Firma keselamatan memberi amaran malware mencuri data bank yang dihantar melalui SMS

Beberapa aplikasi Android berniat jahat yang dirancang untuk mencuri nombor pengesahan transaksi mudah alih (mTAN) yang dikirim oleh bank kepada pelanggan mereka melalui SMS (Short Message Service) didapati di Google Play oleh penyelidik dari vendor antivirus Kaspersky Lab.

Aplikasi ini dibuat oleh geng yang menggunakan varian dari malware perbankan Carberp untuk menargetkan pelanggan beberapa bank Rusia, Denis Maslennikov, penganalisis malware senior di Kaspersky, hari ini berkata dalam jawatan blog.

Banyak bank menggunakan mTAN sebagai mekanisme keselamatan untuk mencegah penjenayah siber daripada memindahkan wang dari akaun perbankan dalam talian yang terjejas ts. Apabila transaksi dimulakan dari akaun perbankan dalam talian, bank menghantar kod unik yang dipanggil mTAN melalui SMS ke nombor telefon pemilik akaun. Pemilik akaun harus memasukkan kod tersebut kembali ke laman web perbankan dalam talian agar urus niaga tersebut dibenarkan.

[Bacaan lanjut: Bagaimana untuk menghapuskan malware dari PC Windows Anda]

Untuk mengalahkan jenis pertahanan ini, penjenayah siber mencipta aplikasi mudah alih yang menyembunyikan mesej secara automatik yang menyembunyikan mesej SMS yang diterima daripada nombor yang berkaitan dengan bank yang disasarkan dan menghantar mesej secara senyap ke pelayan mereka. Mangsa ditipu untuk memuat turun dan memasang aplikasi-aplikasi ini di telefon mereka melalui mesej penyangak yang dipaparkan ketika melawat laman web bank mereka dari komputer yang dijangkiti.

Aplikasi mencuri SMS sebelum ini telah digunakan bersama dengan program Trojan perbankan Zeus dan SpyEye dan dikenali sebagai Zeus komponen-in-Mobile (ZitMo) dan komponen SpyEye-in-the-Mobile (SpitMo). Namun, ini adalah kali pertama komponen mudah alih penyangak yang direka khusus untuk malware Carberp yang telah dijumpai, kata Maslennikov.

Tidak seperti Zeus dan SpyEye, program Trojan Carberp terutama digunakan untuk menargetkan pelanggan perbankan dalam talian dari Rusia dan Rusia-

Trojans dirampas oleh kumpulan lain

Menurut laporan pada bulan Julai dari vendor antivirus ESET, pihak berkuasa Rusia menahan orang-orang di belakang tiga operasi Carberp terbesar. Walau bagaimanapun, malware terus digunakan oleh kumpulan lain dan dijual di pasaran bawah tanah untuk harga antara US $ 5,000 dan $ 40,000, bergantung kepada versi dan ciri-cirinya.

"Ini adalah kali pertama kita melihat malicious mobile komponen dari geng Carberp, "Aleksandr Matrosov, penyelidik perosak malware senior di penjual antivirus ESET, berkata Jumaat melalui e-mel. "Komponen mudah alih hanya digunakan oleh satu kumpulan Carberp, tetapi kami tidak dapat mendedahkan lebih banyak maklumat pada masa ini."

Aplikasi Carberp-in-the-Mobile (CitMo) baru yang terdapat di Google Play menyamar sebagai aplikasi mudah alih dari Sberbank dan Alfa-Bank, dua bank terbesar di Rusia, dan VKontakte, perkhidmatan rangkaian sosial dalam talian yang paling popular di Rusia, kata Maslennikov. Kaspersky menghubungi Google pada hari Rabu dan semua varian CitMo telah dipadamkan dari pasaran pada hari Khamis, katanya.

Namun, hakikat bahawa penjenayah siber berjaya mengunggah aplikasi ini ke Google Play di tempat pertama menimbulkan persoalan mengenai kecekapan pasaran aplikasi pertahanan anti-malware, seperti pengimbas anti-malware Bouncer yang diumumkan oleh Google pada awal tahun ini.

"Nampaknya tidak sukar untuk memintas pertahanan Google Play kerana malware terus muncul di sana secara teratur," kata Maslennikov melalui e-mel.

Bogdan Botezatu, penganalisis e-ancaman kanan pada vendor antivirus Bitdefender, percaya bahawa ia mungkin sukar bagi Bouncer Google untuk mengesan komponen ZitMo, SpitMo atau CitMo kerana mereka berfungsi sama dengan beberapa aplikasi yang sah.

versi Trojan hanya bertanggungjawab merampas SMS yang diterima dan meneruskan kandungannya kepada penerima lain, dan tingkah laku ini juga terdapat dalam aplikasi yang sah, seperti mana SMS aplikasi simen atau bahkan aplikasi yang membolehkan pengguna mengawal peranti mereka dari jauh melalui SMS sekiranya mereka dicuri atau hilang, "katanya melalui e-mel. "Pemintasan SMS adalah ciri yang didokumentasikan dengan baik di forum, bersama-sama dengan kod sampel.Jika kod sampel yang sama digunakan kedua-dua aplikasi berniat jahat dan legit, lebih sukar untuk mengesan dan menyekat."

Keupayaan untuk menggunakan Google Play untuk mengedarkan aplikasi mencuri SMS menawarkan kelebihan kepada penjenayah siber, kata Botezatu. Pertama sekali, beberapa peranti pengguna dikonfigurasikan untuk memasang aplikasi yang diperoleh dari Google Play sahaja. Selain itu, pengguna biasanya kurang mencurigakan terhadap aplikasi yang dimuat turun melalui Google Play dan kurang memberi perhatian terhadap kebenaran mereka kerana mereka menjangkakan aplikasi itu menjadi apa yang dikatakan oleh deskripsi mereka, katanya.