Beveiligingsbedrijf waarschuwt voor malware stelen bankgegevens verzonden per sms

Verschillende kwaadaardige Android-apps ontworpen om mobiele transactie-authenticatienummers (mTAN's) te stelen die door banken via sms naar hun klanten zijn verzonden (Short Message Service) werden gevonden op Google Play door onderzoekers van antivirusleverancier Kaspersky Lab.

De apps zijn gemaakt door een bende die een variant van de Carberp banking-malware gebruikt om zich te richten op klanten van verschillende Russische banken, Denis Maslennikov, een senior malware-analist bij Kaspersky, zei vrijdag in een blogpost.

Veel banken gebruiken mTAN's als een beveiligingsmechanisme om te voorkomen dat cybercriminelen geld overschrijven van gecompromitteerde online bankieren ts. Wanneer een transactie wordt geïnitieerd vanuit een online bankrekening, stuurt de bank een unieke code genaamd een mTAN via sms naar het telefoonnummer van de accounteigenaar. De accounteigenaar moet die code opnieuw invoeren op de website voor online bankieren om de transactie te autoriseren.

[Meer informatie: hoe u malware van uw Windows-pc verwijdert]

Om dit type verdediging te verslaan, cybercriminelen hebben schadelijke mobiele apps gemaakt die automatisch sms-berichten verbergen die zijn ontvangen van nummers die aan de betreffende banken zijn gekoppeld en die de berichten stilletjes naar hun servers uploaden. Slachtoffers worden misleid door het downloaden en installeren van deze apps op hun telefoons via frauduleuze berichten die worden weergegeven wanneer ze de website van hun bank bezoeken vanaf een geïnfecteerde computer.

Apps voor het stelen van sms'jes zijn eerder gebruikt in combinatie met de Zeus en SpyEye banking Trojan-programma's en staan ​​bekend als Zeus -in-the-Mobile (ZitMo) en SpyEye-in-the-Mobile (SpitMo) componenten. Dit is echter de eerste keer dat een frauduleus mobiel onderdeel wordt gevonden dat specifiek is ontworpen voor de Carberp-malware, aldus Maslennikov.

Anders dan Zeus en SpyEye wordt het Carberp Trojan-programma voornamelijk gebruikt om klanten van internetbankieren uit Rusland en andere Russisch-Russische sprekende landen zoals Oekraïne, Wit-Rusland of Kazachstan.

Trojans toegeëigend door andere bendes

Volgens een rapport van antivirusleverancier ESET in juli arresteerden Russische autoriteiten de mensen achter de drie grootste Carberp-operaties. De malware wordt echter nog steeds door andere bendes gebruikt en wordt op de ondergrondse markt verkocht voor prijzen tussen US $ 5.000 en $ 40.000, afhankelijk van de versie en de functies.

"Dit is de eerste keer dat we mobiel kwaadaardig hebben gezien componenten van een Carberp-bende, "Aleksandr Matrosov, senior malware-onderzoeker bij antivirusleverancier ESET, zei vrijdag via e-mail. "Mobiele componenten worden slechts door één Carberp-groep gebruikt, maar we kunnen op dit moment niet meer details bekendmaken."

De nieuwe Carberp-in-the-Mobile (CitMo) -apps die te vinden zijn op Google Play, zijn vermomd als mobiele applicaties van Sberbank en Alfa-Bank, twee van de grootste banken van Rusland, en VKontakte, de populairste online sociale netwerkdienst in Rusland, zei Maslennikov. Kaspersky nam woensdag contact op met Google en alle CitMo-varianten werden donderdag van de markt verwijderd, zei hij.

Het feit dat cybercriminelen deze apps in eerste instantie naar Google Play hebben geüpload, roept echter vragen op over de efficiëntie van de app-markt. anti-malware verdedigingen, zoals de Bouncer anti-malware scanner die eerder dit jaar door Google werd aangekondigd.

"Het lijkt erop dat het niet moeilijk is om de verdedigingen van Google Play te omzeilen omdat malware daar regelmatig blijft verschijnen," zei Maslennikov via e-mail.

Bogdan Botezatu, senior e-threat analyst bij antivirusleverancier Bitdefender, is van mening dat het voor Google's Bouncer moeilijk kan zijn om ZitMo, SpitMo of CitMo-componenten te detecteren omdat ze functioneel vergelijkbaar zijn met sommige legitieme toepassingen.

"De mobiele telefoon versie van het Trojaans paard is alleen verantwoordelijk voor het kapen van het ontvangen SMS-bericht en het doorsturen van de inhoud naar een andere ontvanger, en dit gedrag is ook te vinden in legitieme applicaties, zoals SMS-mana gement-apps of zelfs applicaties die de gebruiker in staat stellen op afstand hun apparaten via sms te bedienen in het geval dat ze worden gestolen of verloren gaan ", zei hij via e-mail. "Sms-onderschepping is een functie die goed gedocumenteerd is op forums, samen met voorbeeldcode. Als dezelfde voorbeeldcode zowel in kwaadwillende als legitieme applicaties wordt gebruikt, zou het nog moeilijker zijn om te detecteren en te blokkeren."

De mogelijkheid om Google Play te gebruiken voor het verspreiden van apps voor het stelen van sms-berichten biedt cybercriminelen voordelen, zei Botezatu. Allereerst zijn sommige gebruikersapparaten zo geconfigureerd dat ze alleen apps installeren die zijn verkregen via Google Play. Bovendien zijn gebruikers over het algemeen minder wantrouwig tegenover apps die via Google Play zijn gedownload en hebben ze minder aandacht voor hun rechten omdat ze verwachten dat de applicaties zijn wat hun beschrijvingen beweren te zijn, zei hij.