Empresa de segurança avisa sobre malware que rouba dados bancários enviados por SMS

Vários aplicativos maliciosos para Android projetados para roubar números de autenticação de transações móveis (mTANs) enviados por bancos para seus clientes por SMS (Short Message Service) foram encontrados no Google Play por pesquisadores da Kaspersky Lab.

Os aplicativos foram criados por uma gangue que usa uma variante do malware do banco Carberp para atingir os clientes de vários bancos russos, Denis Maslennikov, um analista de malware sênior da Kaspersky, disse na sexta-feira em um post no blog.

Muitos bancos usam mTANs como um mecanismo de segurança para impedir que os cibercriminosos transfiram dinheiro de um banco bancário on-line comprometido ts. Quando uma transação é iniciada a partir de uma conta bancária on-line, o banco envia um código exclusivo chamado mTAN via SMS para o número de telefone do proprietário da conta. O proprietário da conta deve inserir o código no site do banco on-line para que a transação seja autorizada

[Leia mais: Como remover malware do seu PC Windows]

Para derrotar esse tipo de defesa Os cibercriminosos criaram aplicativos móveis maliciosos que ocultam automaticamente mensagens SMS recebidas de números associados aos bancos-alvo e enviam silenciosamente as mensagens de volta para seus servidores. As vítimas são induzidas a baixar e instalar esses aplicativos em seus telefones através de mensagens desonestos exibidas ao visitar o site de seu banco a partir de um computador infectado.

Aplicativos de roubo de SMS já foram usados ​​junto com os programas Trojan bancários Zeus e SpyEye e são conhecidos como Zeus -em-o-celular (ZitMo) e componentes SpyEye-in-the-Mobile (SpitMo). No entanto, esta é a primeira vez que um componente móvel desonesto projetado especificamente para o malware Carberp foi encontrado, disse Maslennikov.

Ao contrário do Zeus e do SpyEye, o programa Carberp Trojan é usado principalmente para direcionar clientes bancários da Rússia e outros russos. países falantes como Ucrânia, Bielorrússia ou Cazaquistão

Trojans usurpados por outras gangues

Segundo um relatório em julho do fornecedor de antivírus ESET, as autoridades russas prenderam as pessoas por trás das três maiores operações da Carberp. No entanto, o malware continua a ser usado por outras gangues e está sendo vendido no mercado underground por preços entre US $ 5.000 e US $ 40.000, dependendo da versão e de seus recursos.

"Esta é a primeira vez que vimos softwares móveis componentes de uma gangue Carberp ", disse Aleksandr Matrosov, pesquisador sênior de malware da empresa de antivírus ESET, por email. "Os componentes móveis são usados ​​apenas por um grupo Carberp, mas não podemos divulgar mais detalhes no presente."

Os novos aplicativos Carberp-in-the-Mobile (CitMo) encontrados no Google Play disfarçados de aplicativos móveis do Sberbank e o Alfa-Bank, dois dos maiores bancos da Rússia, e o VKontakte, o mais popular serviço de rede social online da Rússia, disse Maslennikov. O Kaspersky entrou em contato com o Google na quarta-feira e todas as variantes do CitMo foram excluídas do mercado até quinta-feira.

No entanto, o fato de que os cibercriminosos conseguiram fazer o upload desses aplicativos no Google Play questiona a eficiência do mercado de aplicativos. defesas anti-malware, como o scanner anti-malware Bouncer anunciado pelo Google no início deste ano. "Parece que não é tão difícil contornar as defesas do Google Play, porque o malware continua a aparecer lá regularmente", disse Maslennikov por e-mail.

Bogdan Botezatu, analista sênior de ameaças eletrônicas do fornecedor de antivírus Bitdefender, acredita que pode ser difícil para o Bouncer do Google detectar componentes ZitMo, SpitMo ou CitMo porque eles são funcionalmente semelhantes a alguns aplicativos legítimos.

"O celular A versão do Trojan é responsável apenas por seqüestrar o SMS recebido e encaminhar seu conteúdo para um destinatário diferente, e esse comportamento também é encontrado em aplicativos legítimos, como SMS mana aplicativos avançados ou mesmo aplicativos que permitem ao usuário controlar remotamente seus dispositivos via SMS, no caso de serem roubados ou perdidos ", disse ele por e-mail. "A interceptação de SMS é um recurso que é bem documentado em fóruns, junto com código de amostra. Se o mesmo código de amostra for usado em aplicativos maliciosos e legítimos, será ainda mais difícil de detectar e bloquear."

A capacidade de usar o Google Play para distribuir aplicativos de roubo de SMS oferece vantagens aos cibercriminosos, disse Botezatu. Em primeiro lugar, alguns dispositivos de usuários são configurados para instalar apenas aplicativos obtidos do Google Play. Além disso, os usuários geralmente desconfiam menos de aplicativos baixados via Google Play e prestam menos atenção a suas permissões porque esperam que os aplicativos sejam o que suas descrições afirmam ser, disse ele.