Szkodliwe oprogramowanie finansowe w 2013 roku

Przeczytaj także: Cyberbezpieczeństwo w firmach: brakuje spójności

Mobilne szkodliwe oprogramowanie atakujące klientów bankowości online nie jest niczym nowym. ZitMo (mobilny „brat bliźniak” Zeusa, niesławnego trojana bankowego dla systemów Win32) znany jest od 2010 roku, jednak dopiero od niedawna jest wykorzystywany w atakach masowych. Wynika to częściowo z jego ograniczonej funkcjonalności: ZitMо mógł działać tylko we współpracy z wersją Zeusa przeznaczoną dla komputerów stacjonarnych. Program „partnerski” przechwytuje dane uwierzytelniające transakcje bankowości online ofiary, a następnie pałeczkę przejmuje ZitMo, do którego należy uzyskiwanie jednorazowych haseł wykorzystywanych w systemach bankowości online służących do autoryzacji transakcji i wysyłanie ich cyberprzestępcom, którzy wykorzystają te dane do kradzieży pieniędzy z kont bankowych ofiar.

Podobne oszustwo zastosowano w 2013 r.: w tym czasie główni konkurenci Zeusa - SpyEye (SpitMo) oraz Carberp (CitMo) również zapewnili sobie „młodszych braciszków”. Nic nie wskazuje jednak na to, że szkodniki te spowodowały ogromną liczbę ataków. Na czarnym rynku cyberzagrożeń pojawiło się więcej „autonomicznych” programów trojańskich, które potrafią współpracować ze swoimi odpowiednikami dla komputerów stacjonarnych.
Przykładem jest trojan Svpeng, który został wykryty przez ekspertów z Kaspersky Lab w lipcu 2013 r. Trojan ten wykorzystuje sposób działania niektórych rosyjskich systemów bankowości mobilnej w celu kradzieży pieniędzy z kont bankowych swoich ofiar.

Klienci niektórych dużych banków rosyjskich mogą doładować konta telefonów komórkowych, przelewając pieniądze ze swoich kart bankowych. W tym celu mogą wysłać wiadomość tekstową na określony numer obsługiwany przez bank. Svpeng wysyła wiadomości do serwisów SMS dwóch z takich banków. Dzięki temu właściciel Svpenga może ustalić, czy któreś z kart wydanych przez te banki są powiązane z numerem zainfekowanego smartfona, i jeśli istnieje takie konto, uzyskać informacje o saldzie. Następnie przestępca może poinstruować Svpenga, aby przelał pieniądze z konta bankowego ofiary na powiązane z nim konto na telefonie komórkowym.
Pieniądze mogą „wypłynąć” z konta mobilnego na wiele sposobów – np. poprzez przelanie ich do portfela online przy użyciu strony zarządzania kontem użytkownika na stronie operatora telefonii komórkowej lub po prostu poprzez wysłanie wiadomości na numery premium. Svpeng posiada również dodatkową funkcję kradzieży danych uwierzytelniających transakcje bankowości online użytkownika.

Dwa kolejne przykłady niebezpiecznych trojanów bankowych wykrytych przez ekspertów z Kaspersky Lab to Perkele i Wroba. Ten pierwszy przypomina ZitMo – jego główną funkcją jest przechwytywanie jednorazowych haseł (umożliwiających autoryzację transakcji). Drugi przeszukuje zainfekowane urządzenia mobilne w celu zidentyfikowania aplikacji bankowości online i usuwa wszystkie, które znajdzie, zastępując je fałszywymi kopiami, które są następnie wykorzystywane do gromadzenia danych uwierzytelniających użytkownika i wysyłania ich cyberprzestępcom.

Chociaż większość ataków wykorzystujących wykryte przez Kaspersky Lab trojany bankowości mobilnej miało miejsce na terenie Rosji i sąsiednich państw, Perkele atakował użytkowników niektórych banków europejskich, a Wroba – użytkowników z Korei Południowej.
W ujęciu bezwzględnym liczba wykrytych przez produkty firmy Kaspersky Lab ataków, które wykorzystują szkodliwe oprogramowanie finansowe, a ich celem są użytkownicy mobilni, jest jak dotąd stosunkowo niewielka, jednak stale rośnie – jest to wyraźny trend występujący od ponad sześciu miesięcy. To oznacza, że użytkownicy urządzeń mobilnych, szczególnie tych działających na platformie Android, powinni być niezwykle ostrożni, jeśli chodzi o bezpieczeństwo ich danych finansowych.

Również użytkownicy urządzeń opartych na systemie iOS nie powinni czuć się bezpiecznie. Chociaż jak dotąd nie miał miejsca zalew szkodliwego oprogramowania stworzonego w celu kradzieży poufnych danych właścicieli iPhonów i iPadów, w systemach operacyjnych nieustannie wykrywane są błędy, które umożliwiają pojawienie się takiego szkodliwego oprogramowania. Jednym z najnowszych przykładów jest błąd znaleziony przez badaczy pod koniec lutego 2014 roku, który umożliwia osobom atakującym rejestrowanie znaków wprowadzanych przez użytkownika na klawiaturze dotykowej swojego urządzenia. Cyberprzestępcy mogą wykorzystać tę lukę w celu kradzieży poufnych informacji, w tym danych uwierzytelniających transakcje bakowe online.