Приложение iBanking атакует пользователей при помощи web-инъекций

Приложение iBanking атакует пользователей при помощи web-инъекций

Мобильное приложение iBanking, разработанное для устройств на базе Android, позиционируется его разработчиками как решение безопасности, однако на деле оно использует инъекции HTML с целью хищения финансовой информации пользователей. Об этом сообщают исследователи ESET.

Как следует из отчета экспертов, исходный код приложения был недавно опубликован в открытом доступе пользователями подпольных форумов, что дало возможность большому количеству злоумышленников распространять уже готовый вирус, замаскированный под легитимную программу.

Также сообщается, что изначально появившаяся iBanking после установки позволяет атакующим прослушивать разговоры жертвы, осуществлять подмену SMS, перенаправлять вызовы на произвольный номер, включать микрофон (и делать запись), а также похищать различную конфиденциальную информацию, в том числе из журнала вызовов и списка контактов.

Вместе с тем, основной задачей вредоносного приложения является осуществление web-инъекций при посещении жертвой банковских ресурсов. При использовании сервисов мобильного банкинга инфицированное устройство передает злоумышленникам информацию, необходимую для кражи средств.

Подражатель Cryptolocker использует слабую криптографию

Подражатель Cryptolocker использует слабую криптографию

У криптографического трояна-вымогателя Cryptolocker, как у маньяка-убийцы, появляются свои подражатели, которые выдают себя за оригинал. Они пытаются копировать «почерк мастера», используя его фирменные приемы. При этом не гнушаются работать в новых регионах, в том числе в России, которые обходил стороной оригинальный Cryptolocker.

Для пользователей это означает, что в случае шифрования файлов с требованием выкупа появляется шанс спасти информацию бесплатно. Дело в том, что подражатель использует слабые криптографические стандарты, объяснил Андрей Комаров, исполнительный директор стартапа IntelCrawler.

Распространение нового трояна началось в декабре 2013 года. С тех пор обнаружено более 50 различных билдов, купленных на подпольных форумах. Основная часть заражений приходится на Россию.

После заражения компьютера троян копирует документы пользователя, зашифровывает копии с добавлением расширения .perfect и удаляет оригиналы. В каждой папке с документами размещается файл contact.txt с адресом электронной почты хозяина трояна, у которого есть ключ для расшифровки файлов.

Жертвам предлагают перевести до $150 на счет Perfect Money или QIWI VISA Virtual Card. Они должны сообщить имя хоста и уникальный идентификатор компьютера, который указан в том же файле contact.txt.

По мнению специалистов, троян разработали любители. Его невозможно сравнить с профессиональной разработкой авторов Cryptolocker. Те задействовали сеть C&C-серверов и используют для зашифровки файлов нерушимую комбинацию AES 256 бит и RSA 2048 бит.

Подражателю хватило ума только на библиотеку TurboPower LockBox, это криптографическая библиотека для Delphi. В частности, они использовали уязвимый шифр AES-CTR. Андрей Комаров говорит, что сейчас пишет универсальную программу для расшифровки файлов, она будет работать на любом компьютере. До ее выхода рекомендуется переименовать зашифрованные файлы и сменить имя хоста у компьютера.

Trojan.Zadved.1 демонстрирует навязчивую рекламу

Trojan.Zadved.1 демонстрирует навязчивую рекламу

Александр Панасенко

Компания «Доктор Веб» сообщает о распространении вредоносной программы Trojan.Zadved.1, представляющей собой плагин к браузерам, который якобы должен защищать пользователя от вредоносных и потенциально опасных сайтов. На самом деле это приложение выполняет прямо противоположную функцию: троянец предназначен для подмены поисковой выдачи, перенаправления пользователя на сайты рекламодателей по щелчку мыши в окне браузера и демонстрации назойливой рекламы.

