Сбор данных платежных карт с помощью вредоносной программы и программы Google Play
Стр 1 из 7Следующая ⇒ Сущность данного способа в следующем. При запуске приложения Google Play открывается системный диалог с запросом ввода данных банковской карты (без заполнения данного диалогового окна пользователь не сможет в будущем запустить приложение Google Play). После ввода данных с карты они отправляются на сервер, находящийся под контролем преступника. При этом происходит обычный запуск приложения Google Play. Одной из вредоносных (троянских) программ, используемой для хищения данных платежных карт, является Android.ZBot, различные модификации которой атакуют смартфоны и планшеты с февраля 2015 г. и получили по классификации Dr.Web имя Android.ZBot. l. origin. Как и многие другие Andmid-троянцы, Android.ZBot. l. origin распространяется преступниками под видом безобидной программы (в данном случае -приложения Google Play), которая скачивается на мобильные устройства при посещении мошеннических или взломанных веб-сайтов, либо загружается другой вредоносной программой. После того как жертва установит и запустит программу Android.ZBot. l.origin, она запрашивает через приложения Google Play доступ к функциям администратора зараженного смартфона или планшета и в случае успеха выводит на экран уведомление: «Ошибка! Приложение не было установлено, файл поврежден. [Удалить]». После того как пользователь нажмет кнопку [Удалить], будет воспроизведена анимация удаления и программа закроется. Однако на самом деле приложение удалено не будет. Если же пользователь отказывается предоставить вредоносной программе необходимые полномочия, она тут же пытается украсть у него подробные сведения о его банковской карте, включая ее номер и срок действия, трехзначный код безопасности CVV, а также имя владельца. Для этого Android.ZBot. l. origin показывает жертве поддельное окно, имитирующее оригинальную форму ввода соответствующей информации настоящего приложения Google Play. Аналогичное окно данная вредоносная программа отображает и после получения требуемых функций администратора, однако лишь через некоторое время после установки на целевом устройстве.
Далее Android.ZBot. l. origin удаляет свой значок с экрана приложений, «прячась» от пользователя, и начинает контролировать системные события, связанные с загрузкой операционной системы. Тем самым троянская программа обеспечивает себе автоматический запуск при каждом включении инфицированного устройства. Как только вредоносная программа получает управление, она связывается с удаленным узлом, регистрирует на нем зараженный смартфон или планшет и ожидает дальнейших указаний злоумышленников. В зависимости от полученной директивы сервера Android.ZBot. l. origin выполняет следующие действия (реализует функции): получение входящих SMS-сообщений; выполнение USSD-команд; перехват SMS-сообщений; рассылка SMS-сообщений по определенным контактам пользователя; рассылка SMS-сообщений по фильтрам (всем, on-line, избранным, по операторам, по странам); отправка SMS-сообщения на любой номер; SMS-команды: allCMC - пересылка SMS-coo6щений с номера, на котором будет получена команда, на номер, с которого будет отправлена команда (если нет доступа к сети Интернет); send [НОМЕР] [ТЕКСТ] - SMS-команда для отправки SMS-сообщения с номера получателя; совершение телефонных звонков; получение текущих GPS-координат; воспроизведение специально сформированного диалогового окна поверх заданного приложения. Функция по отправке SMS-сообщений на любые номера может быть использована преступниками для отправки сообщений на платные номера в целях хищения денежных средств с банковского счета пользователя. В связи с возможностью выполнения USSD-команд преступникам становятся доступны конфиденциальные данные жертвы, часть из которых может быть использована для хищения денег с существующих банковских аккаунтов. Функция по перехвату SMS-сообщений может позволить преступникам получать SMS-коды для проведения транзакций со счета жертвы.
Например, сразу после того как на управляющем сервере, находящемся под контролем преступников, регистрируется новое зараженное устройство, Android.ZBot.l.origin получает команду на проверку состояния баланса банковского счета пользователя. Если троянская программа обнаруживает наличие денег, она автоматически переводит заданную преступниками сумму на подконтрольные им банковские счета. Некоторые коммерческие банки разрешают совершать переводы по SMS-сообщениям только получателям из белого списка, например, по шаблонам, созданным в Интернет-банкинге. Однако в белом списке всегда присутствует номер телефона, привязанный к банковскому счету, чтобы владелец мобильного устройства мог пополнять баланс телефона. В этом случае преступники переводят все деньги с банковского счета на номер мобильного телефона. Впоследствии преступники, обладая доступом к SMS-сообщениям, могут привязать электронный кошелек к этому телефону и сделать перевод денежных средств с баланса телефона на новый электронный кошелек, таким образом, обходя ограничения белого списка. Таким образом, Android.ZBot.l.origin может получить доступ к управлению банковскими счетами владельцев мобильных Andmid-устройств и незаметно для пользователей похитить деньги при помощи специальных SMS-команд, предусмотренных тем или иным сервисом мобильного банкинга. При этом жертва не будет подозревать о краже, т. к. вредоносная программа перехватывает поступающие от коммерческих банков сообщения с проверочными кодами транзакций. Как отмечают специалисты «Доктор Веб», часть вредоносного функционала Android.ZBot.l.origin (например, отправка SMS-сообщений) реализована вирусописателями в виде отдельной Linux-библиотеки с именем libandroid-v7-support.so, которая хранится внутри программного пакета троянца. Это обеспечивает троянской программе защиту от детектирования антивирусами и позволяет ей дольше находиться на зараженных устройствах необнаруженной.
Однако одна из главных особенностей Android.ZBot.l.origin заключается в его способности похищать логины и пароли для доступа к сервисам мобильного банкинга при помощи поддельных форм ввода, генерируемых по указанию управляющего сервера и предназначенных для создания видимости их принадлежности к тем или иным программам. Данная атака представляет собой классический фишинг, особенности которого состоят в следующем. Вначале троянская программа получает от преступников команду, содержащую название целевого приложения, после чего с определенной периодичностью начинает проверять, запущена ли пользователем соответствующая программа. В конце 2015 г. данная троянская программа контролировала запуск нескольких десятков банковских приложений: m.sberbank.ivom; ru.sberbanksbbol; ru.raiffeisennews; m.vtb24.mobilebanking. android; PSB.Droid; com.idamob.tinkoff.android; rn.simpls.brs2.mobbank; ru.kykyryza; com.smpbank.android; m.ftc.faktura.sovkombank; hu.eqlsoft.otpdirektru; m.ftc.faktura.sovkombank; rii.rocketbank.r2d2 и др. Как только необходимая программа начинает работу, Android.ZBot.l. origin при помощи функции Web View формирует специальную веб-форму, содержимое которой загружает с удаленного узла. В частности, преступники могут задать размер демонстрируемого окна, его внешний вид, включая заголовок и сопроводительный текст, количество полей для ввода данных, сопутствующие изображения и т. п. При этом выводимая на экран форма «привязывается» к атакуемому приложению: если потенциальная жертва фишинга попытается избавиться от показанного сообщения и вернуться к окну оригинальной программы при помощи аппаратной кнопки «Назад», Android.ZBot.l.origin перенаправит пользователя на главный экран операционной системы, закрыв само приложение. Скриншот примера фишингового окна показан на рис. В результате у пользователя (жертвы) зараженного мобильного устройства может сложиться впечатление, что увиденный им ранее запрос в действительности принадлежит соответствующей программе, и ему все-таки необходимо ввести требуемую информацию. Как только троянская программа получает от жертвы ее логин и пароль, эти данные загружаются на удаленный узел, после чего преступники обретают полный контроль над учетными записями мобильного банкинга пользователей и могут управлять их счетами. Другую модификацию вредоносной программы, получившую имя Android.ZBot.2.origin, вирусные аналитики «Доктор Веб» выявили в июне 2015 г. Данная версия троянской программы обладает аналогичным Android.ZBot. l.origin функционалом и отличается от своего предшественника лишь тем, что ее код зашифрован, чтобы усложнить обнаружение антивирусами. В ноябре 2015 н. Android.ZBot.2.origin был обнаружен специалистами «Доктор Веб» на 6238 смартфонах и планшетах, а с момента внесения его в вирусную базу, антивирусное программное обеспечение Dr. Web для Android зафиксировало 27 033 случая проникновения троянской программы на Andraid-устройства
Воспользуйтесь поиском по сайту: ©2015 - 2024 megalektsii.ru Все авторские права принадлежат авторам лекционных материалов. Обратная связь с нами...
|