može presresti detalje (na primjer, koristeći keylogger ili putem preglednika) i koristiti ih ili jednostavno pristupiti web stranici banke na daljinu putem vlastitog sustava. Kada se operacija izvrši, kod se šalje na pametni telefon, druga komponenta ga presreće i šalje prvoj da dovrši operaciju. Za prijenos koda može se koristiti internetska veza ili slanje koda pomoću odlazne SMS poruke

Mnogi trojanci znaju kako banka radi s korisnicima i kako je softver izgrađen (preko banke klijenta ili web stranice - nije važno). Sukladno tome, mogu kreirati “personalizirane” phishing stranice, ubaciti zlonamjerni kod na bankovnu stranicu izravno u pregledniku (primjerice, vidjet ćete dodatni prozor koji od vas traži da potvrdite isto broj telefona) i učiniti puno više. Na primjer, zahtijevajte “instalirati sigurnosnu komponentu”, “aplikaciju za rad s bankom” itd. Ili možda u potpunosti pozadina idite na stranicu banke i izvršite potrebne operacije bez vašeg sudjelovanja.

Samozaraza mobilnog uređaja

Međutim, ako je mobilni uređaj već zaražen, možda neće biti potrebna pomoć velikog računala.

Novac je najlakše ukrasti pomoću zaraženog pametnog telefona putem SMS bankarstva. Većina banaka omogućuje primanje informacija o stanju i obavljanje transakcija putem šifriranih poruka na kratki broj. Ovo je vrlo jednostavno za korištenje.

Kada uđe u sustav, trojanac šalje poruku tražeći stanje na njemu poznate bankovne brojeve. Neke verzije mogu odrediti u kojoj zemlji korisnik živi gledajući regionalne postavke telefona i preuzeti popis brojeva za određena država. Ako dobijete odgovor s jednog od brojeva, tada možete početi povlačiti novac na lažni račun, odakle se zatim isplaćuje. Shema je jednostavna i raširena, a funkcionira ne samo kada je telefon hakiran, već i, primjerice, ako je ukraden. Postoje čak i situacije u kojima se SIM kartica vraća pomoću lažne fotokopije putovnice ili punomoći s istim rezultatom. U teoriji bi prilikom promjene SIM kartice trebalo blokirati SMS bankarstvo i Internet bankarstvo, no to se ne događa uvijek.

)

Zaražen mobilni sustav može sam izvući informacije od korisnika u naizgled najbezazlenijim situacijama. Na primjer, kada kupite aplikaciju na Google Playu, prikazuje vam se dodatni prozor koji od vas traži da potvrdite broj svoje kreditne kartice uz lozinku. Prozor na vrhu Googleove aplikacije Igraj, unutra pravi trenutak, sve je sasvim logično i nesumnjivo. Ali zapravo, ovo mobilni virus SVPenk koji na ovaj način krade podatke s kreditne kartice... točnije niti ne krade - korisnik mu ih sam daje.

Malo je vjerojatno da će trojanac uspjeti hakirati komunikacijski kanal između banke i aplikacije, presloženi su enkripcija, certifikati itd. Baš kao i “provaljivanje” u legitimnu bankovnu aplikaciju. Ali može, na primjer, presresti kontrolu nad zaslonom osjetljivim na dodir i pratiti radnje korisnika u aplikaciji. Pa onda može samostalno oponašati rad sa zaslonom osjetljivim na dodir unosom potrebnih podataka u bankovnu aplikaciju. U ovoj situaciji, operacija prijenosa novca pokreće se iz bankovne aplikacije, a ako potvrdni kod stigne na isti uređaj, odmah ga presreće i unosi sam trojanac – vrlo zgodno.

Naravno, imati online bankarstvo i kanal potvrde putem SMS-a na jednom uređaju nije baš dobro dobra odluka, ali rijetko tko ima dva telefona uza se istovremeno. Najbolja potvrda bankarski poslovi Do SIM kartica, umetnut u stari telefon bez pristupa internetu.

Operacija Emmental ili “Rupe su u glavama!”

