Как создать банковский вирус

Обновлено: 24.04.2024

Очень просто и максимально коротко — все, что нужно знать о мобильных банковских троянах и защите от них своих банковских счетов.

21 сентября 2016

1. Зачем мне это читать?

Этот текст поможет сберечь деньги, хранящиеся у вас на банковской карте. Неплохо, да?

2. Мобильные банковские трояны — что это?

Каждый смартфон — это миниатюрный компьютер со своей операционной системой и программным обеспечением. И своими вирусами. Мобильные банковские троянцы — одни из самых опасных: эти приложения воруют деньги с банковских счетов пользователей смартфонов (и планшетов).

3. Кто в зоне риска?

Пострадать могут все владельцы гаджетов, использующие банковские приложения. Больше всего рискуют пользователи Android-смартфонов — 98% мобильных банковских троянов созданы для этой операционной системы.

В 2016 году эти зловреды активно атаковали пользователей из России, Германии и Австралии. Также в первую десятку вошли Южная Корея, Узбекистан, Китай, Украина, Дания, Киргизия и Турция.

4. Это правда так опасно?

Эти трояны — одна из главных мобильных угроз десятилетия. Только с начала 2016 года мы зарегистрировали более 77 тысяч разновидностей установочных пакетов мобильных банковских троянцев. И можно не сомневаться, что в будущем ситуация точно не станет лучше.

5. Как трояны попадают в телефон?

Не поверите — пользователи сами их загружают. Чаще всего преступники выдают троянов за полезные приложения и с помощью разных хитрых трюков заставляют людей установить зловредов.

6. Серьезно, даже в Google Play приложения не всегда безопасны?

7. А у меня iPhone. Я могу не беспокоиться?

Поэтому владельцам айфонов тоже нужно быть бдительными. Более того, с легкой руки Apple для iOS нет антивирусов, так что, если беда все-таки случится, все пользователи яблочной операционной системы останутся с троянами один на один.

8. Как вообще происходит кража денег?

Еще один важный этап при краже денег — это перехват SMS с одноразовыми паролями для осуществления платежей и переводов. Поэтому троянам обычно нужны права доступа к SMS, и именно поэтому стоит быть особенно осторожными с приложениями, которые такие права запрашивают.

Мобильные трояны могут незаметно выводить деньги по чуть-чуть, в течение нескольких месяцев, а могут украсть все сразу — в зависимости от того, что им прикажут киберпреступники.

9. Как понять, что мой смартфон заражен?

Самый очевидный признак — это тот печальный факт, что у вас начали исчезать деньги со счета, причем этих транзакций вы точно не совершали.

Если подозрительных денежных переводов пока не было, но вы все равно хотите проверить свой смартфон, установите наш бесплатный Kaspersky Antivirus & Security для Android и просканируйте систему.

10. Какие трояны наиболее опасны?

OpFake — троянец-трудоголик, изучивший интерфейсы почти сотни банковских и финансовых приложений. Трояны семейства Acecard не сильно отстают: они способны подменять экраны около 30 банковских приложений, а также перекрыть интерфейс любого приложения по приказу командного сервера. В 2016 году в России самыми активными были такие зловреды, как Asacub, Svpeng и Faketoken.

11. Как себя защитить?

12. Что делать, если у меня украли деньги?

Первое, что нужно сделать, — это как можно скорее обратиться в банк, чтобы заблокировать карту и, если возможно, опротестовать транзакцию. В некоторых случаях банки не выводят деньги мгновенно, так что шанс вернуть украденное все-таки есть.

Убедитесь, что вы удалили вредоносное приложение с устройства. Для этого вам нужно будет проверить систему с помощью антивируса.

Внимательно перечитайте предыдущий пункт нашего FAQ, чтобы не допустить повторения этой же ситуации в будущем.

Развитие цифровых технологий привело к тому, что все больше людей осуществляют операции через интернет. Этим активно пользуются злоумышленники. Чтобы защититься от цифровых преступников, необходимо знать, откуда хакеры могут узнать наши пароли, банковские карточки и личные данные. И нужно объяснение простыми словами, так как большинство людей не поймет сложные термины.

