Carberp-in-the-Mobile

Мы уже не раз и не два писали об атаках вида Man-in-the-Mobile, целью которых является кража кодов авторизации банковских операций, передаваемых в SMS-сообщениях. До недавнего времени было известно о мобильных версиях двух печально известных банковских троянцев ZeuS (ZeuS-in-the-Mobile, ZitMo) и SpyEye (SpyEye-in-the-Mobile, SpitMo), которые занимались непосредственно кражей SMS-сообщений с кодами от банка. Троянцы ZitMo и SpitMo работают в связке со своими десктопными ‘братьями’, так как без них они превращаются в обычных SMS-шпионов. Также стоит отметить, что за 2 с лишним года существования подобные атаки были зафиксированы только в некоторых европейских странах: Испания, Италия, Германия, Польша и другие.

Но с появлением мобильной версии троянца Carberp (мы детектируем его как Trojan-Spy.AndroidOS.Citmo, то есть Carberp-in-the-Mobile) подобные атаки стали реальностью и в России. Ни для кого не секрет, что сегодня онлайн-банкинг в России быстро набирает популярность среди пользователей банковских услуг. Банки, в свою очередь, активно развивают данный сервис, в частности внедряя различные способы авторизации операций (в том числе, и mTAN’ы).

Версия троянца Carberp для Windows работает по такому же, как и ZeuS, принципу. Если пользователь, используя зараженный Carberp’ом компьютер, пытается зайти на страничку своего онлайн-банка для авторизации, то зловред модифицирует ее таким образом, что логин и пароль будут отправлены на удаленный сервер злоумышленника вместо сервера банка.

Но помимо логина и пароля злоумышленникам по-прежнему необходимы коды подтверждения для осуществления любого перевода со счета жертвы. Именно поэтому одна из модификаций Carberp (Trojan-Spy.Win32.Carberp.ugu, детектируется нами с 11 декабря) модифицирует страницу онлайн-банкинга, предлагая пользователю скачать и установить программу, якобы необходимую для входа в систему. Причем пользователь может получить ссылку в SMS-сообщении, указав свой номер телефона, либо самостоятельно отсканировать QR-код и получить ссылку:

На скриншоте видно, что под угрозой находились пользователи одного из самых популярных банков в России. ‘Сбербанк’ 12 декабря вывесил уведомление об этой атаке на своем веб-сайте. Ссылка, зашифрованная в QR-коде, ведет на приложение SberSafe (Trojan-Spy.AndroidOS.Citmo), которое как минимум с 30 ноября находилось в магазине приложений Google Play.

Этот же разработчик (SAMSONOV SERGEY) загрузил в Google Play еще два приложения: AlfaSafe и VkSafe. Заранее скажем, что эти приложения обладают точно таким же функционалом, что и SberSafe, а именно кражей определенных SMS-сообщений. Мы написали в Google 12 декабря по повод у наличия троянцев в официальном магазине приложений; 13 декабря зловреды были удалены.

Приложения SberSafe было загружено пользователями как минимум 100 раз, AlfaSafe — 1 раз, а VkSafe — 50 раз.

Троянец CitMo работает фактически по тому же самому принципу, что и ZitMo. Он способен скрывать определенные входящие SMS-сообщения и пересылать их. Различные версии ZitMo пересылали SMS’ки как на определенные телефонные номера, так и на удаленные серверы. Известные нам модификации CitMo, а также Windows-модуль Carberp (Trojan-Spy.Win32.Carberp.ugu), работают лишь с одним и тем же удаленным сервером bersta***.com.

Потенциальная жертва, запустив вредоносное приложение, увидит на экране предложение ввести телефонный номер. Если пользователь введет номер, то он будет записан в файл auth.txt и отправлен на указанный выше удаленный сервер. Через некоторое время пользователю придет SMS-сообщение с пятизначным кодом, который необходимо указать в программе. Этот код будет записан в файл authcode.txt и использован вместе с телефонным номером в качестве идентификатора отправляемых на сервер данных.

После этого CitMo загружает с этого же сервера данные, записываемые в файлы hide.txt и view.txt. В первый файл записывается информация о номерах, входящие сообщения с которых будут скрываться и впоследствии пересылаться на удаленный сервер, а во второй файл попадают данные о номерах, входящие сообщения с которых будут отображаться. Эти действия вредоносная программа осуществляет для того, чтобы во время попыток перевода средств со счета скомпрометированного аккаунта у пользователя не возникло подозрений из-за входящих сообщений от системы онлайн-банкинга.

Затем программа ожидает входящих сообщений, проверяя отправителя и в случае совпадения с записью из файла hide.txt, это сообщение скрывается и записывается в messages.txt, который, в свою очередь, отправляется на удаленный сервер.

Также стоить отметить, что, несмотря на все прилагаемые компанией Google усилия, их магазин приложений Google Play по-прежнему страдает от регулярно появляющихся там вредоносных программ. А данная атака не является первой Man-in-the-Mobile атакой, в ходе которой вредоносный мобильный компонент появляется в Google Play.

Ничего удивительного в том, что атаки, подобные ZitMo и SpitMo, добрались до России, нет. Ведь чем активнее развиваются подобные сервисы, тем активнее действуют злоумышленники. И маловероятно, что они остановятся в ближайшем будущем. Наоборот, подобные зловреды теперь будут развиваться и досаждать пользователям не только в Европе, но и в России.