Na primjer, razmotrite jedan od napada koje je opisala tvrtka Trend Micro a stručnjaci su ga nazvali “Emental” zbog velikog broja sigurnosnih rupa koje su usporedili sa švicarskim sirom. Emmental napad bio je usmjeren na klijente nekoliko desetaka europskih banaka – u Švicarskoj (16 bankovnih web stranica, statistika temeljena na radu jednog od poslužitelja napadača), Austriji (6), Švedskoj (7) i iz nekog razloga u Japan (5). Cilj napada je preuzimanje bankovnih podataka korisnika kako bi se s njegovim podacima ulogirali u sustav i ukrali informacije.

Glavne značajke Emmentala su, prvo, mehanizam infekcije u dvije faze (prvo računalo, zatim pametni telefon), koji vam omogućuje zaobilaženje dvofaktorske autentifikacije. Drugo, zamjena DNS-a vlastitim, koji je klijente preusmjeravao na phishing stranice koje su izgledale "baš kao prava stvar!" i instaliranje lažnog sigurnosnog certifikata. Pa, posljednja značajka - sudeći po nekim savjetima u kodu, napravili su je ljudi koji govore ruski. Prvo, zaboravili su ukloniti komentar “obnulim rid” u kodu, a drugo, u modulu za provjeru zemlje SIM kartice postoje zemlje u kojima je izvršen napad, kao i Rusija, ali trojanac ne radi. za njega (navodno je korišten tijekom testiranja) . S druge strane, sudeći prema logovima poslužitelja, glavna aktivnost dolazi iz Rumunjske.

Primarna infekcija računala je putem neželjene pošte, i tu nema apsolutno nikakve suptilnosti. Stiže pismo navodno od poznatog trgovca (svaka država ima svog) u vezi navodne narudžbe s navodno priloženom potvrdom u rtf-u. Nakon što otvori rtf, korisnik vidi unutra (!) drugu datoteku pod nazivom “check...”, koja je zapravo .cpl element. Ako ga otvorite (i zanemarite upozorenje o mogućoj opasnosti), učitat će se modul netupdater.exe koji se pretvara da je Microsoftov update. NET okvir, ali će UAC prikazati upozorenje i također napisati da je programer nepoznat. Odnosno, da bi dobio trojanca, korisnik mora pokazati izuzetnu nepažnju i nerazumnost. Na sreću napadača, takvi su korisnici u većini.
Istovremeno, sam modul infekcije je vrlo zanimljiv: on mijenja DNS poslužitelj u sustavu, koji potrebnih slučajeva preusmjerava korisnika na phishing stranicu, a također instalira novi SSL certifikat na sustav, tj. više neće psovati kada se uspostavi sigurna HTTPS veza s pogrešnim mjestom. Nakon toga modul se sam uklanja, tako da tijekom daljnjeg skeniranja nije u sustavu, antivirus ne vidi ništa sumnjivo, a mehanizam zaraze će biti teže ustanoviti.

)

Prilikom pokušaja pristupa web stranici svoje banke, korisnik se preusmjerava na phishing stranicu, gdje upisuje login i lozinku za autorizaciju, nakon čega napadači dobivaju pristup računu i svim podacima na njemu. Dalje, stranica za krađu identiteta traži od korisnika da na svom telefonu instalira aplikaciju za generiranje jednokratnih lozinki pri radu s bankom, navodno radi povećanja sigurnosti. U uputama stoji da će poveznica biti poslana putem SMS-a, ali ta opcija ne radi (ovo je učinjeno namjerno), a korisnici su prisiljeni koristiti "rezervnu opciju": ručno preuzeti APK datoteku Android aplikacije koristeći dani veza. Nakon instalacije (kako teče instalacija ne otkrivamo u izvješću, što je šteta - uostalom, i Android ima zaštitu), trebate unijeti lozinku za aplikaciju na web stranici - kako biste je aktivirali novi sustav sigurnosti. Ovo se radi kako bi se osiguralo da je korisnik stvarno instalirao aplikaciju na Android.

To je u biti to: sada napadači imaju prijavu, lozinku i aplikaciju na pametnom telefonu koja će presresti SMS s lozinkama (za to instalira vlastitu uslugu presretanja SMS-ova), sakriti ih od korisnika i poslati na naredbeni poslužitelj ( može To se može učiniti i putem interneta i putem SMS-a). Osim toga, aplikacija za pametni telefon može prikupiti i poslati naredbenom poslužitelju dosta različitih informacija o telefonu i njegovom vlasniku.

