Avviso di sicurezza del malware che ruba dati bancari inviati tramite SMS

Diverse app Android dannose progettate per rubare i numeri di autenticazione delle transazioni mobili (mTAN) inviati dalle banche ai propri clienti tramite SMS (Short Message Service) sono stati trovati su Google Play dai ricercatori del fornitore di antivirus Kaspersky Lab.

Le app sono state create da una banda che utilizza una variante del malware bancario Carberp per rivolgersi ai clienti di diverse banche russe, Denis Maslennikov, un

Molte banche usano gli mTAN come meccanismo di sicurezza per impedire ai criminali informatici di trasferire denaro da un conto bancario online compromesso ts. Quando una transazione viene avviata da un conto bancario online, la banca invia un codice univoco chiamato mTAN via SMS al numero di telefono del proprietario dell'account. Il proprietario dell'account deve inserire di nuovo quel codice nel sito web di banking online per consentire l'autorizzazione della transazione.

[Ulteriori letture: Come rimuovere il malware dal tuo PC Windows]

Per sconfiggere questo tipo di difesa I criminali informatici hanno creato app mobili dannose che nascondono automaticamente i messaggi SMS ricevuti dai numeri associati alle banche di destinazione e caricano silenziosamente i messaggi sui loro server. Le vittime vengono ingannate dal download e dall'installazione di queste app sui loro telefoni tramite messaggi illegali visualizzati quando visitano il sito Web della loro banca da un computer infetto.

Le app per rubare SMS sono state precedentemente utilizzate insieme ai programmi di trojan Zeus e SpyEye e sono conosciute come Zeus -in-the-Mobile (ZitMo) e SpyEye-in-the-Mobile (SpitMo) componenti. Tuttavia, questa è la prima volta che un componente mobile canaglia progettato specificamente per il malware Carberp è stato trovato, ha detto Maslennikov.

A differenza di Zeus e SpyEye, il programma Carberp Trojan viene utilizzato principalmente per rivolgersi ai clienti delle banche online dalla Russia e altri russi- Paesi parlanti come l'Ucraina, la Bielorussia o il Kazakistan.

Troiani usurpati da altre bande

Secondo un rapporto di luglio del produttore di antivirus ESET, le autorità russe hanno arrestato le persone dietro le tre principali operazioni Carberp. Tuttavia, il malware continua ad essere utilizzato da altre gang e viene venduto sul mercato sotterraneo a prezzi compresi tra $ 5,000 e $ 40,000, a seconda della versione e delle sue caratteristiche.

"Questa è la prima volta che vediamo malware mobile componenti di una banda Carberp, "Aleksandr Matrosov, ricercatore di malware senior presso il fornitore di antivirus ESET, ha dichiarato venerdì via email. "I componenti mobili sono utilizzati solo da un gruppo Carberp, ma al momento non possiamo rivelare ulteriori dettagli."

Le nuove app Carberp-in-the-Mobile (CitMo) trovate su Google Play mascherate come applicazioni mobili da Sberbank e Alfa-Bank, due delle maggiori banche della Russia, e VKontakte, il servizio di social networking online più popolare in Russia, ha detto Maslennikov. Kaspersky ha contattato Google mercoledì e tutte le varianti CitMo sono state cancellate dal mercato entro giovedì, ha detto.

Tuttavia, il fatto che i criminali informatici siano riusciti a caricare queste app su Google Play solleva in primo luogo domande sull'efficienza del mercato delle app difese anti-malware, come lo scanner anti-malware Bouncer annunciato da Google all'inizio di quest'anno.

"Sembra che non sia così difficile aggirare le difese di Google Play perché il malware continua ad apparire regolarmente", ha detto Maslennikov via email.

Bogdan Botezatu, analista senior di e-threat presso il fornitore di antivirus Bitdefender, ritiene che potrebbe essere difficile per Google Bouncer rilevare i componenti ZitMo, SpitMo o CitMo perché sono funzionalmente simili ad alcune applicazioni legittime.

"Il cellulare la versione del Trojan è responsabile solo con il dirottamento degli SMS ricevuti e l'inoltro dei suoi contenuti a un destinatario diverso, e questo comportamento si trova anche in applicazioni legittime, come ad esempio SMS mana applicazioni gement o anche applicazioni che consentono all'utente di controllare da remoto i propri dispositivi tramite SMS in caso di furto o smarrimento ", ha affermato via email. "L'intercettazione di SMS è una funzionalità ben documentata nei forum e un codice di esempio, se lo stesso codice di esempio viene utilizzato in applicazioni dannose e legittime, sarebbe ancora più difficile da rilevare e bloccare."

La possibilità di utilizzare Google Play per distribuire app per rubare SMS offre vantaggi ai criminali informatici, ha detto Botezatu. Prima di tutto, alcuni dispositivi utente sono configurati per installare solo app ottenute da Google Play. Inoltre, gli utenti sono generalmente meno sospettosi delle app scaricate tramite Google Play e prestano meno attenzione alle loro autorizzazioni perché si aspettano che le applicazioni siano ciò che le loro descrizioni sostengono di essere, ha detto.