Seguridad firm warns ng malware na pagnanakaw ng data ng bangko na ipinadala sa pamamagitan ng SMS

Maraming mga malisyosong Android apps na dinisenyo upang nakawin ang mga mobile na mga numero ng authentication ng transaksyon (mTANs) na ipinadala ng mga bangko sa kanilang mga customer sa SMS (Short Message Service) ay natagpuan sa Google Play ng mga mananaliksik mula sa antivirus vendor Kaspersky Lab.

Ang mga app ay nilikha ng isang gang na gumagamit ng isang variant ng Carberp banking malware upang i-target ang mga customer ng ilang mga bangko ng Russian, Denis Maslennikov, isang senior malware analyst sa Kaspersky, sinabi Biyernes sa isang blog post

Maraming mga bangko ay gumagamit ng mTANs bilang isang mekanismo ng seguridad upang maiwasan ang mga cybercriminal mula sa paglipat ng pera mula sa nakompromiso online banking accoun ts. Kapag ang isang transaksyon ay pinasimulan mula sa isang online banking account, ang bank ay nagpapadala ng isang natatanging code na tinatawag na isang mTAN sa pamamagitan ng SMS sa numero ng telepono ng may-ari ng account. Ang may-ari ng account ay dapat na ipasok ang code na iyon pabalik sa online banking website upang ma-awtorisado ang transaksyon.

[Karagdagang pagbabasa: Paano tanggalin ang malware mula sa iyong Windows PC]

Upang matalo ang ganitong uri ng pagtatanggol, ang mga cybercriminal ay lumikha ng mga nakakahamak na mobile na apps na awtomatikong itinatago ang mga mensaheng SMS na natanggap mula sa mga numero na nauugnay sa mga naka-target na bangko at tahimik na mag-upload ng mga mensahe pabalik sa kanilang mga server. Ang mga biktima ay tricked sa pag-download at pag-install ng mga apps sa kanilang mga telepono sa pamamagitan ng mga salungat na mga mensahe na ipinapakita kapag pagbisita sa kanilang website ng bangko mula sa isang nahawaang computer.

Mga pagnanakaw ng SMS apps dati nang ginamit kasama ang Zeus at SpyEye banking Trojan program at kilala bilang Zeus -in-the-Mobile (ZitMo) at SpyEye-in-the-Mobile (SpitMo) na mga bahagi. Subalit, ito ang unang pagkakataon na ang isang rogue mobile na bahagi na partikular na idinisenyo para sa Carberp malware ay natagpuan, sinabi ni Maslennikov.

Hindi tulad ng Zeus at SpyEye, ang programa ng Carberp Trojan ay pangunahing ginagamit upang i-target ang mga online na customer ng pagbabangko mula sa Russia at iba pang mga Russian- nagsasalita ng mga bansa tulad ng Ukraine, Belarus, o Kazakhstan.

Mga Trojans na sinakop ng iba pang mga gang

Ayon sa isang ulat noong Hulyo mula sa antivirus vendor ESET, inaresto ng mga awtoridad ng Russia ang mga tao sa likod ng tatlong pinakamalaking operasyon ng Carberp. Gayunpaman, ang malware ay patuloy na gagamitin ng iba pang mga gang at ibinebenta sa merkado sa ilalim ng lupa para sa mga presyo sa pagitan ng US $ 5,000 at $ 40,000, depende sa bersyon at mga tampok nito.

"Ito ang unang pagkakataon na nakita natin ang mobile na nakakasama ang mga sangkap mula sa isang Carberp gang, "Aleksandr Matrosov, nangungunang researcher ng malware sa antivirus vendor ESET, sinabi Biyernes sa pamamagitan ng email. "Ang mga bahagi ng mobile ay ginagamit lamang ng isang grupo ng Carberp, ngunit hindi namin maaaring ibunyag ang higit pang mga detalye sa kasalukuyan."

Ang mga bagong apps ng Carberp-in-the-Mobile (CitMo) na natagpuan sa Google Play ay masqueraded bilang mga mobile application mula sa Sberbank at Alfa-Bank, dalawa sa pinakamalalaking bangko ng Russia, at VKontakte, ang pinaka-popular na serbisyo sa social networking sa Russia, sinabi ni Maslennikov. Nakipag-ugnayan ang Kaspersky sa Google noong Miyerkules at ang lahat ng mga variant ng CitMo ay tinanggal mula sa merkado ng Huwebes, sinabi niya.

Gayunpaman, ang katunayan na ang mga cybercriminal na nag-upload ng mga apps na ito sa Google Play sa unang lugar ay nagtataas ng mga tanong tungkol sa kahusayan ng app market's tulad ng Bouncer anti-malware scanner na inihayag ng Google mas maaga sa taong ito.

"Tila hindi mahirap na lampasan ang mga depensa ng Google Play dahil ang malware ay patuloy na lumitaw diyan nang regular," ayon kay Maslennikov sa pamamagitan ng email.

Bogdan Botezatu, isang senior e-threat analyst sa antivirus vendor na Bitdefender, ay naniniwala na maaaring mahirap para sa Google's Bouncer na tuklasin ang mga sangkap ng ZitMo, SpitMo o CitMo dahil ang mga ito ay gumagana na katulad ng ilang mga lehitimong application. Ang bersyon ng Trojan ay responsable lamang sa pag-hijack ng natanggap na SMS at pagpapasa ng mga nilalaman nito sa ibang recipient, at ang pag-uugali na ito ay matatagpuan din sa mga lehitimong application, tulad ng SMS mana gement apps o kahit na mga application na nagbibigay-daan sa gumagamit na malayuang kontrolin ang kanilang mga device sa pamamagitan ng SMS sa kaganapan na sila ay nakawin o nawala, "sinabi niya sa pamamagitan ng email. "Ang SMS interception ay isang tampok na mahusay na dokumentado sa mga forum, kasama ang sample code.Kung ang parehong sample code ay ginagamit sa parehong malisyosong at legit na mga application, magiging mas mahirap i-detect at harangan."

Ang kakayahang gamitin ang Google Play upang ipamahagi ang mga pagnanakaw ng apps ng SMS ay nag-aalok ng mga pakinabang sa mga cybercriminal, sinabi ni Botezatu. Una sa lahat, ang ilang mga device ng gumagamit ay naka-configure upang i-install lamang ang mga app na nakuha mula sa Google Play. Gayundin, ang mga gumagamit sa pangkalahatan ay mas kahina-hinala sa mga apps na na-download sa pamamagitan ng Google Play at hindi gaanong binibigyang pansin ang kanilang mga pahintulot dahil inasahan nila ang mga application na kung ano ang kanilang mga claim sa claim na ito, sinabi niya.