Općenito, Emmental je složena operacija, zahtijevaju visoke kvalifikacije i profesionalnost sudionika. Prvo, uključuje stvaranje dva različita trojanaca za dvije platforme. Drugo, razvoj ozbiljne infrastrukture za njih - DNS poslužitelj, phishing stranice koje pažljivo oponašaju bankovne stranice, naredbeni server koji koordinira rad stranica i aplikacija, plus sam modul za krađu novca. Modul za samobrišuću infekciju ograničava mogućnosti istraživanja - posebice do infekcije može doći ne samo poštom, već i na druge načine.

Rezultati

Ovdje smo opisali samo nekoliko situacija kada virus preuzme kontrolu nad pametnim telefonom, a to je dovoljno za prijenos novca na lažni račun. Postoji mnogo različitih varijanti bankarskih trojanaca koji koriste različite (ponekad vrlo složene, pa čak i elegantne) sheme za zarazu i krađu podataka, a potom i novca.

Istina, zaraziti sustav "masovnim virusom" (tj. široko rasprostranjenim, a ne usmjerenim na konkretnog korisnika) obično se mnogi čimbenici moraju poklopiti (uključujući nemar ili nepismenost korisnika), ali to je ljepota masovnih rješenja: bit će dovoljan broj "klijenata" s ovom kombinacijom tako da u posebno uspješnim slučajevima napadači nemaju vremena da unovče ukradeni novac koji im padne na račun (stvarna situacija!). Dakle, u velikom broju slučajeva, obična razboritost će vam pomoći da se spasite od financijskih gubitaka - samo trebate obratiti pozornost na čudno i neobično ponašanje pametnog telefona, klijenta banke, računala itd. Iako se osloniti samo na nju kada govorimo o Vjerojatno ne vrijedi razgovarati o financijskim pitanjima.

Procvat pametnih telefona, čija je penetracija u nekoliko godina premašila 50% “mobilne” populacije, sa sobom je donio i jedan ozbiljan problem – mobilne cyber prijetnje. Dok su korisnici računala više-manje naviknuti na poštivanje pravila “informatičke higijene”, pametni telefon je u svijesti većine samo telefon, uređaj sličan glačalu ili perilica za rublje. Čega se ima bojati?

U međuvremenu moderan pametni telefon- ovo je punopravno računalo, moćniji od toga, koji je stajao na vašem stolu prije nekih 10 godina. I jako opasno računalo. Na disku kućno računalo možda nema ničeg vrijednog osim nekoliko rukom pisanih sažetaka sačuvanih iz studentskih vremena i hrpe fotografija s putovanja u Tursku. Ali vaš pametni telefon gotovo sigurno sadrži podatke koji su vrijedni ne samo za vas, već i za napadače.

Činjenica je da ako imate pametni telefon, postoji velika vjerojatnost da imate bankovna kartica. A budući da banke koriste brojevi mobitela za autorizaciju (na primjer, pošaljite SMS sa jednokratne lozinke za potvrdu transakcija), primamljivo je presresti ovaj komunikacijski kanal i izvršiti prijenose i plaćanja s vašeg bankovnog računa u vaše ime.

Nije iznenađujuće da su bankarski trojanci danas najčešća kibernetička prijetnja mobilnim uređajima: do 95% zlonamjernog softvera za pametne telefone pripada njima. Preko 98% njih namijenjeno je Android platforme, što i ne čudi. Prvo, najrasprostranjeniji je (zauzima više od 80% tržišta pametnih telefona). Drugo, to je jedina među popularnim platformama koja u osnovi dopušta instalaciju softvera iz nepoznatih izvora.

Unatoč činjenici da su trojanci mnogo manje opasni od virusa, budući da nužno zahtijevaju sudjelovanje korisnika da bi bili instalirani na sustav, postoje veliki broj učinkovite metode socijalni inženjering, gurajući "klijenta" da instalira trojanca pod krinkom, recimo, važno ažuriranje ili bonus razine za popularnu igru. Postoje i exploiti koji automatski preuzimaju malware ako korisnik slučajno pokrene jedan od njih.