Вирусы трояны

screenshot_1

Вирусы содержат, в основном, файлы с расширениями .exe. Однако мошенники научились прятать вредоносные программы в архивах.

screenshot_2

Поддельная копия официального приложения

Данный способ незаконного сбора личной информации также пользуется популярностью. Мошенники, в частности, нередко создают копии приложений для онлайн-банкинга. Такие программы имеют тот же интерфейс, внешний вид и другие характеристики, что и оригинальные. То есть подделку отличить можно только при внимательном рассмотрении двух приложений.

Перехват работы приложения

Этот способ кражи личных данных применяется реже, так как требует большей профессиональной подготовки от мошенников и занимает много времени. Чтобы перехватить работу приложения (в частности, применяется в отношении официальных банковских программ), злоумышленники создают специальные трояны.

screenshot_3

Такие вредоносные программы должны сначала попасть на смартфон или планшет. После загрузки троян запускает сканирование операционной системы, чтобы найти установленные банковские приложения. Как только вирус находит такую программу, то автоматически генерирует соответствующую страницу, идентичную официальной. То есть после запуска банковского приложения на экране появляется окно, созданное трояном.

Фишинг

Частично понятие фишинга было рассмотрено ранее. Данный термин скрывает в себе практику массовой отправки ссылок на вредоносные сайты. Причем мошенники, в основном, используют для этого почтовые адреса известных компаний либо шифруются под последние.

screenshot_4

Для защиты личных данных от подобных схем рекомендуется не обращать внимания на выгодные предложения и проверять полученную информацию, прежде чем переходить по ссылке.

Клавиатурные шпионы

Злоумышленники могут использовать специальные программы, которые считывают информацию, вводимую с клавиатуры. Подобные приложения также сложно выявить. Эти программы не находят популярные антивирусы. В результате вводимая пользователем информация о логине и пароле, которые открывают доступ к личному кабинету в онлайн-банке, попадают к мошенникам.

screenshot_5

Снизить риски в данном случае можно, если установить более эффективный антивирус и при входе на сайты с личными финансами использовать двухфакторную верификацию. Последняя снижает эффективность клавиатурного шпиона.

screenshot_6

Для защиты от таких способов мошенничества нужно:

Последний вариант актуален, когда человек для онлайн-банкинга использует незащищенную сеть.

screenshot_7

Подмена SIM-карты

screenshot_8

Социальная инженерия

Современный смартфон — это полноценный компьютер помощнее того, что стоял у нас на столе каких-нибудь 10 лет назад. И он почти наверняка содержит данные, ценные для злоумышленников, например, банковские.


30 сентября 2015

android-banking-trojans-FB

Между тем современный смартфон — это полноценный компьютер, помощнее того, что стоял у вас на столе каких-нибудь 10 лет назад. И очень опасный компьютер. На диске домашнего компьютера может не быть ничего ценного, кроме пары хранящихся со студенческих времен собственноручно написанных рефератов да груды фотографий из поездки в Турцию. А вот смартфон почти наверняка содержит данные, ценные не только для вас, но и для злоумышленников.

Дело в том, что если у вас есть смартфон, то велика вероятность и наличия банковской карты. А поскольку банки используют мобильные номера для авторизации (например, отправляют SMS с одноразовыми паролями для подтверждения операций), возникает соблазн этот канал коммуникации перехватить и совершать переводы и платежи с вашего банковского счета от вашего имени.

Неудивительно, что банковские троянцы являются сегодня наиболее распространенной мобильной киберугрозой: к ним относится до 95% зловредов для смартфонов. Свыше 98% из них предназначены для платформы Android, что неудивительно. Во-первых, она наиболее массовая (занимает свыше 80% рынка смартфонов). Во-вторых, единственная среди популярных платформ, принципиально допускающая установку ПО из неизвестных источников.

Основных методов работы банковских троянцев три:

• Они могут скрывать от пользователя банковские SMS с паролями и тут же перенаправлять их злоумышленнику, который воспользуется ими, чтобы перевести ваши деньги на свой счет.

• Таким же образом банковские троянцы могут действовать в автоматическом режиме, время от времени отправляя относительно небольшие суммы на счета преступников.

• Либо зловреды сразу мимикрируют под мобильные приложения банков и, получив доступ к реквизитам для входа в мобильный интернет-банк, делают все то же самое.

Больше всего банковских троянцев — до 50% — ориентировано на Россию и страны СНГ; довольно распространены они также в Индии и Вьетнаме, в последнее время стали популярны универсальные зловреды, способные загружать обновляемые профили банков разных стран: США, Германии, Великобритании.

