Продажа банковского трояна нового поколения началась

Начались продажи троянов в исходном коде с учебником для тех, кто не умеет программировать

Учебники для создания троянов-шифровальщиков

Эксперты по безопасности обнаружили в сети Tor сервис под названием Inpivx, который позволяет даже не самым технически подготовленным желающим конструировать шифровальщики-вымогатели и использовать их для атак.

В последнее время в даркнете встречается немалое количество ресурсов, предлагающих шифровальщики как услугу (RaaS), где от клиента вообще не требуется никаких или почти никаких технических знаний. Однако Inpivx работает по иному принципу.

За $500 клиенту предлагается исходные коды для процедур шифрования в различных вариациях и для панели управления будущим вредоносом.

Таким образом потенциальные киберпреступники получают возможность использовать эти компоненты для сборки или написания своей уникальной вымогательской программы — уже с готовыми инструментами управления.

«Если у клиента не хватает навыков, мы предоставляем учебник на основе нашего шифровального ПО. Каждая строка кода снабжена пояснениями», — заявили представители Inpivx в разговоре с журналистами Bleeping Computer.

Защититься будет труднее

Вредоносная программа написана на C++ и работает на всех версиях Windows, начиная с XP. Панель управления написана на PHP. В ней присутствуют все нужные потенциальному злоумышленнику компоненты — управление размерами требуемых от жертв выплат, вывод статистики по заражениям (с детализацией по операционным системам и географическому расположению атакованных машин и т.д.), простой чат для общения с жертвами и так далее.

«В конечном счёте такой конструктор позволит создавать уникальные вымогательские программы, защититься от которых техническими средствами будет несколько сложнее, чем от вариаций более распространённых шифровальщиков, — полагает Антон Медведев, эксперт по информационной безопасности компании SEC Consult Services. — Это не говоря уже о том, что исходный код шифровальщика может быть использован и для создания многофункциональных троянцев, способных выполнять различные вредоносные действия, не ограничивающиеся только шифрованием файлов. Единственно, что странно, это что продаётся именно исходный код, а не уже скомпилированные бинарные файлы с обфускацией и антиотладкой. Но, по-видимому, у создателей сервиса были причины выбирать именно такую бизнес-модель. Но, по-видимому, у создателей сервиса были причины выбирать именно такую бизнес-модель».

Что касается цены, то $500 могут показаться весьма существенной суммой, однако всего лишь одна успешная вымогательская операция может окупить «инвестицию» сполна.

Как работают банковские трояны и как от них защититься

Одним прекрасным солнечным майским утром мой завтрак был прерван телефонным звонком друга — предпринимателя, занимавшегося перевозками грузов. Нервным голосом он рассказал, что с его банковского счета куда-то пропали 2 миллиона рублей. А в службе поддержки банка развели руками, отправив товарища писать заявление в полицию, поскольку денежные переводы были совершены с помощью мобильного приложения и подтверждены через SMS, что по всем признакам выглядит вполне легальной финансовой операции.

«Ты же программист, — простонал в трубку мой друг, — посоветуй, что делать». К сожалению, что-то делать было уже поздно, ибо инструментом для кражи денег послужил банковский троян (банкер), обосновавшийся на телефоне моего приятеля задолго до этого досадного инцидента. И предотвратить пропажу денег было можно, лишь заранее изучив принципы работы и методы борьбы с таким видом вредоносных приложений. Чем мы в сегодняшней статье и займемся.

История появления банковских троянов

Первые полноценные банковские трояны для мобильной платформы Android были обнаружены еще в 2011 году. Нет, вредоносы, способные передавать злоумышленникам входящие SMS-сообщения, в том числе содержащие mTAN-коды (коды аутентификации транзакций), существовали и до этого. Кроме того, были известны трояны, умеющие оперировать USSD-командами. Они могли перевести заданную злодеями сумму с «привязанной» к телефону банковской карты, пополнив баланс левого мобильного телефона, или узнать остаток средств на счете. Но полноценными банковскими троянами, конечно же, не были, поскольку заметно уступали по функциональным возможностям своим десктопным аналогам.

Все изменилось с появлением Android.SpyEye. Этот трой работал в связке с вредоносом SpyEye для Windows, благодаря чему обрел способность обходить двухфакторную аутентификацию. Действовал он следующим образом.

Как только пользователь зараженной винды открывал в браузере банковский сайт, работающий на компе трой выполнял веб-инжект, встраивая в страницу кусок HTML-кода, который он подгружал из конфига. Поскольку инжект осуществлялся на стороне клиента, URL банковского сайта в адресной строке браузера оказывался корректным, а соединение было установлено по протоколу HTTPS. Поэтому содержимое веб-страницы не вызывало у жертвы никаких подозрений.

Текст, встроенный трояном в банковский сайт, гласил, что банк внезапно изменил условия работы и для авторизации в системе банк-клиент необходимо установить на мобильный телефон небольшое приложение размером около 30 Кбайт, скачав его по предложенной ссылке — «в целях безопасности». Приложением, естественно, был мобильный трой Android.SpyEye.

Эта вредоносная программа не создавала никаких значков, ее можно было отыскать только в списке работающих процессов под названием «Система». Основная задача троя — перехват всех входящих SMS-сообщений и пересылка их на управляющий сервер, адрес которого вредонос брал из XML-конфига.

Так выглядел один из первых мобильных банковских троянов — Android.SpyEye

Когда жертва вводит логин и пароль на банковском сайте в окне браузера, Windows-троян SpyEye перехватывает и отправляет их ботоводам. После этого злоумышленники в любой момент могут авторизоваться с помощью этих данных в системе банк-клиент на сайте банка, однако сервер обязательно отправит владельцу счета проверочный код в SMS, который нужно ввести в специальную форму. Это сообщение будет перехвачено мобильной версией SpyEye и передано вирусописателям. Используя перехват SMS, они смогут выполнять любые операции по счету, например опустошить его подчистую.

Примерно так выглядит схема работы первого мобильного банковского трояна SpyEye

Узким местом этой довольно сложной схемы была необходимость синхронизации работы банковского и десктопного компонентов троянской связки, однако указанную проблему вирусописателям удалось успешно решить. Несколько месяцев SpyEye наводил шорох среди пользователей банковских сервисов, пока не попал в базы всех популярных антивирусов, после чего его деятельность постепенно сошла на нет.

Банковские трояны

Спустя какое-то время сотрудники IT-отделов банков понемногу освоили веб-программирование, и банк-клиенты окончательно перекочевали с десктопов в мобильные телефоны в виде Android-приложений. Это значительно облегчило жизнь вирусописателям: у них отпала необходимость заморачиваться с троянами под винду, и они смогли наконец полностью сосредоточить свои усилия на разработке мобильных банковских троянов. Ведь владелец Android-смартфона с банковским приложением на борту — это ходячий кошелек, опустошить который мечтает каждый уважающий себя вирмейкер.

Как и прочие вредоносы для Android, банковские трояны распространялись под видом каких-либо полезных программ — «универсальных видеокодеков» или проигрывателей Flash, в том числе через официальный каталог Google Play. Троянская функциональность таких приложений, естественно, не афишировалась разработчиками, и проявлялась она либо спустя какое-то время, либо после загрузки очередного обновления. Так, в одном из случаев банковский троян раздавался в виде программы, якобы объединяющей в себе возможности банк-клиентов сразу нескольких крупных кредитных организаций. Зачем вам куча отдельных приложений, когда вместо них можно скачать одно, с трояном? Также известны случаи, когда вредоносы встраивались в подлинные приложения некоторых банков, модифицированные злоумышленниками. Такие приложения распространялись с поддельных страниц банков, оформленных в точности как настоящие, а жертв на них завлекали рассылками фишинговых писем.