Первые образцы вредоносной программы Trojan.Zadved.1 были добавлены в вирусные базы «Доктор Веб» еще в начале ноября. Этот троянец распространяется в виде надстройки к браузерам под названием SafeWeb. Согласно сообщениям ее разработчиков данная надстройка предназначена для «обеспечения безопасности пользователя в Интернете». После загрузки и запуска приложения на экране появляется окно инсталлятора, устанавливающего расширение на компьютер потенциальной жертвы. Наиболее актуальная версия инсталлятора Trojan.Zadved.1недавно появилась в раздаче вредоносной партнерской программы installmonster.ru (организованной создателями другой партнерской программы — zipmonster.ru, в рамках которой распространяются троянцы семейства Trojan.SmsSend). Следует отметить, что троянские приложения появляются в раздаче installmonster с завидной регулярностью.

Новые угрозы для Android превращают гаджеты в инфицированных ботов

Новые угрозы для Android превращают гаджеты в инфицированных ботов

Обнаружены новые угрозы, превращающие Android-смартфоны в следящие устройства с множеством ошибок. Так, по данным исследователей из компании Bitdefender, одна из угроз исходит от ПО под названием Widdit, которое используют разработчики более 1000 приложений. Widdit включает в себя загрузчик, который в момент установки требует огромное количество ненужных ему привилегий.

«Эти привилегии необязательно используются в наборе ПО разработчика (software development kit, SDK), однако эти запросы гарантируют, что в дальнейшем любой компонент, введенный в SDK, будет работать из коробки, — отметил эксперт компании Bitdefender Влад Бордиану в блоге. – Среди таких привилегий мы обнаружили разрешение на отключение экрана блокировки, запись аудио, а также доступ к истории браузера и закладкам».

Приложения, использующие Widdit, также могут исполнять специальный код при перезагрузке устройства, получать текстовые сообщения или совершать звонки в момент установки или удаления приложения. Помимо этого, Widdit использует незашифрованный HTTP-канал для загрузки обновлений, что, по мнению специалистов, позволяет злоумышленникам заменять легитимные обновления вредоносными файлами, а также осуществлять атаки человек-посередине.

72% жертв финансовых атак в России не смогли вернуть похищенные средства

72% жертв финансовых атак в России не смогли вернуть похищенные средства

Александр Панасенко

Около 72% пользователей в России, потерявших деньги в результате деятельности кибермошенников, не смогли вернуть украденные средства. Таковы результаты исследования, проведенного «Лабораторией Касперского» совместно с аналитической компанией B2B International летом 2013 года*. По миру аналогичный показатель составил всего 27%.

В России чаще всего безвозвратно утерянными оказывались суммы, похищенные в результате SMS-мошенничества и «неудачных» покупок в Сети, например, когда пользователь оплатил товар на сайте интернет-аукциона, но не получил его – об этом сообщили 30% жертв. В 13% случаев деньги пользователей были украдены во время работы с платежными системами; еще 13% жертв – это клиенты онлайн-магазинов, а 7% пострадавших попрощались со своими средствами во время использования систем интернет-банкинга.

Даже если мошенникам удалось похитить деньги клиента платежной системы или покупателя интернет-магазина, вероятность их возврата остаётся. Однако, как показывают результаты исследования, процент таких случаев совсем небольшой. Только 17% жертв онлайн-мошенников смогли возместить похищенные деньги в полном объеме и еще 11% – лишь часть потерянной суммы. При этом российские банки реже возвращают своим клиентам деньги, украденные злоумышленниками (лишь в 4% случаев), чем, например, платежные системы или онлайн-магазины (7% случаев).

Доля «невозвратов» в мире намного ниже, чем в России. Пользователям за рубежом в 60% случаев удалось полностью вернуть свои средства, а в 13% – частично. Стоит отметить, что зарубежные банки полностью возместили похищенные деньги 15% клиентов, в России же только 3% получили такую компенсацию. При этом большое число российских пользователей уверены, что они находятся под защитой владельцев сервисов, через которые они осуществляют свои денежные транзакции. Так, четверть респондентов в России считают, что банк обязан возмещать потерянные в результате онлайн-транзакций деньги, а 47% убеждены, что  бесплатное банковское ПО должно обеспечить безопасность операций.