Кроме того, при помощи Zeus удалось украсть более 74 тыс. FTP-паролей от различных сайтов, включая сайт Bank of America, и изменить на них код таким образом, чтобы получить данные кредитных карт при попытке ими что-то оплатить. Zeus был особенно активен до конца 2013 года, когда его начал вытеснять более современный Xtreme RAT, однако ядро трояна до сих пор популярно у создателей зловредов.

В 2011 году появился SpyEye — один из самых успешных банковских троянцев в истории. Его автор — Александр Андреевич Панин продавал код на черном рынке по цене от $1000 до $8500; по данным ФБР, деанонимизировавшего создателя SpyEye, всего было около 150 покупателей троянца, создавших его модификации для хищений у клиентов различных банков. Один из покупателей кода за шесть месяцев смог украсть $3,2 млн.

В 2012 году обнаружился Carberp — компонент, маскировавшийся под Android-приложения крупнейших российских банков: Сбербанка и Альфа-Банка — и ориентированный на клиентов этих банков в России, Белоруссии, Казахстане, Молдавии и на Украине. Одним из интересных моментов этой истории стало то, что преступникам удалось разместить фейковые приложения в Google Play.

Злоумышленники в количестве 28 человек были обнаружены и арестованы российской и украинской полицией. Однако исходный код Carberp оказался опубликован в 2013 году, так что теперь любой желающий может на его основе написать свой собственный зловред. И если оригинальный Carberp встречался в странах бывшего СССР, то его клоны сейчас обнаруживаются то в Европе, то в США, то в Латинской Америке.

В 2013 году из Турции через Португалию и Чехию победное шествие начал Hesperbot: этот троян помимо прочего создает на зараженном устройстве скрытый VNC-сервер, при помощи которого злоумышленник может получить доступ к удаленному управлению смартфоном.

В 2014 году был открыт исходный код Android.iBanking — готового комплекса для перехвата банковских SMS-паролей и удаленного управления смартфоном. Ранее он продавался за $5000, публикация кода привела к значительному всплеску заражений.

Комплекс состоит из вредоносного кода, заменяющего собой уже установленное на смартфоне приложение банка (функциональность оригинального приложения при этом сохраняется, но появляется широкий набор новых возможностей), и программы под Windows с удобным графическим интерфейсом, позволяющим управлять всеми подконтрольными смартфонами из автоматически обновляемого списка.

Дополнительно троянец мониторит ввод ID в системе Boleto на сайтах и в банковских приложениях (при пополнении счета в системе) и затем скрыто подставляет при отправке формы ID злоумышленника — таким образом пополняется его счет.

Разумеется, история банковских троянов все еще пишется, постоянно появляются все новые и новые приложения, преступники находят все более и более эффективные приемы для заманивания своих жертв. Так что стоит защитить свой смартфон как следует.

image

Хакерский мир можно условно разделить на три группы атакующих:

Может ли кто-то с хорошими навыками в программировании стать последним? Не думаю, что вы начнете создавать что-то, на подобии regin (ссылка) после посещения нескольких сессий DEFCON. С другой стороны, я считаю, что сотрудник ИБ должен освоить некоторые концепты, на которых строится вредоносное ПО.

Зачем ИБ-персоналу эти сомнительные навыки?

Знай своего врага. Как мы уже обсуждали в блоге Inside Out, нужно думать как нарушитель, чтобы его остановить. Я – специалист по информационной безопасности в Varonis и по моему опыту – вы будете сильнее в этом ремесле если будете понимать, какие ходы будет делать нарушитель. Поэтому я решил начать серию постов о деталях, которые лежат в основе вредоносного ПО и различных семействах хакерских утилит. После того, как вы поймете насколько просто создать не детектируемое ПО, вы, возможно, захотите пересмотреть политики безопасности на вашем предприятии. Теперь более подробно.

Кейлогер – это ПО или некое физическое устройство, которое может перехватывать и запоминать нажатия клавиш на скомпрометированной машине. Это можно представить как цифровую ловушку для каждого нажатия на клавиши клавиатуры.
Зачастую эту функцию внедряют в другое, более сложное ПО, например, троянов (Remote Access Trojans RATS), которые обеспечивают доставку перехваченных данных обратно, к атакующему. Также существуют аппаратные кейлогеры, но они менее распространены, т.к. требуют непосредственного физического доступа к машине.

