Sikkerhetsfirma advarer mot malware-stjalende bankdata sendt via SMS

Flere skadelige Android-apper som er utformet for å stjele mobiltransaksjonsautentiseringsnumre (mTANs) som bankene sender til kundene sine via SMS (Short Message Service) ble funnet på Google Play av forskere fra antivirusleverandøren Kaspersky Lab.

Appene ble opprettet av en gjeng som bruker en variant av malware for Carberp-banktjenester for å målrette kundene til flere russiske banker, Denis Maslennikov, en senior malware analytiker på Kaspersky, sa fredag ​​i et blogginnlegg.

Mange banker bruker mTANs som en sikkerhetsmekanisme for å hindre cyberkriminelle fra å overføre penger fra kompromitterte nettbanker ts. Når en transaksjon er startet fra en bankkonto, sender banken en unik kode kalt en mTAN via SMS til kontoinnehaverens telefonnummer. Kontoinnehaveren må skrive inn koden tilbake til nettbankwebsiden for at transaksjonen skal kunne godkjennes.

[Ytterligere lesning: Slik fjerner du skadelig programvare fra Windows-PCen]

For å beseire denne typen forsvar, opprettet cyberkriminelle ondsinnede mobilapper som automatisk skjuler SMS-meldinger mottatt fra tall som er tilknyttet de målrettede bankene, og laster opp meldingene på nytt til serverne. Ofre blir lurt til å laste ned og installere disse appene på sine telefoner via falske meldinger som vises når de besøker bankens nettside fra en infisert datamaskin.

SMS-stjeleapper har tidligere blitt brukt sammen med Zeus- og SpyEye-bankens trojanske programmer og er kjent som Zeus -In-the-Mobile (ZitMo) og SpyEye-in-the-Mobile (SpitMo) komponenter. Men dette er første gang en rogue mobil komponent designet spesielt for Carberp malware har blitt funnet, sa Maslennikov.

I motsetning til Zeus og SpyEye, er Carberp Trojan-programmet primært brukt til å målrette nettbankkunder fra Russland og andre russiske- Talende land som Ukraina, Hviterussland eller Kasakhstan.

Trojanere usurped av andre gjenger

Ifølge en rapport fra antivirusleverandør ESET i juli arresterte russiske myndigheter folket bak de tre største Carberp-operasjonene. Malware fortsetter imidlertid å bli brukt av andre gjenger og selges på det underjordiske markedet for priser mellom US $ 5000 og $ 40.000, avhengig av versjonen og dens funksjoner.

"Dette er første gang vi har sett mobil skadelig komponenter fra en Carberp gjeng, "Aleksandr Matrosov, senior malwareforsker hos antivirusleverandøren ESET, sa fredag ​​via e-post. "Mobilkomponenter brukes bare av en Carberp-gruppe, men vi kan ikke avsløre flere detaljer for tiden."

De nye Carberp-i-mobilene (CitMo) -appene som ble funnet på Google Play maskerte som mobilapplikasjoner fra Sberbank og Alfa-Bank, to av Russlands største banker, og VKontakte, den mest populære online sosiale nettverkstjenesten i Russland, sa Maslennikov. Kaspersky kontaktet Google onsdag og alle CitMo-varianter ble slettet fra markedet innen torsdag, sa han.

Men det faktum at cyberkriminelle klarte å laste opp disse appene til Google Play i første omgang, stiller spørsmål om effektiviteten til app-markedet anti-malware forsvar, for eksempel Bouncer anti-malware skanneren annonsert av Google tidligere i år.

"Det ser ut til at det ikke er så vanskelig å omgå Google Plays forsvar fordi skadelig programvare fortsatt vises der regelmessig," sa Maslennikov via e-post.

Bogdan Botezatu, senior e-trussanalytiker hos antivirusleverandøren Bitdefender, mener at det kan være vanskelig for Googles Bouncer å oppdage ZitMo, SpitMo eller CitMo-komponentene fordi de fungerer som en del av lovlige applikasjoner.

"Den mobile versjonen av trojanen er bare ansvarlig for kapring av mottatt SMS og videresending av innholdet til en annen mottaker, og denne oppførselen finnes også i legitime applikasjoner, for eksempel SMS mana gement apps eller til og med applikasjoner som tillater brukeren å fjernstyre sine enheter via SMS i tilfelle de blir stjålet eller tapt, "sa han via e-post. "SMS-avlytning er en funksjon som er godt dokumentert på forum, sammen med prøvekode. Hvis samme prøvekode brukes både i ondsinnede og legitime applikasjoner, ville det være enda vanskeligere å oppdage og blokkere."

Evnen til å bruke Google Play til å distribuere SMS-stjeleapper gir fordeler for cyberkriminelle, sa Botezatu. Først av alt, er noen brukerenheter konfigurert til bare å installere apper hentet fra Google Play. Brukerne er også generelt mindre mistenkelige for apper som lastes ned via Google Play, og betaler mindre oppmerksomhet til deres tillatelser fordi de forventer at programmene skal være hva deres beskrivelser hevder de er, sa han.