«Финансовые операции в Интернете, с какого бы устройства они не совершались, всегда связаны с большим риском. Мы рекомендуем использовать продукты класса Internet Security, так как они позволяют существенно повысить защищенность онлайн-транзакций. Кроме того, учитывая особенности финансовых мошенничеств в Сети, «Лаборатория Касперского» разработала уникальную технологию «Безопасные платежи», обеспечивающую целенаправленную защиту от подобных атак», – говорит Сергей Голованов, ведущий антивирусный эксперт «Лаборатории Касперского».

«Безопасные платежи» – это набор высококлассных защитных механизмов, автоматически активируемых всякий раз, когда пользователь взаимодействует с онлайн-банкингом, платежной системой или интернет-магазином. Встроенная многоуровневая система проверки легитимности сайта, на который пытается зайти пользователь, обеспечивает защиту от фишинговых атак; особый безопасный режим браузера защищает от вредоносного кода, встроенного в веб-страницы; механизм проверки приложений на компьютере на предмет наличия уязвимостей защищает от эксплойтов. Дополнительно для Mac и Windows технологии «Безопасных платежей» обеспечивают защиту всех данных, введённых на сайтах финансовых систем для осуществления доступа к ним и подтверждения операций.

Мобильные троянцы нашли новый путь к банковским счетам пользователей

Мобильные троянцы нашли новый путь к банковским счетам пользователей

Александр Панасенко

Мобильный троянец Svpeng, обнаруженный специалистами «Лаборатории Касперского» летом этого года и обладающий способностью красть деньги у пользователей смартфонов Android непосредственно с банковских счетов, стал еще хитрее – теперь он способен выманивать у пользователей их учетные данные от систем онлайн-банкинга при помощи фишинга.

Новый функционал этого троянца проявляется в том, что зловред подменяет открытое окно легального банковского приложения на фишинговое. Соответственно, все данные учетной записи системы интернет-банкинга, которые пользователь вводит в этом поддельном окне, отправляются прямиком к злоумышленникам.

Подобным же образом троянец Svpeng пытается украсть и данные банковской карты жертвы: при запуске приложения Google Play пользователь видит на экране смартфона окно, в котором ему предлагается ввести номер и секретный код своей платежной карты. Этот фишинговый прием также позволяет мошенникам получить легкий доступ к финансовым данным доверчивых или невнимательных пользователей.

Фишинговый функционал троянца Svpeng в действии

 

За три месяца существования троянца Svpeng «Лаборатория Касперского» обнаружила 50 модификаций этой вредоносной программы, а защитный продукт Kaspersky Internet Security для Android за это же время заблокировал более 900 установок троянца.

Примечательно, что в случае попадания на смартфон этот зловред предпринимает меры для самозащиты, усложняющие его обнаружение и удаление из системы. В частности, Svpeng использует ранее неизвестную уязвимость в платформе Android, благодаря которой может предотвращать сброс настроек телефона до заводских и препятствовать своему удалению. Единственным «противоядием» в этой ситуации является антивирус – Kaspersky Internet Security для Android способен удалить эту вредоносную программу из смартфона несмотря на все ее ухищрения.

«Мобильный троянец Svpeng распространяется с помощью SMS-спама, в котором злоумышленники нередко используют приемы социальной инженерии: имена известных сервисов, интригующие предложения, прикрытие знакомыми именами. Все это не должно вводить пользователя в заблуждение. Переход по ссылке в SMS является одним из наиболее распространенных способов заражения вредоносными программами, а потому делать этого никогда не стоит», – советует Роман Унучек, антивирусный эксперт «Лаборатории Касперского».

СОИБ: Первый зловред для Firefox OS

Первый зловред для Firefox OS

17-летний хакер Шантану Гауде (Shantanu Gawde) написал первую в мире вредоносную программу для Firefox OS.

Демонстрацию программы вундеркинд проведет на конференции The Ground Zero (G0S) 2013, которая состоится 7-10 ноября в Нью-Дели (Индия). Согласно анонсу, созданный PoC-код способен инфицировать смартфон ZTE One в удаленном режиме и получить доступ к нему с любого ботнета для следующих действий:

Команды на доступ к SD-карте
Копирование всех контактов
Загрузка и выгрузка фотографий, музыки и видео
Геолокация и отслеживание координат пользователя
Удаленное управление FM-радио с возможностью испугать человека

По словам Гауде, все это может привести к серьезным проблемам для пользователей Firefox OS, потому что не существует способа засечь подобную атаку или блокировать ее.

