Смартфоны тоже под ударом
Мобильные устройства переживают свой бум. Рост использования смартфонов, естественно, не мог не повлиять на развитие вредоносного программного обеспечения (ВПО) для этих устройств. По сравнению с персональными компьютерами, планка пользовательской грамотности относительно вопросов информационной безопасности здесь еще ниже. Это открывает для злоумышленников большое поле для преступной деятельности. Простейшим способом увода денег являются вредоносные приложения, отправляющие SMS сообщения на платные номера. Но разработчики Zeus и SpyEye не сидят, сложа руки, и в 2010-2011 годах из-под их «пера» выходят модификации, поражающие своей изощренностью.
Многие, наверное, знают, что одним из популярных способов защиты проведения финансовых операций с использованием Интернета является mTan (mobile transaction authentication number — мобильный код аутентификации транзакций) — специальная последовательность цифр, которая присылается на ваш телефон в SMS при проведении какой-либо операции (транзакции), например, при оплате через WebMoney. Распространение смартфонов тут играет на руку злоумышленникам, разработавшим механизм обхода технологии mTan посредством вредоносных приложений для широко распространенных мобильных платформ.
И Zeus, и SpyEye имеют функционал подмены настоящей страницы HTML какой-либо системы электронных платежей, для отправки учетных данных пользователя (логинов и паролей), на командный центр. Для получения mTan, в формы внедряются дополнительные поля, одно из них которое — номер телефона. В конечном итоге на смартфон устанавливается ВПО для перехвата SMS. Эта технология получила название Man-in-the-Mobile (по аналогии c Man-in-the-Middle при перехвате данных в сети, проходящих между двумя компьютерами). Подробности перехвата для разного ВПО описаны далее.
ZeuS-in-the-Mobile
Появившийся в конце сентября 2010 года ZeuS-in-the-Mobile (ZitMo), стал первой вредоносной программой, нацеленной на кражу mTan. На модифицированной странице авторизации в системе онлайн-банкинга помимо логина и пароля пользователя просили указать также модель используемого им мобильного устройства и ввести его номер — якобы для обновления сертификатов. Пользователи, которые предоставили такую информацию, через некоторое время получали на указанные номера SMS ссылку на новый «сертификат безопасности» с просьбой установить его. На самом деле «сертификат» был приложением ZitMo. Версии ZitMo существуют для нескольких платформ: Symbian, Windows Mobile, Blackberry и Android. Основной функционал для первых трех платформ заключается в пересылке SMS-сообщений на номера телефонов злоумышленников, указанных в коде ZitMo. Интересно, что номера этих мобильных телефонов зарегистрированы в Англии. Для Android версии отправка данных на сервер злоумышленников осуществляется по протоколу HTTP.
SpyEye-in-the-Mobile
В апреле 2011 года экспертами Kaspersky Lab обнаружена очередная атака вида Man-in-the-Mobile с участием модификации SpyEye. Вредоносное приложение для платформы Symbian получило название SpyEye-in-the-Mobile (SpitMo). В форму ввода пароля и логина внедряется два дополнительных поля для ввода номера телефона и IMEI, якобы для обновления сертификатов для смартфона. IMEI использовался для формирования злоумышленниками цифровой подписи вредоносной программы. Ссылка на очередной «сертификат безопасности» приходила спустя несколько дней в SMS на указанный в фальшивой форме ввода номер телефона. Вредоносная программа подписывается сертификатом для беспроблемной установки и отвода подозрений. Судя по всему, заказ сертификата для подписи оформлялся через сайт ассоциации китайских дилеров OPDA, на его получение уходило 2-3 дня. На смартфоне ВПО перехватывает входящие SMS сообщения, отбирает из них те, которые содержат mTan, и отправляет их по протоколу HTTP на сервер злоумышленников, не демонстрируя пользователю.
Carberp-in-the-Mobile
По состоянию на декабрь 2013 года специалистами Kaspersky Lab зафиксировано появление еще одного игрока на поле Man-in-the-Mobile — Carberp-in-the-Mobile (CitMo) для платформы Android. Carberp – это еще один представитель crimeware, конкурент Zeus и SpyEye. По сравнению с ними, была выявлена ориентация преступников, использующих Carberp, на российских пользователей (Zeus и SpyEye обычно используются за рубежом, преимущественно в США). В марте 2012 года, при содействии компании ESET, была арестована одна из многочисленных кибергруппировок, использовавших Carberp в своей преступной деятельности. После этого разработчики Carberp «залегли на дно». В настоящее время, разработка и продажа Carberp возобновлены, подробности, цены и функционал тут.
Поддельная форма онлайн-банкинга, внедряемая Carberp, предлагает пользователю скачать и установить программу, якобы необходимую для входа в систему. Причем пользователь может получить ссылку в SMS-сообщении, указав свой номер телефона, либо самостоятельно отсканировать QR-код и получить ссылку. Алгоритм работы CitMo идентичен SpitMo, данные SMS отправляются через HTTP.
Заключение
Хотелось бы отметить, что все большее количество пользователей смартфонов подвергаются риску. Растет рынок, растет доля Android устройств — повышается их популярность у преступников и разработчиков ВПО. В последнее время злоумышленники вообще стали размещать QR-коды в местах наибольшего скопления людей, таких как аэропорты, рестораны, заменяя ими рекламные уведомления, рассчитывая на то, что потенциальные жертвы просканируют их и попадут на вредоносный ресурс. Так что векторы угроз уже мигрируют из виртуального в реальный мир.
Автор: nuklearlord