Еще один вектор распространения мобильных банковских троянов — фишинговые SMS-рассылки. Обычно это происходит так. Пользователю, зарегистрированному на одном из сайтов бесплатных объявлений, приходит SMS-сообщение с предложением обмена. При этом получателя называют по имени, что должно усыпить его бдительность, — вирусописатели предварительно распарсили базу пользователей этого сайта, вытянув оттуда всю полезную информацию. При переходе по короткой ссылке из сообщения потенциальная жертва направляется на промежуточную страницу, где определяется, что пользователь зашел на сайт именно с мобильного устройства под управлением Android, и выявляется его мобильный оператор, после чего происходит перенаправление на фейковую страницу с сообщением о поступлении MMS, оформленную в стилистике соответствующего ОПСОСа. После нажатия на кнопку начинается загрузка трояна.

Пример фишинговой SMS-рассылки, цель которой — распространение банковского трояна

Первые мобильные банковские трояны работали очень просто. Если для функционирования вредоноса были нужны права администратора, он настойчиво демонстрировал на экране окно с требованием выдать ему соответствующие полномочия, до тех пор пока измученный пользователь не согласится на это действие. Но иногда вирусописатели шли на различные ухищрения, чтобы обмануть потенциальную жертву. Например, банковский троян Android.BankBot.29 маскировал окно запроса прав администратора под сообщение приложения Google Play: «Ваша версия устарела, использовать новую версию?» При попытке пользователя нажать на экранную кнопку «Да» layout трояна исчезал, и тап попадал на кнопку Accept диалогового окна DeviceAdmin, в результате чего вредонос получал администраторские привилегии.

Еще один банковский троян доставал пользователей запросом на включение режима Accessibility Service — специальных возможностей для людей с ограничениями по здоровью. А получив такое разрешение, сам включал для себя админа.

Другой способ получения привилегий — Accessibility Service

После этого трой просто висит в памяти мобильного телефона, ожидая запуска мобильного банковского приложения. При наступлении этого события он определяет, какое именно приложение запущено, и рисует поверх него соответствующую поддельную форму ввода логина и пароля, а введенные данные тут же пересылаются на управляющий сервер по HTTP в виде JSON или на заданный телефонный номер SMS-сообщением. Конфиг мобильного банковского трояна может содержать HTML-код нескольких десятков форм с различным оформлением, копирующим интерфейс приложений наиболее популярных банков. После этого остается только перехватить и отправить в том же направлении SMS с одноразовыми паролями, чтобы предоставить ботоводам полный доступ к банковскому счету. Входящие сообщения от банков при этом обычно скрываются, чтобы не вызывать у жертвы подозрений.

Мобильные банковские трояны могут рисовать поддельные окна авторизации популярных банков

Сколько денег подобным образом было похищено со счетов пользователей Android, сказать трудно, но суммы здесь наверняка фигурируют шестизначные. Даже если троянам по какой-то причине не удавалось получить доступ к банковскому счету, они благополучно похищали реквизиты банковских карт. Для этого, например, широко использовались фейковые окна привязки карты к приложению Google Play.

Для хищения реквизитов банковских карт многие банковские трояны используют поддельные окна Google Play

Приобрести что-либо ценное в приличных интернет-магазинах с использованием ворованных реквизитов непросто, а вот оплатить онлайн-игрушки или покупку музыки в каком-нибудь сервисе вполне возможно. Подобные сайты редко заморачиваются серьезной проверкой платежных реквизитов, поскольку транзакции там обычно копеечные. Чем и пользуются злоумышленники.

Банкботы — это побочная ветвь эволюции мобильных банковских троянов. Если обычные банковские трои работают более-менее автономно, то банкботы способны получать различные управляющие команды и выполнять их на зараженном девайсе.

Команды могут передаваться по HTTP, например в формате JSON, по SMS, а в некоторых случаях даже через специальный Telegram-канал. Большинство банкботов по команде включают или отключают перехват входящих SMS-сообщений, могут скрывать полученные SMS (прятать можно сообщения с определенных номеров или с заданными ключевыми словами), отключать звук мобильного телефона, отправлять сообщения на указанный злоумышленниками номер с заданным содержимым или выполнять USSD-команды. Также ботовод может изменить адрес управляющего сервера или системный номер телефона, на который будет пересылаться информация, если ее не удалось передать по HTTP.

Многие банкботы также могут скачивать и устанавливать на мобильном устройстве APK-файлы, ссылку на которые укажет в команде ботовод. В результате на зараженный девайс попадают другие трояны, имеющие более широкий ассортимент функций. Также некоторые банкботы умеют отображать на экране смартфона активити с присланными злодеем параметрами — это открывает широчайшие возможности для фишинга и реализации самых изощренных мошеннических схем. Ну и почти все такие вредоносы умеют сливать на командный сервер адресную книгу, SMS-переписку и прочие конфиденциальные данные, а также переадресовывать входящие звонки на заданный в команде телефонный номер. Отдельные экземпляры троянов ко всему прочему обладают функциями самозащиты: они отслеживают имена работающих в системе процессов и при обнаружении антивируса пытаются выгрузить его, используя права администратора.

Практически все банкботы используют веб-админку, предоставляющую ботоводам подробную статистику по инфицированным девайсам и похищенной на них информации.

Типичная админка типичного мобильного банковского бота

Распространение банковских троянов

С распространением мобильных устройств на Android производство троянов для этой платформы стало понемногу превращаться в самую настоящую подпольную индустрию. В полной мере коснулось это и банкеров.

В даркнете стали появляться объявления о сдаче банковских троянов под Android в аренду, с предоставлением клиенту админки и технической поддержки. А затем начали распространяться билдеры, с использованием которых любой желающий без каких-либо навыков программирования мог соорудить банковского трояна, маскирующегося под выбранное приложение или определенную систему банк-клиент.

Билдер для создания банковского троя под Android

Благодаря этому количество банковских троев примерно с 2017 года начало расти если не в геометрической прогрессии, то весьма заметно. И шансы подцепить подобную заразу у пользователей смартфонов на Android тоже значительно выросли. А с учетом того, что большинство подобных вредоносов работает с привилегиями администратора, удалить их с устройства не так-то просто: для этого в лучшем случае придется запустить систему в безопасном режиме, в худшем — сбросить девайс к заводским настройкам со всеми вытекающими последствиями.

Защита от банковского трояна

Доказанный факт: даже отключение на телефоне возможности установки приложений из сторонних источников далеко не всегда защищает пользователя от проникновения банкеров. Случаев загрузки подобных вредоносов даже из официального каталога Google Play известно множество: технология проверки размещаемых там приложений все еще несовершенна.

Кроме того, операционную систему Android отличает значительное количество уязвимостей, которые могут использоваться вирусописателями в своих, отнюдь не благородных целях. Защитить устройство от несанкционированного проникновения зловредов способны антивирусы, но вот устанавливать их или нет — личное дело самих пользователей Android. По крайней мере, мой приятель-коммерсант после инцидента с похищением денег решил больше не испытывать судьбу и скачал на свой телефон такую программу: лишней не будет.

