Sikkerhedsfirma advarer om malware-stjæle bankdata sendt via SMS

Flere ondsindede Android-apps designet til at stjæle mobile transaktionsautentificeringsnumre (mTANs), som bankerne sendte til deres kunder via SMS (Short Message Service) blev fundet på Google Play af forskere fra antivirusleverandøren Kaspersky Lab.

Apperne blev oprettet af en bande, der bruger en variant af malware til Carberp banking til at målrette mod kunder fra flere russiske banker, Denis Maslennikov, en senior malwareanalytiker hos Kaspersky, sagde fredag ​​i et blogindlæg.

Mange banker anvender mTAN'er som en sikkerhedsmekanisme for at forhindre cyberkriminelle i at overføre penge fra kompromitteret online banking-konto ts. Når en transaktion er startet fra en online bankkonto, sender banken en unik kode kaldet en mTAN via SMS til kontoejeren telefonnummer. Kontoindehaveren skal indtaste denne kode tilbage på hjemmesiden for internetbanken for at transaktionen skal kunne godkendes.

[Yderligere læsning: Sådan fjernes malware fra din Windows-pc]

For at besejre denne type forsvar, oprettede cyberkriminelle ondsindede mobilapps, der automatisk skjuler SMS-beskeder modtaget fra numre, der er knyttet til de målrettede banker, og lyden uploader meddelelserne tilbage til deres servere. Ofre bliver narret til at downloade og installere disse apps på deres telefoner via rogue-meddelelser, der vises, når de besøger deres banks hjemmeside fra en inficeret computer.

SMS-stjæleapps er tidligere blevet brugt sammen med Zeus- og SpyEye-bankens trojanske programmer og er kendt som Zeus -in-the-Mobile (ZitMo) og SpyEye-in-the-Mobile (SpitMo) komponenterne. Dette er imidlertid første gang, at en mobilt mobilkomponent, der er designet specielt til Carberp-malware, er blevet fundet, sagde Maslennikov.

I modsætning til Zeus og SpyEye er Carberp Trojan-programmet primært brugt til at målrette onlinekunder fra Rusland og andre russiske- Talende lande som Ukraine, Hviderusland eller Kasakhstan.

Trojanske tropper, der blev usurped af andre bander

Ifølge en rapport i juli fra antivirusleverandøren ESET arresterede russiske myndigheder folkene bag de tre største Carberp-operationer. Malware bliver dog brugt af andre bander og sælges på det underjordiske marked for priser mellem US $ 5.000 og $ 40.000 afhængigt af versionen og dens funktioner.

"Dette er første gang vi har set mobil skadelig komponenter fra en Carberp-bande ", siger Alexander Alexandros, seniorforsker ved antivirusleverandør ESET, fredag ​​via e-mail. "Mobilkomponenter bruges kun af en Carberp-gruppe, men vi kan ikke afsløre flere detaljer i øjeblikket."

De nye Carberp-in-the-Mobile-programmer (CitMo), der findes på Google Play, er maskeret som mobilapplikationer fra Sberbank og Alfa-Bank, to af Ruslands største banker og VKontakte, den mest populære online sociale netværkstjeneste i Rusland, sagde Maslennikov. Kaspersky kontaktede Google onsdag og alle CitMo varianter blev slettet fra markedet i torsdag, sagde han.

Men det faktum, at cyberkriminelle formåede at uploade disse apps til Google Play i første omgang rejser spørgsmål om effektiviteten af ​​app-markedet anti-malware forsvar, såsom Bouncer anti-malware scanner annonceret af Google tidligere i år.

"Det ser ud til, at det ikke er så svært at omgå Google Play's forsvar, fordi malware fortsat vises der regelmæssigt," sagde Maslennikov via e-mail.

Bogdan Botezatu, en senior e-trusselanalytiker hos antivirusleverandøren Bitdefender, mener, at det kan være svært for Googles Bouncer at opdage ZitMo, SpitMo eller CitMo-komponenter, fordi de fungerer funktionelt som nogle legitime applikationer.

"Den mobile versionen af ​​trojan er kun ansvarlig for kapring af den modtagne sms og videresendelse af indholdet til en anden modtager, og denne adfærd findes også i legitime applikationer som SMS mana gement apps eller endda applikationer, der giver brugeren mulighed for fjernstyret at styre deres enheder via SMS i tilfælde af at de bliver stjålet eller tabt, "sagde han via e-mail. "SMS-aflytning er en funktion, der er veldokumenteret på fora sammen med prøvekode. Hvis den samme prøvekode bruges både i ondsindede og legitime applikationer, ville det være endnu sværere at opdage og blokere."

Evnen til at bruge Google Play til at distribuere SMS-stjæleapps tilbyder fordele for cyberkriminelle, sagde Botezatu. Først og fremmest er nogle brugerenheder konfigureret til kun at installere apps hentet fra Google Play. Brugerne er også generelt mindre mistænkelige for apps hentet via Google Play og betaler mindre opmærksomhed på deres tilladelser, fordi de forventer at applikationerne skal være, hvad deres beskrivelser hævder at de er, sagde han.