Postoje tri glavne metode rada bankarskih trojanaca:

Mogu sakriti bankovne SMS poruke s lozinkama od korisnika i odmah ih preusmjeriti napadaču koji će pomoću njih prebaciti vaš novac na svoj račun.

Na isti način, bankarski trojanci mogu djelovati automatski, s vremena na vrijeme šaljući relativno male iznose na račune kriminalaca.

Ili zlonamjerni softver odmah oponaša bankarske mobilne aplikacije i, nakon što dobije pristup podacima za prijavu, mobilno internet bankarstvo, učini sve isto.

Većina bankarskih trojanaca - do 50% - ciljana je na Rusiju i zemlje ZND-a; Također su česti u Indiji i Vijetnamu; nedavno je postao popularan univerzalni zlonamjerni softver koji može preuzeti ažurirane profile banaka različite zemlje: SAD, Njemačka, UK.

“Djed” trojanaca za mobilno bankarstvo je Zeus, zvani Zitmo (Zeus-in-the-mobile), koji se pojavio još 2010. (a njegov predak za računala, originalni Zeus, nastao je 2006.) i uspio je samo u SAD-u zaraziti više od 3,5 milijuna uređaja, stvarajući najveći botnet u povijesti.

Riječ je o klasičnom “presretaču” koji sprema logine i lozinke koje korisnik unese u preglednik za pristup internetskoj banci te ih šalje napadaču koji se nakon toga može prijaviti u sustav s navedenim podacima i izvršiti transfere ( Zitmo je također zaobišao dvofaktorsku autentifikaciju).

Osim toga, uz pomoć Zeusa bilo je moguće ukrasti više od 74 tisuće FTP lozinki s raznih stranica, uključujući stranicu Bank of America, te promijeniti kod na njima na način da se dobiju podaci kreditne kartice kada pokušavate platiti nešto s njima. Zeus je bio posebno aktivan do kraja 2013. godine kada ga je počeo istiskivati ​​moderniji Xtreme RAT, no jezgra trojanca i dalje je popularna među kreatorima malwarea.

2011. godine pojavio se SpyEye - jedan od najuspješnijih bankarskih trojanaca u povijesti. Njegov autor, Aleksandar Andrejevič Panin, prodavao je kod na crnom tržištu po cijenama od 1000 do 8500 dolara; Prema FBI-u, koji je de-anonimizirao kreatora SpyEyea, bilo je oko 150 kupaca trojanca koji su kreirali njegove modifikacije kako bi krali od klijenata raznih banaka. Jedan od kupaca koda uspio je ukrasti 3,2 milijuna dolara u šest mjeseci.

Godine 2012. otkriven je Carberp - komponenta prerušena u Android aplikacije najvećih ruskih banaka: Sberbank i Alfa-Bank - a namijenjena je klijentima tih banaka u Rusiji, Bjelorusiji, Kazahstanu, Moldaviji i Ukrajini. Jedan od zanimljivih aspekata ove priče je da su kriminalci uspjeli postaviti lažne aplikacije na Google Play.

Napadače, kojih je bilo 28, otkrile su i uhitile ruska i ukrajinska policija. Međutim, izvorni kod Carberpa objavljen je 2013., tako da sada svatko može napisati svoj vlastiti malware na temelju njega. A ako je izvorni Carberp pronađen u zemljama bivšeg SSSR-a, onda se njegovi klonovi sada nalaze u Europi, SAD-u i Latinskoj Americi.

Godine 2013. Hesperbot je započeo svoj pobjednički pohod od Turske preko Portugala i Češke: ovaj trojanac, između ostalog, na zaraženom uređaju kreira skriveni VNC server preko kojeg napadač može dobiti pristup daljinskom upravljanju pametnim telefonom.

Čak i nakon uklanjanja trojanca, pristup ostaje, a lopov može presresti sve poruke kao da je uređaj u njegovim rukama i, naravno, ponovno instalirati malware. Osim toga, Hesperbot se smatrao ne samo bankarskim trojancem, već i lopovom Bitcoina. Hesperbot se distribuira pomoću phishinga pod krinkom poruka iz usluga e-pošte.