К презентации автор обещает живую демонстрацию эксплойта, а также попробует портировать Firefox OS на смартфон Nexus и поискать новые векторы атаки. В случае успеха он их тоже добавит в презентацию.

Кстати, разработчики приложений для Firefox OS могут претендовать на получение бесплатных смартфонов от Mozilla. Наверное, талантливому подростку можно выслать сразу два.

Следы нового трояна для Mac OS

Следы нового трояна для Mac OS

В сети распространяется новый троян, направленный против компьютеров Mac. Вредоносная программа замаскирована под фотографию с изображением целующейся парочки. Расширение .app, которое позволило бы опознать именно программу, а не графический файл, не отображается при нормальных настройках компьютера.

При клике на иконку изображения троян устанавливается на компьютер пользователя и открывает бэкдор, а также выходит на связь с командным сервером, контролируемым киберпреступниками. Таким образом, хакеры получают возможность удаленного доступа к содержимому компьютера пользователя.

Как сообщает Лайза Майерс, исследователь компании Intego, специализирующейся на защите Mac, механизмы распространения трояна пока неизвестны. Майерс предполагает, что речь может идти о целенаправленной атаке, и изображение целующейся парочки жертвы получают в сообщениях электронной почты. Так же киберпреступники могут изучать поведение своих жертв в сети и размещать троян на сайтах, которые посещаются объектами атаки особенно часто.

Специалистам Intego удалось установить контакт с командным сервером хакеров (в настоящий момент он отключен). Проанализировав информацию о подключившейся к нему системе, сервер загрузил на использованный для теста компьютер Intego логотип хакерской группировки «Сирийская электронная армия». Впрочем, аналитики пока не спешат с выводами. Сирийские хакеры склонны громогласно объявлять о своих акциях, существенно преувеличивая успехи. Пока же они никак не прокомментировали ситуацию с новым трояном.

Исследователи обнаружили новый руткит, который замораживает жесткий диск компьютера

Исследователи обнаружили новый руткит, который замораживает жесткий диск компьютера

Эксперты из вьетнамской IT-компании Bkav обнаружили и проанализировали новый руткит, который использует новый механизм защиты: «замораживание» жесткого диска компьютера жертвы. Помимо этого, вредоносная программа также изменяет иконку жесткого диска.

Впоследствии вирус запускает несколько исполняемых модулей, которые исполняют основные функции вредоносного ПО и способствуют его распространению. Одни из них PassThru – драйвер сетевого модуля, который блокирует или перенаправляет пользователя на определенные web-сайты. Модуль Wininite подключается к C&C-серверам и получает от них команды. Один из этих серверов расположен в Китае, а один в США.

DiskFit – это модуль, который каждый раз после перезагрузки компьютера восстанавливает жесткий диск компьютера до статуса, который был до инфицирования ПК. Помимо этого, DiskFit также создает на компьютере жертвы область для хранения кэшированных данных, в которой хранится информация о всех операциях осуществляемых пользователем. Таким образом, пользователь не может вносить изменения в данные на оригинальном диске.

Каждый раз, когда пользователь проводит перезагрузку компьютера, все его действия на системе удаляются, будь то создание и загрузка новых документов или установка программного обеспечения.

Трехглавый дракон киберпреступности

Трехглавый дракон киберпреступности

По данным Group-IB, объем рынка киберпреступности за 2012 год немного сократился, но цифры по-прежнему остаются впечатляющими – 1,9 млрд долл. При этом, как отметил генеральный директор компании Илья Сачков, общество и государство все еще недооценивают опасность преступлений в области высоких технологий, а также ущерб, который они наносят. Сачков сравнил российскую киберпреступность с трехглавым драконом, сила которого базируется на трех фактах: есть технические возможности украсть средства; нет проблем с их обналичиванием; существует высокая вероятность того, что киберпреступление либо останется безнаказанным, либо кара будет не слишком суровой. Причем с появлением виртуальной валюты (биткоинов) киберпреступники получили инструмент, позволивший им сформировать полноценную теневую экономику.