Продажа банковского трояна нового поколения началась

НОВОСТИ ТОП

НОВОСТНАЯ ЛЕНТА

НОВИНКИ ВЕНДОРОВ

Опасная FANTA: известный Andro >

Group-IB, международная компания, специализирующаяся на предотвращении кибератак, зафиксировала новую кампанию Android-трояна FANTA, атакующего клиентов 70 банков, платежных систем, web-кошельков в России и странах СНГ. Троян нацелен на пользователей, размещающих объявления о купле-продаже на популярном интернет-сервисе Avito. Только с начала 2019 года потенциальный ущерб от FANTA в России составил не менее 35 млн руб.

Несмотря на то, что различные вариации Android-троянов семейства Flexnet известны уже более 4 лет, с 2015 года, и подробно изучены, сам троян и связанная с ним инфраструктура постоянно развиваются: злоумышленники разрабатывают новые эффективные схемы распространения, добавляют новые функциональные возможности, позволяющие эффективнее воровать деньги с зараженных устройств и обходить средства защиты.

Лейся, FANTA: схема атаки

Новая кампания использует качественные фишинговые страницы под популярный интернет-сервис Avito и нацелена на пользователей, размещающих объявления о купле-продаже. Схема работает так: спустя некоторое время после публикации продавец получает именное SMS о «переводе» на его счет необходимой суммы — полной стоимости товара. Детали платежа ему предлагается посмотреть по ссылке.

Довольный продавец кликает на ссылку: открывается фишинговая страница, подделанная под реальную страницу Avito, уведомляющая продавца о совершении покупки и содержащая описание его товара и суммы, полученной от “продажи” товара. После клика на кнопку «Продолжить» на телефон пользователя загружается вредоносный APK FANTA, замаскированный под приложение Avito. Такая маскировка усыпляет бдительность пользователя и он устанавливает вредоносное приложение. Получение данных банковских карт осуществляется стандартным для Android-троянов образом: пользователю демонстрируются фишинговые окна, маскирующиеся под легитимные мобильные приложения банков, куда жертва сама вводит данные своей банковской карты.

Семейство Flexnet пустило корни в России

Нынешняя кампания нацелена на русскоязычных пользователей, большая часть зараженных устройств находится в России, небольшое количество — зафиксировано на Украине, а также в Казахстане и Беларуси. Начиная с января 2019 года потенциальная сумма ущерба только от данной компании FANTA составляет более 35 миллионов рублей.

FANTA анализирует, какие приложения запускаются на зараженном устройстве. При открытии целевого приложение — троян демонстрирует фишинговое окно поверх всех остальных, которое представляет собой форму для ввода информации о банковской карте. Пользователю необходимо ввести следующие данные: номер карты, срок действия карты, CVV, имя держателя карты (не для всех банков).

Исследуя троян, было обнаружено, что кроме демонстрации заранее заготовленных фишинговых страниц, Fanta также читает текст уведомлений около 70 приложений банков, систем быстрых платежей и электронных кошельков.

Проанализированные специалистами Group-IB Threat Hunting Intelligence фишинговые страницы под Интернет-сервис для размещения объявлений Avito, указывают на то, что они готовились целенаправленно под конкретную жертву.

При исследовании трояна обнаружено, что помимо Avito, разработчики FANTA нацелены на пользователей порядка 30 различных Интернет-сервисов, включая AliExpress, Юла, Pandao, Aviasales, Booking, Trivago, а также такси и каршеринговых служб и тд.

Аппетиты FANTA выросли

FANTA работает на всех версиях Android не ниже 4.4. Как и другие андроид-трояны, FANTA способна читать и отправлять SMS, совершать USSD-запросы, демонстрировать собственные окна поверх приложений. Однако в новой кампании мобильный троян начал использовать AccessibilityService (сервис для людей с ограниченными возможностями), что позволяет ему читать содержимое уведомлений других приложений, предотвращать обнаружение и остановку исполнения трояна на зараженном устройстве.

Троян «проверяет» тип устройства, после чего выводит на экран смартфона пользователя сообщение якобы о системном сбое. После этого пользователю демонстрируется окно «Безопасность системы» — запрос предоставление прав для использования AccessibilityService. После получения прав приложение уже без посторонней помощи получает права и на другие действия в системе, эмулируя нажатия клавиш пользователя.

Важной функцией FANTA, которой создатели уделили особое внимание, является обход на Android-смартфоне антивирусных средств. Так троян препятствует запуску пользователем приложений: Clean, Meizu Applicatiom Permission Management, MIUI Security, Kaspersky Antivirus AppLock & Web Security Beta, Mobile AntiVirus Security PRO, AVG Protection для Xperia, Samsung Smart Manager, Dr.Web Mobile Control Center, Dr.Web Security Space Life, Kaspersky Internet Security и другие.

«Поводом для этого исследования послужил реальный кейс: специалист по информационной безопасности, опубликовавший объявление на Avito, получил подозрительное СМС. Он сразу переслал его команде Group-IB Threat Hunting Intelligence, которая в ходе исследования выявила новую масштабную кампанию Android-трояна FANTA, — рассказал Рустам Миркасымов, Руководитель отдела динамического анализа вредоносного кода, эксперт по киберразведке Group-IB. — Однако далеко не все истории заканчиваются так удачно, поэтому мы рекомендуем пользователям регулярно устанавливать обновления ОС Android, не переходить по подозрительным ссылкам, полученным в СМС-сообщениях, не посещать подозрительные ресурсы и не скачивать оттуда файлы, а также не устанавливать приложения из неофициальных источников. Что касается банков и вендоров мобильных приложений, на которые нацелено это семейство Android-троянов, мы можем порекомендовать использование систем для проактивного предотвращения банковского мошенничества на всех устройствах (смартфон, планшет, ноутбук, ПК) через любые каналы взаимодействия с банком (мобильное приложение, онлайн-банкинг и др)».

Продажа банковского трояна нового поколения началась

Банковская программа нового поколения под названием «Кrоnоs», которая была специально разработана для хищения реквизитов клиентов банка с сайтов коммерческих и государственных банков, приобрела активную рекламную поддержку и начала свою продажу на хакерском рынке.

Следует упомянуть, что данная вирусная программа способна применять перехват данных по наличию веб-формы или другого Интернет-контента. К примеру одно из рекламных сообщений на закрытом хакерском ресурсе утверждает, что данная новая программа вполне совместима с контент-инъекционной сетью скриптов, которая носит дополнительное название «Веб-Инъекты». Следует уточнить, что данное техническое решение было замечено еще в прошлом и применялось программой мошеннической направленности «Zеus», которая в нынешнее время потеряла популярность и была исключена из всех разработок.
В дополнении ко всему, страницы закрытого хакерского форума содержат и другие рекламные объявления и описания. К примеру помимо хищения данных клиентов банка, этот вирус способен вести работу, как на 32 разрядной системе, так и на системах более высокого уровня. В дополнении код вируса снабжен продвинутой системой защиты от антивирусного программного обеспечения и блокирования конкурентных приложений. Но защита от антивирусного патруля, это еще не все фишки данного трояна, «Кrоnоs» умеет обходить так называемые «песочницы», которыми наделены операционные системы современного типа.