2014. godine otvoren je izvorni kod Android.iBankinga - gotovog kompleksa za presretanje bankovnih SMS lozinki i daljinski upravljač pametni telefon. Prethodno je prodan za 5000 dolara; objavljivanje koda dovelo je do značajnog porasta infekcija.

Kompleks se sastoji od zlonamjerni kod, koja zamjenjuje bankovnu aplikaciju koja je već instalirana na pametnom telefonu (funkcionalnost izvorne aplikacije je sačuvana, ali se pojavljuje širok raspon novih značajki), te programe za Windows s praktičnim grafičko sučelje, što vam omogućuje upravljanje svim kontroliranim pametnim telefonima s automatski ažuriranog popisa.

Zanimljivo je da, unatoč prisutnosti besplatna verzija, plaćena verzija još uvijek postoji i tražena je: vlasnici "premium računa" dobivaju redovita ažuriranja i visokokvalitetnu tehničku podršku. Krajem iste godine na Google Playu otkrivena su dva trojanca namijenjena brazilskim korisnicima, stvorena bez ikakvih programerskih vještina pomoću univerzalnog alata za izradu aplikacija.

Brazil je općenito posebna regija po pitanju “bankarskih” napada. Činjenica je da su mobilni telefoni vrlo popularni u zemlji. sustav plaćanja Boleto, koji vam omogućuje prijenos sredstava jedni drugima stvaranjem virtualnih čekova s ​​jedinstvenim identifikatorom plaćanja pretvorenim u crtični kod na zaslonu pametnog telefona, odakle se može skenirati kamerom drugog pametnog telefona.

Posebni trojanci koji ciljaju Boleto, kao što je Infostealer.Boleteiro, presreću generirane račune dok se prikazuju u pregledniku i doslovno ih "u hodu" modificiraju tako da se plaćanje ne šalje izvornom primatelju, već napadaču.

Dodatno, trojanac nadzire unos ID-a u Boleto sustav na web stranicama i bankarske aplikacije(prilikom dopune računa u sustavu) i zatim tajno zamijeni ID napadača prilikom podnošenja obrasca - na taj način dopuni njegov račun.

Bankarski trojanci: glavna mobilna cyber prijetnja

U Rusiji je u lipnju 2015. otkriven trojanac Android.Bankbot.65.Origin koji se širio pod krinkom zakrpanog službena prijava"Sberbank Online", kažu, kada uklanjaju staru verziju i instaliraju novi korisnikće primiti puni pristup na funkcije mobilnog bankarstva, a ne samo na predloške za plaćanje.

Budući da je trojanac nakon instalacije zadržao sve funkcije izvorne aplikacije, korisnici u početku nisu primijetili kvaku. A u srpnju je s računa 100 tisuća klijenata Sberbanka ukradeno ukupno više od 2 milijarde rubalja. Sve žrtve koristile su kompromitiranu aplikaciju Sberbank Online.

Naravno, povijest bankarskih trojanaca još uvijek se piše, stalno se pojavljuje sve više i više aplikacija, kriminalci pronalaze sve više i više učinkovite tehnike namamiti svoje žrtve. Stoga je vrijedno pravilno zaštititi svoj pametni telefon.

Bankarski trojanci: glavna mobilna cyber prijetnja

Jeste li čuli za bankovne Trojance, ali ne znate koliko su opasni? Stručnjaci su detaljno govorili o ovim programima, kao i kako se od njih zaštititi.

Bankarski trojanci su specijalizirani programi stvoreni za krađu osobnih podataka korisnika

Trojanski konji jedan su od najopasnijih i najraširenijih tipova “virusa” na svijetu. Posebno su opasni tzv. bankarski trojanci koji su odgovorni za 80% slučajeva krađe novca s bankovnih računa. Stručnjaci iz ukrajinskog antivirusnog laboratorija Zillya ispričali su nam kako ovi programi rade i je li se moguće zaštititi od njih.

Ciljevi i metode

Bankarski trojanci su specijalizirani programi stvoreni za krađu osobnih podataka korisnika. Posebno su usmjereni na krađu prijava i lozinki korisnika internetskog bankarstva. Trojanci također mogu presresti SMS poruke od tajne šifre, koje banka šalje, te ih preusmjeriti napadačima.

Osim toga, također su sposobni izravno ukrasti novac s računa - odjednom ili postupno u malim prijenosima.