Счет на миллионы

По словам Никиты Кислицина, руководителя организационного и стратегического развития направления «Botnet-мониторинг», объем рынка интернет-мошенничества несколько снизился по сравнению с 2011 годом и составил 615 млн долл. (годом ранее было 697 млн долл.). При этом объем мошенничеств в системах интернет-банкинга составил 446 млн долл., доходы от фишинга – 57 млн долл., от хищения электронных денег – 23 млн долл.

Всего, по данным Group-IB, в 2012 году на территории РФ действовало 12 организованных преступных групп: восемь из них осуществляли хищения с банковских счетов юридических лиц и четыре «работали» с физическими лицами. При этом объем ущерба, наносимый компаниям, значительно превышал тот, что наносился частным клиентам банков. Так, по оценкам Group-IB, средняя сумма хищений у юридических лиц составила 1,641 млн руб., у физических лиц — 75 тыс. руб. При этом, отметил Кислицин, более половины похищенного — порядка 55% — хакеры были вынуждены тратить на обналичивание денежных средств через различных посредников.

В то же время, по словам Дмитрия Волкова, руководителя отдела расследований инцидентов информационной безопасности Group-IB, наметилась тенденция снижения количества хищений из систем дистанционного банковского обслуживания. В компании это связывают с ликвидацией ряда крупных преступных групп, активным внедрением банками новых систем защиты, в частности антифрод-решений, а также с составлением межбанковского списка дропов – лиц и организаций, причастных к обналичиванию похищенных денежных средств.

Однако преступники осваивают новые способы проникновения в банковские системы, в частности так называемые «автозаливы». В России данная техника начала активно использоваться в 2011 году и в настоящий момент достаточно быстро развивается. «Автозаливом» на сленге компьютерных преступников называется автоматическая отправка несанкционированных платежных поручений при входе пользователя в систему, подмена данных в выполняемых платежных поручениях и диалогах подтверждения платежей, а также коррекция страниц с историей переводов и доступного баланса с целью скрыть факт хищения. В качестве примера Волков привел вредоносную программу BIFIT_A, атаковавшую банковскую систему iBank 2, которая обслуживает более 1,5 млн пользователей российских и украинских банков.

Вход через смартфон

Для доступа к банковским счетам киберпреступники все активнее используют мобильные устройства. Если раньше основной «заработок» здесь складывался от отправки SMS на короткие номера, то теперь злоумышленники более заинтересованы в разнообразных троянских приложениях для входа в систему ДБО. Первый случай появления подложных банковских приложений, работающих в связке с известным троянцем Carberp, в магазине Google Play был зафиксирован в декабре 2012 года.

При росте использования SMS-кодов для авторизации в банковской системе растет и интерес киберпреступников к атакам на мобильные платформы, и в Group-IB прогнозируют значительный рост числа таких атак в ближайшем будущем. Так, по данным компании, сейчас на черном рынке активно продается универсальный банковский троянец Perkele для платформы Android, который «работает» с более чем 70 банками в 12 странах. Этот троянец уже заслужил «массу положительных отзывов» у киберпреступников, и к тому же имеет невысокую стоимость — 7 тыс. долл. за полный комплект.

Приказано уничтожить

В 2012 году был спланирован и успешно завершен ряд операций по пресечению деятельности киберпреступников. Одним из важнейших стало задержание восьми членов группы Carberp. Интересно, что это расследование стало первым в мировой практике, когда удалось установить всю преступную цепочку.

Также в прошлом году была пресечена деятельность группы под руководстом хакера с ником Germes, которая создала одну из крупнейших бот-сетей (на момент задержания организатора в ней насчитывалось около 6 млн зараженных компьютеров), а также киберпреступника, известного под кличкой Hameleon, специализирующегося на крупных клиентах банков. В результате своей деятельности хакеру удалось получить информацию о номерах счетов и их балансе, паспортных данных, адресах электронной почты и номерах телефонов более чем 5 тыс. клиентов различных российских банков.