A biztonsági cég figyelmezteti a rosszindulatú programokat az SMS által küldött bankadatok ellopásáról

Számos rosszindulatú Android alkalmazás, amelyek célja a bankok által az ügyfeleknek SMS-en keresztül küldött mobil tranzakciós hitelesítési számok (mTAN) (Short Message Service) a Google Playen találták meg a víruskereső Kaspersky Lab kutatói.

Az alkalmazásokat egy olyan banda hozta létre, amely a Carberp banki malware változatát használja fel, hogy több orosz bank ügyfeleit célozza, Denis Maslennikov a Kaspersky egyik vezető rosszindulatú elemzője, blogjában pénteken elmondta.

Számos bank használja az mTAN-okat biztonsági mechanizmusként annak érdekében, hogy megakadályozzák a számítógépes bűnözők számára a pénz átutalását a veszélyeztetett online banki felelősségvállalásból ts. Amikor egy tranzakciót kezdeményeznek egy online banki számlán, a bank egy mTAN nevű SMS-t küld SMS-ben a számlatulajdonos telefonszámára. A számlatulajdonosnak vissza kell juttatnia a kódot az online banki weboldalhoz, hogy engedélyezze a tranzakció engedélyezését.

[További olvasmány: Hogyan távolítsunk el rosszindulatú programokat Windows számítógépről]

Az ilyen típusú védelem leküzdése érdekében, a számítógépes bűnözők olyan rosszindulatú mobilalkalmazásokat hoztak létre, amelyek automatikusan elrejtsék a célzott bankokhoz tartozó számokból kapott SMS-eket, és csendben feltöltik az üzeneteket a szervereikre. Az áldozatok becsapják az ilyen alkalmazások letöltését és telepítését a telefonjukra, ha a fertőzött számítógépen meglátogatják a banki webhelyüket.

Az SMS lopás alkalmazásokat korábban a Zeus és SpyEye banki trójai programokkal együtt használták és Zeus néven ismertek -in-the-Mobile (ZitMo) és SpyEye-in-the-Mobile (SpitMo) komponenseket. Ez az első alkalom azonban, hogy a Carberp kártevőkre kifejlesztett különös mobil komponenseket találtak, Maslennikov elmondta.

A Zeus és a SpyEye-vel ellentétben a Carberp Trojan programot elsősorban az oroszországi és más oroszországi online bankok ügyfelek, mint például Ukrajna, Fehéroroszország vagy Kazahsztán.

A trojans más banda által bitorolták

Júliusban az ESET víruskereső gyártója szerint az orosz hatóságok letartóztatták a három legnagyobb Carberp művelet mögött álló embereket. Azonban a rosszindulatú programokat továbbra is más bandák használják, és a földalatti piacon értékesítik az 5000 és 40 000 dollár közötti árakat a verziótól és annak jellemzőitől függően.

"Ez az első alkalom, hogy mobilinfarktust láttunk komponensek egy Carberp banda "- mondta Aleksandr Matrosov, az ESET antivírus gyártójának vezető malware-kutatója, amely e-mailben pénteken jelentette meg. "A mobilalkatrészeket csak egy Carberp csoport használja, de jelenleg nem adhatunk több részletet."

A Google Playen talált új Carberp-in-the-Mobile (CitMo) alkalmazások a Sberbank és az Alfa-Bank, két orosz legnagyobb bank és a VKontakte, Oroszország legnépszerűbb online közösségi hálózata, mondta Maslennikov. A Kaspersky szerdán lépett kapcsolatba a Google-lal, és csütörtökön a CitMo változatokat törölték a piacon.

Azonban az a tény, hogy a számítógépes bűnözők sikeresen feltöltötték ezeket az alkalmazásokat a Google Playre, először kérdéseket vet fel az alkalmazáspiac

"Úgy tűnik, hogy nem nehéz megkerülni a Google Play védelmeit, mert a rosszindulatú programok továbbra is rendszeresen megjelennek ott" - mondta Maslennikov e-mailben.

Bogdán Botezatu, a Bitdefender víruskereső gyártója, az e-fenyegetettség elemzője úgy véli, hogy nehéz lehet a Google Bouncer számára a ZitMo, a SpitMo vagy a CitMo összetevők felderítése, mivel funkcionálisan hasonlóak a legitim alkalmazásokhoz.

"A mobil a trójai változat csak akkor felelős, ha átveszi a kapott SMS-t, és továbbítja a tartalmát egy másik címzettnek, és ez a viselkedés törvényes alkalmazásokban is megtalálható, mint például az SMS mana gement alkalmazásokat vagy akár alkalmazásokat, amelyek lehetővé teszik a felhasználó számára, hogy SMS-ben távolról irányítsa eszközeit, ha ellopják vagy elveszik "- mondta e-mailben. "Az SMS-lehallgatás olyan funkció, amely jól dokumentálható a fórumokon, a mintakóddal együtt." Ha ugyanazt a mintakódot használjuk mind a rosszindulatú, mind a legális alkalmazásokban, még nehezebb észlelni és blokkolni. "

A képesség a Google Play használatára SMS lopás alkalmazásokat kínál előnyöket cybercriminals, Botezatu mondta. Először is, egyes felhasználói eszközök úgy vannak beállítva, hogy csak a Google Playen kapott alkalmazásokat telepítsék. Emellett a felhasználók általában kevésbé gyanakodnak a Google Playen keresztül letöltött alkalmazásokról, és kevesebb figyelmet fordítanak az engedélyeikre, mert azt várják, hogy az alkalmazások legyenek a leírásaik, azt állítják.