Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Carberp-in-the-Mobile

Denis Maslennikow
Kaspersky Lab Expert
Dodany 18 grudnia 2012, 08:44 CET
Tagi:

Kilkakrotnie pisaliśmy już o atakach Man-in-the-Mobile, których celem jest kradzież kodów mTAN wysyłanych w wiadomościach SMS. Przez długi czas znane były tylko dwie rodziny tego rodzaju szkodliwego oprogramowania: ZeuS-in-the-Mobile (ZitMo) oraz SpyEye-in-the-Mobile (SpitMo). ZitMo i SpitMo współpracują ze swoimi „braćmi” windowsowymi i bez nich szkodniki te byłyby zwykłymi trojanami szpiegującymi SMS. Trzeba tu dodać, że przez ostatnie dwa lata tego rodzaju ataki były obserwowane jedynie w niektórych państwach europejskich, takich jak Hiszpania, Włochy, Niemcy, Polska i kilka innych.

Jednak wraz z pojawieniem się mobilnej wersji trojana Carberp (wykrywamy go jako Spy.AndroidOS.Citmo, Carberp-in-the-Mobile) ataki te stały się rzeczywistością również w Rosji. Nie jest tajemnicą, że bankowość online staje się coraz popularniejsza w Rosji; a banki bardzo aktywnie promują bankowość online wykorzystującą różne metody autoryzacji.

Carberp dla Windowsa działa w podobny sposób co trojan ZeuS. Gdy użytkownik spróbuje zalogować się do swojego konta bankowości online z maszyny zainfekowanej Carberpem, szkodnik zmodyfikuje transakcję w taki sposób, że dane uwierzytelniające użytkownika zamiast do serwera banku zostaną wysłane do szkodliwego serwera.

Oprócz loginu i hasła cyberprzestępcy potrzebują jeszcze kodów mTAN w celu potwierdzenia jakiejkolwiek operacji przelewu pieniędzy ze skradzionego konta. Z tego powodu jedna z modyfikacji Carberpa (nadaliśmy jej nazwę Trojan-Spy.Win32.Carberp.ugu, a sygnaturę umożliwiającą jej wykrywanie dodaliśmy 11 grudnia) zmienia w locie stronę internetową bankowości online, namawiając użytkownika do pobrania i zainstalowania aplikacji, która jest rzekomo niezbędna do zalogowania się do systemu. Użytkownik może uzyskać ten odsyłacz za pośrednictwem wiadomości SMS poprzez wprowadzenie swojego numeru telefonu lub zeskanowanie kodu QR:

Jak wskazuje powyższy zrzut ekranu, celem ataków są użytkownicy jednego z najpopularniejszych rosyjskich banków, Sberbank. 12 grudnia „Sberbank” uaktualnił swoją stronę internetową o informacje dotyczące ataku. Odsyłacz w kodzie QR prowadził do fałszywej aplikacji „SberSafe” (Trojan-Spy.AndroidOS.Citmo), która znajdowała się w sklepie Google Play od 30 listopada.

Ten sam twórca ('SAMSONOV SERGEY') umieścił w Google Play dwie kolejne aplikacje: „AlfaSafe” (prawdopodobnie dla użytkowników AlfaBank) oraz „VkSafe” (dla Vkontakte). Aplikacje te posiadają dokładnie taką samą funkcjonalność jak „SberSafe” (kradzież wiadomości SMS związanych z bankowością online).

Aplikacja „SberSafe” została pobrana co najmniej 100 razy, „AlfaSafe” – co najmniej raz, natomiast VkSafe – 50 razy.

Trojan CitMo dla Androida działa w niemal taki sam sposób jak ZitMo. Potrafi ukrywać określone wiadomości SMS i wysyłać je do serwera kontroli osoby atakującej. Niektóre wersje ZitMo wysyłają wiadomości SMS nie tylko do różnych serwerów WWW, ale również na określone numery telefonów komórkowych. Znane wersje CitMo oraz moduł windowsowy Carberpa (Trojan-Spy.Win32.Carberp.ugu) współpracują tylko ze zdalnym serwerem „bersta***.com”.

Jeżeli potencjalna ofiara uruchomi szkodliwą aplikację, zostanie wyświetlone okno zachęcające do wprowadzenia numeru telefonu komórkowego. Jeżeli to zrobi, numer ten zostanie zapisany do pliku „auth.txt” i wysłany do zdalnego serwera. Po pewnym czasie użytkownik otrzyma wiadomość SMS zawierającą pięciocyfrowy kod, który należy wpisać w oknie aplikacji. Kod ten zostanie zapisany do pliku „authcode.txt” i wykorzystany wraz z numerem telefonu komórkowego jako identyfikator danych wysłanych do zdalnego serwera.

Następnie CitMo pobiera z serwera dane konfiguracyjne, które są zapisane w plikach „hide.txt” i „view.txt”. Plik „hide.txt” będzie zawierał informacje o numerach, które muszą zostać ukryte, w przypadku gdy zostanie wysłana z nich wiadomość SMS. Plik „view.txt” będzie zawierał informacje o numerach, które muszą być wyświetlone na ekranie, jeżeli zostanie wysłana z nich wiadomość SMS. Celem tych działań jest ukrycie całej aktywności związanej z przelewaniem pieniędzy skradzionych z konta użytkownika.

Następnie szkodnik czeka na przychodzące wiadomości SMS, sprawdza numer nadawcy i jeżeli pokrywa się on z numerem w pliku „hide.txt”, ukrywa wiadomość i zapisuje ją do pliku „messages.txt”, który jest wysyłany do zdalnego serwera.

Należy wspomnieć, że chociaż Google podejmuje wiele działań, aby wyeliminować występowanie szkodliwego oprogramowania w Google Play, do jego oficjalnego sklepu z aplikacjami nadal przenikają różne rodzaje szkodliwego oprogramowania. Atak ten nie jest pierwszym atakiem Man-in-the-Mobile, w którym mobilny komponent został wykryty w Google Play. Skontaktowaliśmy się z firmą Google 12 grudnia, a 13 grudnia ze sklepu zostały usunięte wszystkie warianty CitMo.

Nikogo nie powinno dziwić, że ataki typu ZitMo i SpitMo pojawiły się teraz również w Rosji. Powstaje coraz więcej serwisów finansowych i – co więcej - serwisy te ewoluują, a wraz z tym cyberprzestępcy stają się bardziej aktywni. Twórcy wirusów nie spoczną na laurach w najbliższej przyszłości. Tego rodzaju szkodliwe oprogramowanie będzie rozwijało się, nadal stanowiąc problem dla użytkowników, nie tylko z Europy, ale również z Rosji i być może innych krajów.