Najvjerojatniji putevi infekcije

Način na koji se korisnikovo računalo zarazi trojanskim programom u pravilu se odvija na isti način: maskira se u bezopasne, a često vrlo poznate aplikacije. Najčešće opcije su preuzimanje ažuriranja programa ne sa službene web stranice programera, već sa resurs treće strane, koji oponaša originalni.

Korisnik preuzima naizgled dobro poznati program, a unutar njega se nalazi trojanac koji zarazi PC. Osim toga, trojance na računalo mogu preuzeti drugi trojanci i malware koji inficiraju računalo.

Ne manje na relevantan način distribucija bankarskih trojanaca može se nazvati slanjem SPAM-a. Ova metoda je poboljšana tehnologijama društvenog inženjeringa, koje se temelje na psihologiji ponašanja i prisiljavaju korisnika da otvori priloženi dokument ili slijedi poveznicu do zaražene stranice.

Bankarski trojanci odgovorni su za 80% slučajeva krađe novca s bankovnih računa. Fotografija: sensorstechforum.com

Količine štete

Bankarski trojanci su prilično opasni alati za hakiranje. U “vještim” rukama može prouzročiti značajnu štetu financijama žrtava.

Dakle, jedan od najpoznatijih i opasnih malware Ova kategorija Zeusa, prema stručnjacima, uzrokovala je gubitke od 50 do 100 milijuna dolara od izravne krađe i više od 900 milijuna za razvoj zaštitnih sustava.

Činilo se da je vrijeme ovog Trojanaca već prošlo, a oni su se naučili boriti protiv njega. No, 2016. godine identificiran je novi moćni bankarski trojanac Atmos koji je, prema riječima stručnjaka iz industrije, sposoban oboriti sve rekorde jer se radi o tehnološki puno naprednijem proizvodu.

Jednako poznati trojanac SpyEye prouzročio je štetu u iznosu od 100 milijuna dolara, a uspio je prikupiti podatke s više od 250 tisuća plastičnih kartica. Zasebno je vrijedno spomenuti trojanac Citadel, koji je zarazio više od 10 tisuća računala i, prema američkim obavještajnim agencijama, postao instrument za krađu više od 500 milijuna dolara.

Nedavno neutralizirani bankar Lurk, kojeg je kontrolirala cijela skupina hakera, uspio je oštetiti financije korisnika u iznosu od 40 milijuna dolara.

Usput, takve tehnologije su prilično skupe. Na crnom tržištu cijena bankarskog trojanca provjerenog “branda” može varirati od 5 do 50 tisuća dolara (Carberp Trojan).

Uhićenja

Svako zlo mora biti kažnjeno, zbog čega autori Trojanaca i njihovi distributeri često završe iza rešetaka. Vrijedi napomenuti da je tvorac Citadele dobio 5 godina u američkom zatvoru, a tvorac SpyEye Alexander Panin (Gribodemon) dobio je 9 godina zatvora.

Obavještajne agencije diljem svijeta razumiju potencijal takvih kibernetičkih prijetnji i čak su spremne platiti mnogo novca za "glave" modernih kriminalaca. Tako je za informacije o autoru Zeusa raspisana nagrada od 3 milijuna dolara.

Najbolja zaštita od Trojanci, prema Zillya stručnjacima, je razboritost. Poznavanje i korištenje nekoliko osnovna pravila kibernetičkom sigurnošću, možete minimizirati vjerojatnost zaraze:

1. Ne otvarajte pisma nepoznatih primatelja s priloženim arhivama i tekstualnim dokumentima.

2. Ako otvorite takvo pismo, nemojte otvarati datoteke.

3. Izbrišite takvo slovo.

4. Nemojte koristiti datoteke za postavljanje poznati programi iz izvora trećih strana.

5. Koristite antivirusni program, i na računalu i na mobilnom uređaju.

6. Redovito kopirajte važne informacije.

7. Za svaku ponovnu kupnju u online trgovini potrebno je zatražiti podatke o bankovnoj kartici. U suprotnom, potrebno je kontaktirati upravitelja banke.

8. Upamtite: unos PIN-a vaše kartice NIJE potreban za prijavu u online bankarstvo.