Служба безопасности предупреждает о краже банковских данных вредоносных программ, отправленных по SMS

] Несколько вредоносных приложений для Android, предназначенных для кражи мобильных идентификационных номеров транзакций (mTAN), отправленных банками их клиентам через SMS (Служба коротких сообщений) были найдены в Google Play исследователями из антивирусной компании «Лаборатория Касперского».

Приложения были созданы бандой, которая использует вариант вредоносного ПО Carberp для целевых клиентов нескольких российских банков, Дениса Масленникова, старший аналитик вредоносных программ в Касперском, заявил в пятницу в блоге.

Многие банки используют mTAN как механизм безопасности, чтобы не позволить киберпреступникам переводить деньги из скомпрометированных онлайн-банковских счетов ц. Когда транзакция начинается с онлайн-банковского счета, банк отправляет уникальный код, называемый mTAN через SMS, на номер телефона владельца учетной записи. Владелец учетной записи должен ввести этот код обратно на веб-сайт онлайн-банкинга, чтобы разрешить транзакцию.

[Подробнее: Как удалить вредоносное ПО с вашего ПК с Windows]

Чтобы победить этот тип защиты, киберпреступники создали вредоносные мобильные приложения, которые автоматически скрывают SMS-сообщения, полученные от номеров, связанных с целевыми банками, и молча загружают сообщения на свои серверы. Жертвы обманывают загрузку и установку этих приложений на своих телефонах через сообщения-изгои, отображаемые при посещении веб-сайта своего банка с зараженного компьютера.

Приложения для кражи SMS ранее использовались вместе с троянскими программами для банков Zeus и SpyEye и известны как Zeus Компоненты In-the-Mobile (ZitMo) и SpyEye-in-the-Mobile (SpitMo). Тем не менее, это первый раз, когда был обнаружен мошеннический мобильный компонент, разработанный специально для вредоносного ПО Carberp, сказал Масленников.

В отличие от Zeus и SpyEye, программа Carberp Trojan предназначена в первую очередь для привлечения клиентов онлайн-банкинга из России и других российских компаний, таких как Украина, Беларусь или Казахстан.

Трояны, узурпированные другими бандами

Согласно докладу в июле от антивируса ESET, российские власти арестовали людей за тремя крупнейшими операциями Carberp. Тем не менее, вредоносное ПО продолжает использоваться другими бандами и продается на подземном рынке по цене от 5 000 до 40 000 долларов США в зависимости от версии и ее возможностей.

«Мы впервые увидели мобильные вредоносные компоненты из банды Carberp », - заявил в пятницу по электронной почте старший научный сотрудник антивирусной компании ESET Александр Матросов. «Мобильные компоненты используются только одной группой Carberp, но в настоящее время мы не можем раскрывать более подробную информацию».

Новые приложения Carberp-in-the-Mobile (CitMo), найденные в Google Play, маскируются как мобильные приложения от Сбербанка и Альфа-Банк, два крупнейших банка России, и ВКонтакте, самая популярная онлайн-служба социальных сетей в России, сказал Масленников. Kaspersky обратился к Google в среду, и все варианты CitMo были удалены с рынка в четверг, сказал он.

Однако тот факт, что киберпреступники смогли загрузить эти приложения в Google Play, в первую очередь вызывает вопросы об эффективности рынка приложений на рынке защиты от вредоносных программ, таких как сканер защиты от вредоносных программ, объявленный Google в начале этого года.

«Похоже, что не обойти защиту Google Play, потому что вредоносное ПО продолжает появляться там регулярно», - сказал Масленников по электронной почте.

Богдан Ботезату (Bodan Botezatu), старший аналитик по электронной угрозе от производителя антивирусов Bitdefender, считает, что Google Bouncer может быть трудно обнаружить компоненты ZitMo, SpitMo или CitMo, поскольку они функционально похожи на некоторые законные приложения.

«Мобильный версия трояна несет ответственность только за захват полученных SMS и пересылку его содержимого другому получателю, и это поведение также встречается в законных приложениях, таких как SMS-мана приложений или даже приложений, которые позволяют пользователю дистанционно управлять своими устройствами с помощью SMS в случае их кражи или потери », - сказал он по электронной почте. «Перехват SMS - это функция, которая хорошо документирована на форумах, а также пример кода. Если тот же пример кода используется как в вредоносных, так и в законных приложениях, было бы еще сложнее обнаружить и заблокировать».

По словам Ботезату, способность использовать Google Play для распространения приложений для кражи SMS дает преимущества киберпреступникам. Прежде всего, некоторые пользовательские устройства настроены только для установки приложений, полученных в Google Play. Кроме того, пользователи, как правило, менее подозрительно относятся к приложениям, загружаемым через Google Play, и уделяют меньше внимания их разрешениям, потому что они ожидают, что приложения будут такими, о чем они заявляют, - сказал он.