Как упоминалась в предыдущих новостях, полная стоимость троянского комплекса с полноценной защитой от уничтожения, составляет не больше, не меньше, а 7000 американских долларов. Как утверждают сами создатели комплекса вирусов, данная программа может потягаться в качестве и мощности со многими решениями данного характера.

Сотрудники внутренней безопасности банков, которые используют в своей практике систему онлайн банкингов, предупреждают своих клиентов о возможных атаках, но как известно, что ни один банк не расскажет о том, что его безопасность находится под угрозой. Все попытки найти производителей данного вирусного программного обеспечения пока не увенчались успехом, но по утверждению специализированных служб многих стран, поиски находятся в самом разгаре. Сами же форумы публикующие информацию о продаже данного продукта берутся на заметку и приобретают повышенный контроль со стороны силовых структур. Что будет происходить с банковскими счетами клиентов? На этот вопрос пока еще не смог ответить ни один эксперт в сфере безопасности и разработке антивирусного ПО.

«Великолепная» четверка банковских троянов

Банковские трояны подобны крысам, снующим около мусорного ящика, — стоит их пнуть, как они разбегутся в разные стороны. И вы их больше не увидите, только если услышите что-то о них. Однако есть квартет, который, кажется, никогда не сойдет с банковской сцены: Carberp, Citadel, SpyEye и, конечно же, Zeus.

Проблемы с этими банкерами таковы, что часто мы ловим их за занятием плохими вещами, при этом никак не связанными напрямую с кражей финансовой информации. Слишком все непросто в этом темном мире киберпреступности, однако в любом случае эти трояны представляют собой реальную проблему, так как они отлично отлажены для поиска и кражи банковской информации. Совсем не просто писать интересный материал о банковских троянах, так как все они одного поля ягоды, но тем не менее пробежимся по четырем наиболее известным.

Оригинальная версия Carberp является типичным представителем троянов. Она была создана для кражи конфиденциальной информации пользователей некоторых сайтов. Троян успешно воровал учетные данные и информацию о банковских картах. Все данные Carberp передавал своему создателю через специальный C&C-сервер, управляющий трояном. Работало все довольно просто. Единственной сложностью было непосредственное заражение системы жертвы, будучи при этом незаметным. И вот следующее поколение Carberp обзавелось плагинами. Один из них удалял антивирусное ПО из системы, а остальные убирали следы своей деятельности. Все стало еще интереснее, когда этот троян получил возможность шифровать передаваемые им данные. По мнению исследователей, Carberp стал первой программой-трояном, сгенерировавшей случайный код вместо до того применявшихся статических ключей.

С некоторых пор Carberp стал работать в команде с печально известным эксплойтом Blackhole, вместе с которым они создавали довольно серьезную эпидемию. Для создателей и самого трояна все было отлично. Им даже удалось разработать специальный модуль для Facebook, который пытался обманным путем выманить деньги у пользователей.

Немножко помешали в этом правоохранительные органы. В России было арестовано сразу 8 человек, ответственных за Carberp, однако сам троян до конца удалить из сетей не удалось. С тех пор и Carberp никуда не пропадал, и арестов больше не производилось. Некоторое время назад для того, чтобы использовать этот троян в своих целях, нужно было заплатить на хакерской бирже около $40 000. Однако вскоре исходный код был выложен в открытый доступ всем желающим.

Этот троян является вариацией на тему «короля троянов» Zeus, о котором позже. Известно, что вместе с другими троянами этот возник из исходного кода Zeus в 2011 году. Троян имеет много общего с романом «Цитадель», в честь которого и назван. Изначально это был просто исходный код, который пользователи могли изменить так, как считали нужным. Группа, разрабатывавшая Citadel, организовала целое сообщество, в рамках которого обсуждалось, какие новые возможности должны быть у вредоносных программ. Наиболее интересными предложениями было внедрение AES-шифрования для файлов конфигурации и соединения с управляющим сервером, а также такие функции, как отключение систем безопасности компьютера для того, чтобы можно было записывать видео действий пользователя. Организаторы Citadel-сообщества продолжили добавлять в троян новые особенности, которые делали его более адаптивным и производительным, после чего он превратился в рабочий инструмент для кражи данных.

Троян Citadel имел большой успех, пока Microsoft и другие крупные компании не проснулись и не начали масштабную чистку, удалив порядка 88% этой заразы из своих систем.

Шпионский глаз, вообще-то, был создан в качестве конкурента для Zeus. Однако царем горы ему стать не удалось, но шуму наделал он много. Частично работу этого трояна взял на себя ботнет Zeus, объединившись с оным в мегабанковскую бот-сеть. Правда, это сотрудничество продлилось недолго.

Злоумышленники нацеливали этого троянца для нападения на пользователей Verizon, где можно было бы безнаказанно красть конфиденциальную информацию покупателей. Попал троян в облако Amazon, что интересно. Затем появился и на Android-устройствах. Однако на этом славная пора закончилась серией арестов. Или, что тоже вероятно, его забросили, так как эффективность его была не такой высокой, чтобы уделять этому трояну много внимания. Трое прибалтов были арестованы за использование SpyEye летом 2012 года, когда они пытались развернуть сеть крупных краж банковской информации. В мае этого года был арестован и предполагаемый создатель, который скрывался в Таиланде, но был передан властям США, где его ожидали более 30 пунктов обвинения за киберпреступления и мошенничества.

С тех пор о SpyEye не слышно ничего серьезного.

А затем в мир спустился «Зевс». Метко названный в честь главного олимпийского бога, Zeus отличался беспрецедентными масштабом и эффективностью. С момента своего рождения из исходного кода в 2011 году этот троян, кажется, побывал во всех банковских операциях мира. Среди всех себе подобных троянов именно Zeus имеет такую славу, что удостоен отдельной странички в «Википедии». Кстати, на Threatpost имеется целых 22 длиннющие страницы со ссылками на материалы, в которых упоминается этот банковский троян. Полное описание злодеяний «Зевса» было бы похоже на роман Льва Толстого или Марселя Пруста, поэтому ограничимся лишь несколькими основными моментами.

Вообще троян Zeus ворвался в нашу спокойную жизнь в далеком 2007 году, когда была зафиксирована его деятельность в связи с кражами данных в департаменте транспорта США. С тех пор этот троян заразил десятки миллионов машин и был причастен к кражам многих сотен миллионов долларов. И все это было сделано до того, как создатель не сообщил, что выкладывает исходный код для свободного доступа. С тех пор довольно большое количество киберпреступников, использовавших «Зевса», село в тюрьму отбывать пложенные ворам сроки.

Именно Zeus был в числе первых вредоносов, который продавался по принципу лицензионного ПО до тех пор, пока исходный код не стал доступен всем. До тех пор «Зевс» был настоящим бичом для многих корпораций и банков. Список его жертв весьма приличный, и состоит он из многих крупных банков, известных компаний и государственных учреждений по всему миру.

Zeus также известен такой инновацией, как использование «младшего брата» по имени ZitMo, который позволял обходить популярные схемы двухфакторной авторизации с кодом безопасности в виде текстовых сообщений. Кстати, SpyEye и Carberp также имели своих мобильных подельников.

Среди банковских вредоносов Zeus имеет наиболее широкую известность, уступая только Stuxnet, хотя это еще вопрос.