Тем не менее создать базовые функции кейлогера достаточно легко запрограммировать. ПРЕДУПРЕЖДЕНИЕ. Если вы хотите попробовать что-то из ниже следующего, убедитесь, что у вас есть разрешения, и вы не несёте вреда существующей среде, а лучше всего делать это все на изолированной ВМ. Далее, данный код не будет оптимизирован, я всего лишь покажу вам строки кода, которые могут выполнить поставленную задачу, это не самый элегантный или оптимальный путь. Ну и наконец, я не буду рассказывать как сделать кейлогер стойким к перезагрузкам или пытаться сделать его абсолютно не обнаружимым благодаря особым техникам программирования, так же как и о защите от удаления, даже если его обнаружили.

Вы можете изучить больше про фунцию GetAsyncKeyState на MSDN:

Для понимания: эта функция определяет нажата клавиш или отжата в момент вызова и была ли нажата после предыдущего вызова. Теперь постоянно вызываем эту функцию, чтобы получать данные с клавиатуры:

Умный кейлогер

Погодите, а есть ли смысл пытаться снимать всю подряд информацию со всех приложений?
Код выше тянет сырой ввод с клавиатуры с любого окна и поля ввода, на котором сейчас фокус. Если ваша цель – номера кредитных карт и пароли, то такой подход не очень эффективен. Для сценариев из реального мира, когда такие кейлогеры выполняются на сотнях или тысячах машин, последующий парсинг данных может стать очень долгим и по итогу потерять смысл, т.к. ценная для взломщика информация может к тому времени устареть.

Давайте предположим, что я хочу заполучить учетные данные Facebook или Gmail для последующей продажи лайков. Тогда новая идея – активировать кейлоггинг только тогда, когда активно окно браузера и в заголовке страницы есть слово Gmail или facebook. Используя такой метод я увеличиваю шансы получения учетных данных.

Вторая версия кода:

Этот фрагмент будет выявлять активное окно каждые 100мс. Делается это с помощью функции GetForegroundWindow (больше информации на MSDN). Заголовок страницы хранится в переменной buff, если в ней содержится gmail или facebook, то вызывается фрагмент сканирования клавиатуры.

Этим мы обеспечили сканирование клавиатуры только когда открыто окно браузера на сайтах facebook и gmail.

Еще более умный кейлогер

Давайте предположим, что злоумышленник смог получить данные кодом, на подобии нашего. Так же предположим, что он достаточно амбициозен и смог заразить десятки или сотни тысяч машин. Результат: огромный файл с гигабайтами текста, в которых нужную информацию еще нужно найти. Самое время познакомиться с регулярными выражениями или regex. Это что-то на подобии мини языка для составления неких шаблонов и сканирования текста на соответствие заданным шаблонам. Вы можете узнать больше здесь.

Для упрощения, я сразу приведу готовые выражения, которые соответствуют именам логина и паролям:

Где первое выражение (re) будет соответствовать любой электронной почте, а второе (re2) любой цифро буквенной конструкции больше 6 символов.

Бесплатно и полностью не обнаружим

В своем примере я использовал Visual Studio – вы можете использовать свое любимое окружение – для создания такого кейлогера за 30 минут.
Если бы я был реальным злоумышленником, то я бы целился на какую-то реальную цель (банковские сайты, соцсети, тп) и видоизменил код для соответствия этим целям. Конечно, также, я запустил бы фишинговую кампанию с электронными письмами с нашей программой, под видом обычного счета или другого вложения.

Остался один вопрос: действительно такое ПО будет не обнаруживаемым для защитных программ?

Я скомпилировал мой код и проверил exe файл на сайте Virustotal. Это веб-инструмент, который вычисляет хеш файла, который вы загрузили и ищет его в базе данных известных вирусов. Сюрприз! Естественно ничего не нашлось.

image

В этом основная фишка! Вы всегда можете менять код и развиваться, будучи всегда на несколько шагов раньше сканеров угроз. Если вы в состоянии написать свой собственный код он почти гарантированно будет не обнаружим. На этой странице вы можете ознакомиться с полным анализом.

Основная цель этой статьи – показать, что используя одни только антивирусы вы не сможете полностью обеспечить безопасность на предприятии. Нужен более глубинная оценка действий всех пользователей и даже сервисов, чтобы выявить потенциально вредоносные действия.

В следующих статья я покажу, как сделать действительно не обнаружимую версию такого ПО.

Читайте также: