Компьютерра: iBanking: как трояны за пять тысяч долларов обходят двухфакторную аутентификацию
22.05.2014
Компания Symantec опубликовала документ, в котором поясняется схема работы троянов семейства iBanking. Они поражают смартфоны с ОС Android и позволяют злоумышленникам обходить механизмы двухфакторной аутентификации, широко используемые в социальных сетях и системах электронных платежей. На сегодня это самые сложные трояны для мобильных операционных систем - и, похоже, корни у них российские.
По данным Symantec, вредоносные программы, нацеленные на пользователей мобильных гаджетов с ОС Android, стали исключительно востребованными на чёрном рынке. Многие из них обладают огромной функциональностью и продаются за баснословные суммы. Цена самых сложных доходит до $5 000.
За эти деньги атакующая сторона получает весьма сложного трояна, способного перенаправлять голосовые вызовы на смартфоне жертвы, скрыто включать встроенный микрофон и отслеживать перемещения по сигналам GPS/Wi-Fi/GSM/CDMA. Злоумышленник обретает также полный удалённый доступ к файловой системе смартфона. Всё это способствует распространению мобильных ботнетов, заражённые устройства в которых координируются по HTTP или даже посредством СМС - в зависимости от доступности интернета в текущий момент.
«Трояны семейства iBanking часто маскируются под легитимные программы, - поясняет представитель Symantec. - Они выглядят как клиенты социальных сетей, платёжных систем или даже как специализированные приложения для повышения уровня безопасности. Такая схема распространения используется при построении мобильных ботнетов и скрытого наблюдения за жертвами».
Высокая цена и сложность троянов свидетельствуют о том, что изначально они разрабатывались по заказу крупных ОПГ, получающих основной нелегальный доход от преступлений в сфере высоких технологий. Вероятно, затем произошла утечка кода, поскольку в последнее время специалисты Symantec отмечают значительное увеличение активности разных версий троянов семейства iBanking. Прогнозируется, что число заражений в ближайшей перспективе будет только расти.
Как это работает
Внедрение трояна на смартфон обычно происходит в результате многоходовой атаки. Сначала заражается персональный компьютер или ноутбук под управлением ОС Windows. Этот процесс бывает непросто определить, так как первое время никаких странных действий троянец не выполняет. У него минимальная сетевая активность, нет стремления внедриться в активные процессы или захватить побольше вычислительных ресурсов. Поэтому эвристика часто пасует перед такими тихонями, а сканер файловой системы определит трояна только в случае точного совпадения сигнатур с имеющимися в базе.
В какой-то момент при посещении страниц платёжных систем или социальных сетей браузер на инфицированном компьютере начинает показывать фальшивые рекомендации. Например, отображается уведомление о необходимости установить мобильный клиент или дополнительное приложение для продолжения работы с банковским сервисом либо социальной сетью. На уровне интерфейса всё выглядит убедительно, а поскольку жертвы считают программу легитимной, то большинство неискушённых пользователей не видят в ней никакой угрозы. Дополнительным каналом распространения стали QR-коды, содержащие ссылку на вредоносные инсталляционные пакеты *.apk.
После установки компонентов трояна iBanking на ПК и смартфон злоумышленники получают полный контроль над аккаунтами жертвы, включая системы мобильных платежей. Обычно уже с этого момента они могут выполнять любые операции от имени владельца и подтверждать их с его же смартфона.
Одноразовые пароли перехватываются из входящих СМС (зачастую - скрытно). Даже секретные фразы, произносимые хозяином счёта при общении с живым оператором, могут записываться в аудиофайл и отправляться злоумышленникам. Для этого достаточно вести запись только тех разговоров, которые происходят после набора одного из номеров горячей линии популярных платёжных систем.
О подобной тенденции среди вирусописателей ещё месяц назад сообщал специалист компании Eset
Аналитик группы противодействия сетевому мошенничеству компании RSA Security Даниэль Коэн (Daniel Cohen) отмечает, что при написании многих троянцев iBanking использовались продвинутые техники обфускации кода и защиты от реверс-инжиниринга. В них применяются шифрование связанных XML-файлов по алгоритму AES, определение запуска в виртуальной машине и другие методы, затрудняющие как ручной анализ специалистами, так и автоматическое распознавание антивирусами.
«Это типично для высококлассных вредоносных программ, ориентированных на ПК, но впервые было столь тщательно реализовано на уровне мобильных приложений», - поясняет Коэн.
Авторами троянов iBanking называет себя группа GFF. Она продолжает продавать их даже после утечки исходного кода. «Публикация исходного кода троянов совпала со значительным всплеском активности модификаций iBanking, - сообщил во вторник представитель Symantec. - Наши исследования показывают: несмотря на наличие бесплатной версии, большинство крупных ОПГ продолжают делать выбор в пользу платной. По всей видимости, так они хотят заручиться обновлениями и технической поддержкой со стороны GFF».
Если раньше вирусы и другие вредоносные программы писали преимущественно ради забавы, то сейчас они используются в основных схемах получения дохода в теневой экономике. Установить антивирусные программы на свои компьютеры и мобильные гаджеты желательно, хотя и недостаточно. Главный способ противодействия современным сетевым угрозам - постоянное повышение своего технического уровня и соблюдение правил безопасности.
Андрей ВАСИЛЬКОВ
Инфографику к статье можно посмотреть на сайте источника.
Похожие новости
ТОП-предложения месяца
-
Потребительский для работников по найму Липецккомбанк
25.50 % -
КУБ-пенсионный Кредит Урал Банк
18.50 % -
На любые цели Банк Финсервис
19.00 % -
Под поручительство Банк АВБ
27.00 % -
Потребительский Приобье
16.00 %
Опрос
Подпишись на рассылку
Получайте лучшие предложения!