Вся эта четверка банковских троянов имеет много общего: все они пытаются быть незаметными для антивирусов, перехватывают нажатия клавиш, историю и кэш браузера, прочесывают сохраненные файлы и делают все, чтобы проникнуть в ваш банковский аккаунт с целью несанкционированного перевода некоторой суммы денег. Даже владельцам смартфонов нет покоя, так как они устанавливают мобильные вредоносы, позволяющие красть сообщения с одноразовыми кодами для совершения безопасных платежей. Среди остальных троянцев банкеры имеют наибольший потенциал по нанесению финансового ущерба своим жертвам, поэтому современные средства защиты должны включать конкретные меры противодействия каждому действию такого трояна. «Лаборатория Касперского» имеет арсенал средств борьбы с этими банкерами, собранный в инструмент «Деньги», имеющийся во всех свежих версиях Kaspersky Internet Security. О том, как можно воспользоваться этой функцией, можно узнать из наших советов.

Клиентов крупных банков четырех стран атаковал новый Троян

Трояны нового поколения живут собственной жизнью, становясь все более сложными, специализированными и разрушительными. Недавно обнаруженный Prg Trojan успешно крадет миллионы долларов у тысяч корпоративных клиентов по всему миру.

«Этот код – в своем роде произведение мошеннического искусства. Я был очень удивлен, насколько он сложен, — признает Дон Джексон (Don Jackson), старший исследователь в сфере безопасности SecureWorks , обнаруживший оригинальный Троян в июне. – Его можно назвать настоящим прорывом, эволюцией атак типа man-in-the-middle. Этот код предпринимает все те же шаги, что и пользователь».

В отличие от других форм Prg Trojan, новый вариант вредоносного года специально разработан для совершения банковского мошенничества, поясняют эксперты в сфере защиты.

Хакеры не теряют времени, применяя новые вредоносные программы для атаки 20 ведущих банков в США, Великобритании, Испании и Италии. Исследователи выявили, что банковский вариант был разработан и использован российской группой хакеров Russian UpLevel и некоторыми ее участниками из Германии, которые осуществляют атаки из информационных центров в Москве, Россия, и Мумбае, Индия.

Новый Троян, укравший сотни тысяч фунтов у клиентов некоторых крупнейших банков в четырех странах, не распространен широко, зато очень опасен. По словам Джексона, хакеры «увели» более $200 000 со счетов, которые специалисты успели проверить.

Джексон также рассказал, что он обнаружил, по меньшей мере, четыре сервера, содержащих файлы конфигурации Prg и поддельные версии легальных банковских сайтов, а также буферы хранения данных, полученных с помощью Трояна.

Ловкость и техническое «ноу-хау» атакующих просто поразительны. «Если смотреть на это соединение [с Трояном] со стороны банка, то покажется, что счетом управляет реальный человек, — поясняет Джексон. – Как будто человек нажимает на кнопки на виртуальной клавиатуре и отправляет денежные переводы».

По словам Джексона, хакеры добыли громадный объем собранных ранее менее мощными версиями Prg данных о коммерческих банковских счетах, включая отдельные адреса оффшорных банков или индикаторы переводов.

Как считает Джексон, команда атаковала коммерческие счета, так как на них обычно больше средств и они включают возможность осуществления перечислений. Проникнув на счет, хакеры могут быстро выкачать с него все, переместив средства на подконтрольные счета.

Выбрав счета-жертвы, хакеры создают, как выразился Джексон, «очень убедительные» фишинговые письма и рассылают их владельцам счетов, которых они вычисляют, используя украденную ранее информацию. По его словам, «обычно у них есть номера счетов и имя и фамилия их владельцев», а также данные о том, защищен ли счет одноразовым паролем. «В электронной почте они сообщают, что пользователю необходимо скачать новый одноразовый пароль или программное обеспечение, но когда пользователь переходит по ссылке и попадает на фишинговый сайт, вместо программы или пароля скачивается Троян Prg».

С этого момента в игру вступает автоматизированный вор. Вредоносная программа оповещает хакера, когда владелец выходит в режим онлайн, чтобы связаться с банком, «подключается к сеансу», чтобы незаметно украсть имя пользователя и пароль, не вынуждая пользователя их вводить. Тогда, пользуясь своей способностью симулировать набор данных с клавиатуры, Троян предпринимает такие же шаги, что и человек, чтобы, например, перечислить деньги на другой счет. Опустошить счет подобным образом можно в считанные секунды.

«Это и есть самая хитрая часть Трояна, — отмечает Джексон. – Когда он скачивает JavaScript с головного сервера, это выглядит очень похоже не на бот, а на реального пользователя». В то время как менее сложные программы напрямую переходят к странице денежных переводов, не посещая страницы, на которые заходит реальный клиент перед переходом к перечислениям, Prg открывает все страницы банка в том порядке, в каком бы человек открывал бы их. Так как большинство анти-мошеннических программ отслеживают автоматизированное, не свойственное человеку поведение, Prg не вызовет сообщения об атаке.

«От этой программы пострадали менее 20 банков, — указывает Джексон, — но в их список входят некоторые крупнейшие банки США, Великобритании, Испании и Италии. Я считаю, что автоматизация кода настроена очень-очень грамотно».

Верной защитой от Трояна Prg, как утверждает Джексон, будет подозрительное отношение ко всем письмам, полученным из банка: «Даже если вы знаете отправителя, нужно убедиться в том, что отправитель отправил это письмо перед тем, как перейти по какой-либо ссылке».

Продажа банковского трояна нового поколения началась

Банкер Casbaneiro использовал YouTube для кражи криптовалюты

Специалисты компании ESET изучили новое семейство банковских троянов Casbaneiro. Малварь охотилась за криптовалютой бразильс…

Avast: 800 000 россиян стали жертвами банковского ботнета

Специалисты компании Avast раскрыли хакерскую атаку, жертвами которой стали более 800 000 пользователей в России. Обнаружить…

В Чувашии вынесли приговор участнику хак-группы TipTop

В Чувашии вынесен приговор в отношении участника хакерской группы TipTop, в течение нескольких лет атаковавшей клиентов круп…

Банковский троян Bolik маскируется под NordVPN

Злоумышленники используют копии сайтов популярных сервисов для распространения банкера Bolik. Один из таких ресурсов копируе…

Потрошим Carbanak. Как изнутри устроен известный банковский троян

Банковские трояны ежегодно наносят ущерб на миллионы долларов. Вирмейкеры стараются держать все, что связано с внутренней кухней банкеров, в глубочайшей тайне. Поэтому мы никак не могли упустить уникальное событие — попадание исходников банковского троя Carbanak в паблик — и принялись исследовать его устройство изнутри.

Android-банкер Cerberus использует шагомер, чтобы избежать обнаружения

Эксперты амстердамской компании ThreatFabric обнаружили нового вредоноса для Android, который избегает обнаружения весьма не…

Банкеры атаковали 430 000 пользователей в первом полугодии 2019 года

Около трети атакованных (30%) — корпоративные пользователи. Такое же соотношение было зафиксировано и в России.

Check Point: Emotet почти не проявлял активности в июне

Исследователи заметили, что банкер Emotet не работал почти весь июнь. Вероятно, его инфраструктура была отключена для обслуж…

Сайт Московской кольцевой железной дороги был заражен трояном Panda

Эксперты «Лаборатории Касперского» рассказали СМИ о компрометации официального сайта Московской кольцевой железной дороги. Р…

Новая версия банкера Dridex избегает внимания антивирусов

Исследователи изучили новую версию банковского трояна Dridex и обнаружили, что тот легко обманывает защитные решения.

Мобильный банкер Riltok адаптировали для европейского «рынка»

Специалисты «Лаборатории Касперского» рассказали о банковском трояне Riltok, изначально созданном для российского «рынка», н…

Карманные трояны. Как работают мобильные банкеры

Одним солнечным апрельским утром мой завтрак был прерван телефонным звонком приятеля — предпринимателя, занимавшегося грузовыми перевозками. С его банковского счета куда-то испарились два миллиона рублей, а служба поддержки банка развела руками: переводы были совершены с помощью мобильного приложения и подтверждены по SMS, так что выглядели вполне легальными.

Маркус Хатчинс признал себя виновным в создании малвари

Маркус Хатчинс aka MalwareTech, некогда остановивший эпидемию WannaCry, признал себя виновным по двум пунктам обвинения. Спе…

Официальный сайт видеоредактора VSDC скомпрометирован, ссылки подменили трояном

Сайт популярной программы для обработки видео и звука VSDC был скомпрометирован. Ссылки на скачивание ПО подменили банковски…

Мобильный троян Gustuff угрожает клиентам международных банков, криптосервисам и маркетплейсам

Специалисты Group-IB предупреждают об активности Android-трояна Gustuff. Среди его целей – клиенты международных банков, пол…

Преступники оплачивают онлайн-игры и услуги хостинга с помощью банкера Flexnet

Банковский троян Flexnet построен на исходниках известной малвари GM Bot и представляет угрозу для пользователей Android. Fl…

«Лаборатория Касперского»: количество мобильных угроз выросло вдвое

По данным исследователей, в 2018 году количество атак с использованием мобильной малвари достигло отметки 117 000 000.

Мошенники используют reCAPTCHA для маскировки банковской малвари

Эксперты Sucuri предупреждают: новая фишинговая кампания использует Google reCAPTCHA для маскировки и кражи пользовательских…

Россиянин, создатель банкера NeverQuest, признал себя виновным

Американские правоохранители сообщили, что россиянин Станислав Лисов признал свою вину в разработке и администрировании изве…

Зафиксирован всплеск активности банкеров Buhtrap и RTM

По данным «Лаборатории Касперского», банковские трояны Buhtrap и RTM активно атакуют пользователей, при этом около 90% попыт…

Банкер TrickBot научился похищать учетные данные RDP, VNC и PuTTY

Эксперты Trend Micro нашли новую версию трояна TrickBot, чей арсенал стал еще богаче.

Приложения воровали деньги и использовали сенсоры движения, чтобы избежать обнаружения

В Google Play нашли два приложения, зараженные банкером Anubis. Малварь скрывалась от обнаружения весьма оригинальным способ…

В Google Play нашли банкера, атаковавшего бразильских пользователей

В официальном каталоге приложений Google снова нашли малварь. На этот раз это банковский троян, ориентирован на пользователе…

Банкер Danabot научился рассылать спам

Модульный банкер Danabot теперь рассылает спам, используя его для дальнейшего распространения.

Мобильный троян Rotexy сочетает функциональность банкера и вымогателя

Специалисты «Лаборатории Касперского» рассказали о малвари Rotexy: помеси банкера и локера-вымогателя.

Банковский троян для Android развлекает своих жертв игрой

В Google Play обнаружен банковский троян, распространявшийся под видом официальных приложений нескольких европейских кредитн…

«Лаборатория Касперского»: количество банковской малвари выросло почти в полтора раза

По статистике «Лаборатории Касперского», пользователи стали чаще сталкиваться с вредоносным ПО, предназначенным для кражи де…

Малварь Trickbot научилась похищать пароли из приложений и браузеров

Trend Micro сообщает, что известный банкер Trickbot обзавелся новыми модулями и теперь ворует еще больше данных.

Вам пришло MMS! Вскрываем малварь Asacub, которая ворует деньги у пользователей Android

За последний месяц нашумевший вирус Asacub заразил более 200 тысяч пользователей Android. Он прилетел прямо ко мне в руки. Попробуем вместе заглянуть в его сердце и найти хозяина.

В Google Play опять нашли банковские трояны, из каталога удалено 29 приложений

С августа по октябрь 2018 года из каталога Google Play было удалено 29 приложений с банковскими троянами.

Еще один банкер атакует бразильских пользователей

Специалисты компании «Доктор Веб» рассказали о новом банковском трояне, который маскируется под Adobe Reader и ориентирован …

Активность малвари Roaming Mantis обнаружена на iOS-устройствах

Эксперты «Лаборатории Касперского» обнаружили новую вредоносную активность мобильного банкера Roaming Mantis. Первоначально …

Check Point: активность банковских троянов растет

По данным специалистов компании Check Point, в августе 2018 года банкер Ramnit поднялся до 6 места в рейтинге угроз, став са…

Банковский троян CamuBot прячется на виду с помощью социальной инженерии

Эксперты IBM X-Force обнаружили банкера CamuBot, который отличается от большинства подобных угроз. Дело в том, что его автор…

В Google Play обнаружены сразу несколько банковских троянов

Сразу несколько семейств банковских троянов обнаружили в каталоге приложений Google Play ИБ-специалисты из разных европейски…

Искусство распаковки. Потрошим защиту хитрого банкера GootKit

Распаковка исполняемых файлов — одна из задач, с которыми приходится сталкиваться при реверсе. И если наш объект — это малварь, то зачастую приходится сталкиваться с кастомными упаковщиками. В этой статье я покажу, как справиться с защитными механизмами банкера GootKit, который постоянно развивается, апгрейдится и к тому же использует разные методы сопротивления отладке.

Эксперты рассказали об эволюции мобильного банкера Asacub

Аналитики «Лаборатории Касперского» рассказали об эволюции банковского трояна для Android Asacub. Эта угроза существует с 20…

Обнаружена повторная атака на российские СМИ

Весной 2018 года исследователи уже предупреждали, что банковский троян Buhtrap распространяется с помощью watering-hole атак…

Специалисты Group-IB обнаружили сеть фальшивых бухгалтерских сайтов

Исследователи Group-IB обнаружили сеть бухгалтерских сайтов, заражавших посетителей банковскими троянами Buhtrap и RTM, наце…

Обнаружена новая версия банковского трояна Kronos

Аналитики компании Proofpoint рассказали об обнаружении переработанной версии банковского трояна Kronos, которая задействова…

Продажа банковского трояна нового поколения началась

В 2016 году количество вредоносных установочных программ на мобильных устройствах по всему миру выросло в три раза по сравнению с 2015 годом, до 8,5 млн, говорится в отчете компании «Лаборатории Касперского» (есть у РБК). Речь идет о содержащих вирусы программах, которые пользователь устанавливает на устройство как осознанно (например, приобретая сомнительное приложение в магазине), так и неосознанно (уже зараженное устройство само приобретает и устанавливает приложение).

При этом Россия оказалась лидером по количеству мобильных банковских троянов, то есть программ, предназначенных для кражи финансовой информации пользователей. С этим видом угроз столкнулись 4% мобильных пользователей. Следом идет Австралия с долей 2,26%. «Самый популярный мобильный банковский троян Svpeng распространялся в основном в России», — отмечается в сообщении компании. В прошлом году первенство в этом специализированном рейтинге занимала Южная Корея с долей в 13,8% от всех атакованных пользователей. Россия была третьей с 5,1%.

По данным Ericsson, в 2016 году в мире насчитывалось 7,5 млрд абонентов мобильной связи, из них 3,9 млрд абонентов были владельцами смартфонов, 250 млн — мобильных компьютеров, планшетов и роутеров. Всего у «Лаборатории Касперского» около 400 млн пользователей по всему миру, но сколько из них являются пользователями мобильных устройств, в компании не раскрывают.

По доле пользователей, атакованных мобильными вредоносными программами всех разновидностей, лидером оказался Бангладеш, где 50,09% владельцев смартфонов или планшетов столкнулись с вирусами и вредоносными программами. В тройке также Иран (46,87%) и Непал (43,21%). Затем идет Китай (в прошлом году занимал первую позицию; в тройке также были Нигерия и Сирия).

В «Лаборатории Касперского» такие результаты объяснили тем, что в указанных странах сильно распространены так называемые рекламные трояны, которые получают доступ к системным настройкам смартфона для показа рекламы. Эти программы могут также воровать финансовую информацию или устанавливать сторонние приложения без ведома пользователя.

Как пояснил РБК Виктор Чебышев, антивирусный эксперт компании, за последний год Бангладеш, Иран и Непал были наводнены дешевыми смартфонами из Китая, на которые еще на этапе заводской сборки были установлены трояны. «Они в свою очередь устанавливали другие вредоносные приложения, которые также могли показывать рекламу», — рассказал эксперт.

​Россия в общем рейтинге оказалась на 23-м месте с 20% атакованных пользователей (в 2015 году — 21%). При этом следует учитывать, что рейтинг формируется на основе данных, полученных «Лабораторией Касперского» от пользователей ее продуктов, и поэтому на его результаты влияет популярность антивирусных программ компании в той или иной стране.

«Тенденция такая, что все больше и больше атак проходят не в России. Хотя раньше Россия почти всегда была на первых местах», — говорит Чебышев. Он также отметил, что прежние высокие позиции России были связаны с бумом SMS-троянов, которые подписывали пользователей на платные сервисы. «Но операторы мобильной связи приняли меры для борьбы с этим видом мошенничества, ввели систему извещения о подписке и начислениях. Их поддержали власти законодательной инициативой. Злоумышленникам стало невыгодно и опасно работать по этой схеме в России, и они переключились на другие рынки, где нет строгих ограничений и они могут продолжать безбоязненно зарабатывать на подобном мошенничестве», — говорит представитель лаборатории.

В то же время Чебышев отметил, что отчасти это компенсировалось наплывом на российский рынок дешевых китайских устройств, которые часто поставляются уже зараженными.

При этом в 2016 году «Лаборатория Касперского» зафиксировала рост числа вирусов, маскирующихся под другие приложения в Google Play, в частности под гид для популярной мобильной игры Pokemon Go. Аналитики «Лаборатории Касперского» отметили, что эту программу из Google Play скачали более полумиллиона раз.

Риски хищения с их помощью утроились

Количество банковских троянов для мобильных телефонов, с помощью которых могут быть похищены средства граждан, выросло втрое, отмечают эксперты. При этом позаботиться о защите средств от вредоносов стоит самим клиентам, поскольку существенная часть мобильных приложений банков не имеет достаточной защиты от троянов. Взыскать же похищенное с их помощью с банка весьма проблематично.

Во втором квартале 2018 года число банковских троянов для мобильных устройств выросло в 3,2 раза по сравнению с первым кварталом, следует из исследования «Лаборатории Касперского». В результате на конец первого полугодия общее число выявленных вирусов этого типа составило 61 тыс. штук. Трояны используют фишинговые окна для кражи сведений о банковской карте и аутентификационных данных онлайн-банкинга. Кроме того, они воруют деньги посредством СМС-сервисов, в том числе сервисов мобильного банкинга. Наиболее уязвимы для троянов мобильные устройства с операционной системой Android, указывает руководитель лаборатории компьютерной криминалистики Group-IB Валерий Баулин. Ущерб от них в России за 2017 год вырос на 136% и перекрыл ущерб от троянов для персональных компьютеров на 30%.

Принцип действия выявленных троянов следующий: вредонос скачивается на телефон, затем подменяет собой легальное приложение и получает логин и пароль, дающий доступ к мобильному банку, рассказывает антивирусный эксперт «Лаборатории Касперского» Виктор Чебышев. «При этом вредонос необязательно подменяет банковское приложение,— отмечает он.— Мы выявляли случаи, когда подменялось приложение для вызова такси, AndroidPay, социальные сети».

Как вирус на Android помог хакерам похитить 50 млн руб.

По словам специалиста отдела исследований безопасности мобильных приложений Positive Technologies Николая Анисени, на сегодняшний день еще существуют неисправленные уязвимости, которые позволяют атаковать пользователей и не оставляют практически никаких шансов защититься разработчикам мобильных приложений. «Банки мотивируют клиентов пользоваться мобильными приложениями, порой не обладающими необходимой безопасностью,— отметила руководитель отдела анализа защищенности центра мониторинга и реагирования на кибератаки Solar JSOC компании «Ростелеком-Solar» Юлия Воронова.— В случае успешного взлома банковского приложения трояном ответственность формально лежит на пользователе, который не обеспечил должную защиту мобильного устройства».

При хищении средств клиента после заражения трояном взыскать похищенное с банка крайне сложно, указывают юристы. «В большинстве случаев в такой ситуации суды приходят к выводу, что виноват сам клиент»,— отмечает эксперт RTM Group Евгений Царев. «В то же время есть практика, когда даже после заражения компьютера или телефона клиента банка может быть доказана вина банка в проводке платежа, если системы дистанционного банковского обслуживания имели уязвимости. Однако для этого необходимо проведение в том числе и технической экспертизы»,— добавляет господин Царев.

В любом случае рассчитывать на быстрый возврат средств не стоит. Подобный суд с банком может занять более двух лет, и потому эксперты рекомендуют защищаться от вредоноса самостоятельно. Например, устанавливать на свои мобильные устройства антивирусные средства защиты, использовать последние версии операционных систем Android, iOS, вовремя обновлять приложения, устанавливать приложения только из официальных маркетов (Play Market / Appstore) и только от официальных разработчиков. «Нелишним будет провести ревизию приложений и выданных им разрешений: запрещайте «наложение поверх других окон» в случае с приложениями на Android, не устанавливайте на устройство сомнительные сертификаты и устанавливайте стойкие пароли на аккаунты, приложения и на само устройство»,— рекомендует Николай Анисеня.

При этом, по мнению экспертов, банкам стоит проявлять большую активность в борьбе уязвимостью мобильных приложений перед троянами. «Банкам давно пора менять парадигму защиты — от расследования по горячим следам на превентивные меры, в том числе на проактивное предотвращение банковского мошенничества на всех устройствах клиента,— уверен Валерий Баулин.— Чтобы выявить преступления еще на ранней стадии, необходимо детектировать подозрительные и нехарактерные для конкретного пользователя действия, анализировать как интернет-каналы, так и мобильные каналы взаимодействия пользователя с банком для пресечения попыток мошенничеств с онлайн-трансакциями».

Количество установочных пакетов мобильных банковских троянов (за период II кв. 2017 года — II кв. 2018 года)

Название Доля (%)*
Trojan-Banker.AndroidOS.Agent.dq 17,7
Trojan-Banker.AndroidOS.Svpeng.aj 13,2
Trojan-Banker.AndroidOS.Svpeng.q 8,6
Trojan-Banker.AndroidOS.Asacub.e 5,7
Trojan-Banker.AndroidOS.Agent.di 5,1
Trojan-Banker.AndroidOS.Asacub.bo 4,7
Trojan-Banker.AndroidOS.Faketoken.z 3,7
Trojan-Banker.AndroidOS.Asacub.bj 3,0
Trojan-Banker.AndroidOS.Hqwar.t 2,8
Trojan-Banker.AndroidOS.Asacub.ar 2,8

*От всех атакованных банковскими угрозами пользователей мобильного антивируса «Лаборатории Касперского».

​Доктор Зловред

Банковские трояны: как избежать ограбления

Банковские трояны становятся все более разнообразными и изощренными. Как они работают и как пользователям защитить себя от онлайн-ограбления?

Идеальное преступление

Банковские трояны помогают киберпреступникам совершать идеальные преступления — похищать средства со счетов ничего не подозревающих жертв, не оставляя практически никаких следов и с минимальным для себя риском. Поэтому неудивительно, что в период с июня по декабрь 2016 года банковские трояны лишь немного отставали от программ-вымогателей в списке самого распространенного вредоносного ПО. А в странах Азиатско-Тихоокеанского региона они далеко обогнали ransomware (от англ. ransom — «выкуп» и software — «программное обеспечение», вредоносное программное обеспечение, предназначенное для вымогательства. — Прим. Банки.ру) по числу атак. Итак, как работают банковские трояны и как пользователям защитить себя от онлайн-ограбления?

Вредоносные программы-вымогатели, блокирующие компьютер и шифрующие данные пользователя, становятся все опаснее и требуют от своих жертв все больших сумм. Банки.ру разбирался в разновидностях троянцев-вымогателей и в том, как от них защититься.

Кейлоггинг с мулами

Во-первых, эти зловреды представляют собой один из самых скрытных типов вредоносного ПО. После того как троян инфицирует устройство, он не будет проявлять никакой активности, пока пользователь не зайдет на сайт онлайн-банка. Дождавшись этого момента, троян активизируется и использует кейлоггинг (фиксацию действий пользователя — например, нажатий клавиш), чтобы похитить имя пользователя и пароль, а затем тайно отправляет эти данные преступникам, осуществляющим атаку. После этого хакеры могут войти в банковскую учетную запись пользователя и переводить деньги на свои счета — обычно через сложную последовательность трансакций с использованием аккаунтов-«мулов» (посредников, которые получают деньги за пособничество), чтобы замести следы.

Вор в браузере

Многие трояны умеют применять продвинутые тактики атак типа «человек-в-браузере». Например, веб-инъекции или механизмы перенаправления, которые маскируют действия троянов в реальном времени: они незаметно подменяют картинку, которую пользователь видит в браузере. Трансакции как будто бы происходят в обычном режиме, и жертва не замечает кражи. Другие тактики включают отображение подложных страниц с предупреждениями, которые просят пользователя ввести свои учетные данные, а также страниц выхода из учетной записи, когда на самом деле пользователь остается в системе. Цель этих тактик — как можно дольше скрывать действия трояна от пользователей, чтобы киберпреступники могли продолжать похищать средства с их счетов.

По данным отчета Check Point 2016 H2 Global Threat Intelligence Trends , самыми распространенными банковскими троянами в мире во втором полугодии 2016 года стали:

1. Zeus, атакующий устройства на платформе Windows и часто используемый для кражи банковской информации с помощью технологий типа «человек-в-браузере» — записи нажатий клавиш клавиатуры и фиксации данных, вводимых в формы.

2. Tinba, похищающий данные учетных записей пользователя с помощью веб-инъекций. Он активизируется, когда пользователь пытается зайти на сайт своего банка.

3. Ramnit, похищающий данные учетных записей клиентов банка, пароли FTP, файлы cookies для сессий и личные данные.

В действительности в течение всего 2016 года Zeus, Tinba и Ramnit оставались в топ-20 вредоносного ПО и часто оказывались в топ-10 по всему миру, согласно Check Point.

Согласно отчету Banking Trojans: from Stone Age to Space Era, помимо давно существующих Zeus, Tinba и Ramnit, набор банковских троянов продолжает пополняться новыми семействами. Так, в 2016 году появились Panda, который использовался во вредоносной атаке на бразильские банки накануне Олимпийских игр — 2016, а также Goznym и Trickbot. Последний получил распространение в основном в Австралии, Великобритании, Индии, Сингапуре и Малайзии.

Интересно, что изначально трояны для банков распространялись прежде всего в англоговорящих странах. Это упрощало хакерам работу с кодом и вектором атаки. Однако сейчас эксперты отмечают все больше и больше таргетированных хакерских кампаний в конкретных странах и на разных языках.

Мобильный банк: движущаяся мишень

Мы также наблюдаем эволюцию мобильных банковских троянов. Зловреды обычно выводят на экране мобильного устройства поддельные уведомления и экраны, когда пользователь пытается работать с приложением. Эти экраны выглядят так же, как страницы входа в банковские приложения. Через них злоумышленники могут похищать учетные данные или перехватывать СМС-сообщения из банка пользователя с кодами доступа, собирая данные, необходимые для одобрения мобильных трансакций.

Как защититься

Понятно, что, помимо использования специальных решений для защиты от вредоносного программного обеспечения, пользователям нужно быть бдительными в Сети. Это самое слабое место в вопросе сетевой безопасности, так как люди часто не воспринимают и не замечают даже явных признаков мошенничества в Интернете.

Вот несколько классических советов, которые сделают использования онлайн- и мобильного банка хоть немного безопаснее.

Будьте бдительны, открывая сообщения электронной почты, даже если они по виду пришли из доверенных источников, — не переходите по ссылкам, не открывайте вложения и не включайте макросы в файлах Microsoft Office.

Установите комплексное современное решение по безопасности. Высококачественные решения и программы по безопасности (антивирус, антибот, продвинутое предотвращение угроз) защитят вас от разнообразных типов вредоносного ПО и векторов атак.

Будьте внимательны к «странностям» поведения сайтов, через которые вы получаете доступ к банковским услугам. Обращайте внимание на адресную строку сайта: если название сайта выглядит не так, как обычно, не вводите через этот сайт свои личные данные. Выдать вредоносную страницу также могут дополнительные поля на страницах входа, которые вы не видели ранее (особенно если в них просят ввести персональные данные или информацию, которую банк спрашивать не должен), изменения дизайна страниц входа и мелкие недостатки и неточности отображения веб-сайта.

Устанавливайте мобильные приложения и особенно банковские приложения только из известных и доверенных источников, таких как Google Play и Apple Store. Это не дает полной гарантии от скачивания вредоносных приложений, но защитит вас от большинства угроз.

Создавайте резервные копии самых важных файлов. Держите копию ваших файлов на внешнем устройстве, не подключенном к вашему компьютеру, и в онлайн-хранилище в облаке. Самые распространенные банковские трояны сегодня вслед за фазой хищения информации осуществляют внедрение другого вредоносного программного обеспечения, включая программы-вымогатели, которые могут заблокировать ваши файлы и удерживать до тех пор, пока вы не заплатите выкуп.

Ссылка на основную публикацию