חברת אבטחה מזהירה מפני תוכנות זדוניות שגונבות נתוני בנק שנשלחו באמצעות SMS

מספר אפליקציות Android זדוניות שנועדו לגנוב מספרי אימות של עסקאות לנייד (mTAN) שנשלחו על ידי לקוחות ללקוחות שלהם באמצעות SMS (שירות הודעות קצרות) נמצאו ב- Google Play על ידי חוקרים של ספק האנטי וירוס Kaspersky Lab.

היישומים נוצרו על ידי כנופיה שמשתמשת בגרסה של תוכנות זדוניות לבנקאות Carberp כדי למקד ללקוחות של כמה בנקים רוסים, דניס מאסלניקוב, רבים מהבנקים משתמשים ב- mTANs כמנגנון אבטחה כדי למנוע מפושעי אינטרנט להעביר כספים מתיקי בנקאות מקוונים בסיכון ts. כאשר מתבצעת עסקה מחשבון בנקאות מקוונת, הבנק שולח קוד ייחודי הנקרא mTAN באמצעות SMS למספר הטלפון של בעל החשבון. בעל החשבון צריך להזין את הקוד חזרה לאתר הבנקאות המקוונת כדי לקבל את העסקה.

[המשך קריאה: כיצד להסיר תוכנות זדוניות מהמחשב Windows שלך]

כדי להביס סוג זה של הגנה, cybercriminals יצר יישומים ניידים זדוניים באופן אוטומטי להסתיר הודעות SMS שהתקבלו ממספרים הקשורים לבנקים ממוקד ולהעלות בשקט את ההודעות בחזרה לשרתים שלהם. הקורבנות הם מרומה לתוך הורדת והתקנה של יישומים אלה בטלפונים שלהם באמצעות הודעות סוררים המוצגים בעת ביקור באתר הבנק של המחשב נגוע.

Apps גניבת SMS בעבר שימשו יחד עם זאוס ו SpyEye הבנקאות תוכניות טרויאני ידועים בשם זאוס -In-the-Mobile (ZitMo) ו- SpyEye-in-the-Mobile (SpitMo). עם זאת, זוהי הפעם הראשונה שמרכיב נייד נועז שתוכנן במיוחד עבור תוכנות זדוניות מסוג Carberp נמצא, אמר Maslennikov.

שלא כמו זאוס ו- SpyEye, תוכנית טרויאני Carberp משמשת בעיקר כדי למקד לקוחות בנקאות מקוונת מרוסיה ועוד רוסי, מדינות כמו דובאי, אוקראינה, בלארוס, או קזחסטן.

Trojans נקטפו על ידי כנופיות אחרות

על פי דיווח בחודש יולי של ספק אנטי וירוס ESET, הרשויות הרוסיות עצרו את האנשים מאחורי שלוש הגדולות קרבאר פעולות. עם זאת, תוכנות זדוניות ממשיך להיות בשימוש על ידי כנופיות אחרות והוא נמכר בשוק המחתרת עבור מחירים בין 5,000 $ ל 40,000 $, בהתאם לגרסה ותכונות שלה.

"זו הפעם הראשונה שראינו ניידים זדוניים מרכיבים של כנופיית קרברפ ", אומר אלכס מטרוסוב, חוקר תוכנות זדוניות בכירים בחברת האנטי-וירוס ESET. "רכיבים ניידים משמשים רק על ידי קבוצה אחת של Carberp, אך איננו יכולים לחשוף פרטים נוספים בהווה."

האפליקציות החדשות של Carberp-in-the-Mobile (CitMo) שנמצאות ב- Google Play מתחזות ליישומים ניידים מ- Sberbank ואת אלפא בנק, שניים הבנקים הגדולים של רוסיה, ו Vontontakte, השירות המקוון הפופולרי ביותר ברשת החברתית ברוסיה, Maslennikov אמר. קספרסקי יצר קשר עם גוגל ביום רביעי, וכל גרסאות ה- CitMo נמחקו מהשוק עד יום חמישי, הוא אומר. עם זאת, העובדה שהסייבר-פושעים הצליחו להעלות את היישומים האלה ל- Google Play מלכתחילה מעלה שאלות לגבי היעילות של שוק האפליקציות הגנות נגד תוכנות זדוניות, כגון סורק האנטי-תוכנות זדוניות שהכריזה גוגל בתחילת השנה.

"נראה כי לא קשה לעקוף את ההגנות של Google Play מפני שתוכנות זדוניות ממשיכות להופיע שם באופן קבוע", אמר מאסלניקוב בדוא"ל.

בוגדן Botezatu, אנליסט בכיר e-mail של ספק האנטי וירוס Bitdefender, סבור כי זה עלול להיות קשה לשומר של Google כדי לזהות ZitMo, SpitMo או סיטמו רכיבים כי הם דומים מבחינה תפקודית כמה יישומים לגיטימיים. הגרסה של הסוס הטרויאני אחראית רק לחטיפת ה- SMS שהתקבל והעברת התוכן שלו לנמען אחר, והתנהגות זו נמצאת גם ביישומים לגיטימיים, כגון מאנה של SMS אפליקציות Gement או אפילו יישומים המאפשרים למשתמש לשלוט מרחוק בהתקנים שלהם באמצעות SMS במקרה שהם נגנבים או אבודים ", הוא אמר בדוא"ל. "יירוט ה- SMS הוא תכונה המתועדת היטב בפורומים, יחד עם קוד לדוגמה, אם אותו קוד לדוגמה משמש גם ביישומים זדוניים ולגיטימיים, זה יהיה אפילו יותר קשה לזהות ולחסום".היכולת להשתמש ב- Google Play כדי להפיץ אפליקציות לגניבת SMS מציעה יתרונות לעבריינים מקוונים, אמר Botezatu. ראשית, חלק ממכשירי המשתמשים מוגדרים להתקין אפליקציות שהתקבלו מ- Google Play בלבד. כמו כן, משתמשים בדרך כלל פחות חשודים באפליקציות שהורדו באמצעות Google Play, והקדישו פחות תשומת לב להרשאות שלהם משום שהם מצפים שהיישומים יהיו מה שהתיאורים שלהם טוענים שהם.