12/10/2015

Trojany bankowe – największe zagrożenie dla urządzeń mobilnych

Informacje Porady Technologie

Żyjemy w czasach boomu smartfonów. Od kilku lat stanowią one ponad 50% wszystkich urządzeń mobilnych, co sprawia, że dużym problemem dla konsumentów stały się cyberzagrożenia. O ile użytkownicy komputerów PC są przyzwyczajeni do używania przynajmniej podstawowej „higieny bezpieczeństwa”, większość użytkowników smartfonów wciąż traktuje swoje urządzenie jak zwykły telefon – tak samo jak żelazko czy pralkę.

android-banking-trojans-FB

Dzisiejszy smartfon to pełnoprawny komputer, który jest jednak znacznie wszechstronniejszy niż ten, którego używałeś 10 lat temu. Co więcej, stanowi dużo większe zagrożenie – podczas gdy dysk twardy Twojego komputera PC nie zawierał nic wartościowego (oprócz np. kilku dokumentów Twoich współpracowników czy zdjęć z ostatnich wakacji), na smartfonie prawdopodobnie trzymasz dane, które są wartościowe tak samo dla Ciebie, jak i dla cyberprzestępców.

Jeśli posiadasz smartfona, prawdopodobnie masz także konto w banku. Obecnie banki używają numeru telefonu do przeprowadzenia autoryzacji (wysyłają hasła jednorazowe w SMS-ach), co sprawia, że cyberprzestępcy chętnie penetrują ten kanał komunikacji, aby przelewać pieniądze z Twojego konta bankowego.

Wobec tego nie jest dziwne, że trojany bankowe są najbardziej dochodowym zagrożeniem mobilnym: stanowią ponad 95% mobilnych szkodliwych programów. Ponad 98% ataków na bankowość mobilną jest wycelowane w urządzenia z systemem Android, co także nie jest zaskoczeniem – jest to najbardziej popularna platforma mobilna na świecie (ponad 80% globalnego rynku smartfonów) i jako jedyna umożliwia instalowanie aplikacji spoza oficjalnych sklepów.

Trojany nie są tak niebezpieczne jak wirusy, ponieważ do ich przeniknięcia do systemu wymagana jest reakcja użytkownika. Jednak jest wiele skutecznych technik socjotechnicznych – program może na przykład udawać ważną aktualizację czy darmowy poziom w ulubionej grze mobilnej. Co więcej, wiele exploitów potrafi automatycznie aktywować szkodliwy program po tym, gdy użytkownik przypadkowo uruchomi szkodliwy plik.

Istnieją trzy główne sposoby wykorzystania trojanów bankowych:

  • Ukrywanie tekstu.Szkodliwy program ukrywa na telefonie SMS-y wysyłane przez banki, a następnie wysyła je do przestępców, którzy z kolei przesyłają pieniądze na swoje konta.
  • Przelewy na mniejsze kwoty.Szkodliwe programy przesyłają od czasu do czasu stosunkowo małe kwoty pieniędzy na oszukańcze konta z zainfekowanego konta użytkownika.
  • Podszywanie się.Malware naśladuje daną aplikację mobilną banku i po uzyskaniu danych logowania użytkownika do prawdziwej aplikacji wykonuje dwie wyżej opisane akcje.

Większość trojanów bankowych (ponad 50%) atakuje Rosję i kraje Wspólnoty Niepodległych Państw, a także Indie i Wietnam. Ostatnio coraz bardziej popularna jest nowa generacja uniwersalnego mobilnego szkodliwego oprogramowania, które potrafi pobierać zaktualizowane profile różnych zagranicznych banków ze Stanów Zjednoczonych, Niemiec i Wielkiej Brytanii.

Pierwszym trojanem atakującym bankowość mobilną był Zeus, znany także jako Zitmo (Zeus-in-the-mobile), który pojawił się w 2010 roku (jego poprzednik przeznaczony na komputery PC, który także nazywał się Zeus, został stworzony w 2006 roku). To szkodliwe oprogramowanie zainfekowało ponad 3,5 miliona urządzeń w samych Stanach Zjednoczonych i stworzyło największy botnet w historii.

Jest to klasyczny porywacz informacji, który zapisuje dane logowania wprowadzane przez użytkownika w interfejsie aplikacji bankowości mobilnej i wysyła je do przestępcy. Wówczas oszust może zalogować się do systemu przy użyciu przechwyconych danych uwierzytelniających i wykonać nieuczciwe transakcje (Zitmo potrafił nawet ominąć dwuetapowe uwierzytelnianie).

Co więcej, dzięki Zeusowi oszuści zdobyli ponad 74 000 haseł do serwerów FTP należących do różnych firm (włącznie z Bank of America), zmieniając kod tak, aby po każdej próbie płatności można było wydobyć dane karty kredytowej. Zeus był bardzo aktywny aż do 2013 roku, w którym zaczął być wypierany przez bardziej aktualne zagrożenie Xtreme RAT, chociaż kod jądra tego trojana wciąż jest modny wśród twórców szkodliwych programów.

W 2011 roku pojawił się SpyEye; jeden z najbardziej skutecznych trojanów bankowych w historii. Szacuje się, że jego twórca, Alexander Panin, sprzedał na czarnym rynku kod tego zagrożenia za ok. 1 000 – 8 500 dolarów. Według FBI, które zdeanonimowało twórcę SpyEye’a, 150 osób kupiło i zmodyfikowało tego trojana w celu kradzieży pieniędzy z różnych banków. Jeden z oszustów zdołał ukraść ponad 3,2 milionów dolarów w zaledwie sześć miesięcy.

W 2012 roku odkryto inny rodzaj trojana – Carberp. Udawał on aplikacje dla systemu Android znanych rosyjskich banków, Sberbank i Alfa Bank, atakując użytkowników w Rosji, Białorusi, Kazachstanie, Mołdawii i na Ukrainie. Co ciekawe, oszuści byli w stanie umieszczać fałszywe aplikacje w Google Play.

Składająca się z 28 członków grupa cyberprzestępców została aresztowana podczas połączonej operacji rosyjsko-ukraińskiej. Jednak kod źródłowy Carberp został opublikowany w 2013 roku, więc każdy mógł go użyć do stworzenia własnego szkodliwego programu. Chociaż oryginalny Carberp został stworzony z myślą o krajach dawnego Związku Radzieckiego, jego naśladowców zidentyfikowano na całym świecie, włącznie ze Stanami Zjednoczonymi, krajami należącymi do Europy i Ameryki Łacińskiej.

W 2013 roku wykryto Hesperbota. Ten szkodliwy program pochodzi z Turcji i rozprzestrzenił się na cały świat przez Portugalię i Czechy. Poza stwarzanie klasycznego zagrożenia trojan tworzy na smartfonie ukryty serwer VNC, który umożliwia atakującemu zdalne zarządzanie urządzeniem.

Możliwość zdalnego dostępu nie znika jednak po usunięciu trojana, umożliwiając atakującemu przechwycenie wszystkich wiadomości tak, jakby urządzenie znajdowało się w ich rękach. Tym samym konsekwentnie oferuje możliwość zainstalowania kolejnego złośliwego programu. Co więcej, Hesperbot działał nie tylko jako trojan bankowy, lecz także jako porywacz bitcoinów, a rozsyłany był za pośrednictwem kampanii phishingowych (podszywał się pod usługi pocztowe).

W 2014 roku ujawniony został kod źródłowy szkodnika o nazwie Android.iBanking. To kompleksowy zestaw do przechwytywania SMS-ów i zdalnego zarządzania urządzeniem, wycenione na aż 5 000 dolarów. Opublikowanie kodu spowodowało wzrost infekcji.

Zestaw zawiera szkodliwy kod, który zastępuje legalną aplikację bankowości (oryginalna aplikacja pozostaje w pełni funkcjonalna, chociaż jest zmodyfikowana w celu dostarczenia dodatkowych funkcji), a także program dla systemu Windows z wygodnym interfejsem umożliwiający kontrolowanie wszystkich zainfekowanych smartfonów znajdujących się na liście, która jest automatycznie aktualizowana o nowe ofiary.

Niesamowite jest to, że pomimo dostępności darmowej wersji platformy szkodliwego programu bardziej popularna jest wersja płatna. Użytkownicy wersji premium otrzymują regularne aktualizacje produktu i obsługę klienta. Pod koniec zeszłego roku odkryto kolejne dwa trojany w sklepie Google Play, które były przeznaczone na teren Brazylii i zostały stworzone bez jakichś specjalnych umiejętności programistycznych – opierały się jedynie na dostępnym uniwersalnym zestawie.

Jeśli chodzi o ataki bankowe, Brazylia jest krajem szczególnym. Wyjaśnię to na przykładzie popularnego systemu płatności mobilnej Boleto. Umożliwia on przesyłanie pieniędzy pomiędzy użytkownikami za pośrednictwem wirtualnych tokenów zawierających unikatowy identyfikator płatności, który jest przesyłany do kodu kreskowego na wyświetlaczu, a następnie skanowany przez telefon odbiorcy wyposażony w aparat.

Specjalne trojany atakują użytkowników aplikacji Boleto (np. Infostealer.Boleteiro), przechwytują z przeglądarki wygenerowane tokeny i natychmiast modyfikują je w locie w celu wysłania do hakerów.

Ponadto trojan ten monitoruje na stronach i w aplikacjach bankowych miejsce, w które wprowadza się numer ID do systemu Boleto (podczas uzupełniania konta w systemie) i potajemnie podmienia oryginalny identyfikator fałszywym.

W czerwcu 2015 roku odkryto w Rosji nowego trojana o nazwie Android.Bankbot.65.Origin. Udawał on łatę do oficjalnej aplikacji Sberbank Online i oferował „szerszy zakres funkcji bankowości mobilnej”, które miały być dostępne po instalacji „nowszej wersji”.

W rzeczywistości aplikacja pozostawała funkcjonalnym narzędziem do bankowości mobilnej, więc użytkownikom trudno było zorientować się, że coś jest nie tak. W konsekwencji w lipcu 100 000 użytkowników Sberbank zanotowało stratę ponad 2 miliardów rubli. Wszyscy byli użytkownikami aplikacji Sberbank Online.

Historia o trojanach bankowych jeszcze się nie skończyła. Powstają nowe aplikacje, więc atakujący używają coraz skuteczniejszych technik, aby zwabić użytkowników w pułapkę. Nadszedł czas, aby poprawnie chronić swojego smartfona.