Kaspersky Lab: szkodliwe programy II 2012

Przeczytaj także: Kaspersky Lab: szkodliwe programy XI 2011

Najpierw Joshua Rubin, inżynier z firmy zVelo, wykrył, w jaki sposób można wybrać PIN, gdyby pewna osoba uzyskała dostęp do telefonu. Dane dotyczące konta bankowego są przechowywane w specjalnej, zabezpieczonej sekcji (Secure Element) czipa NFC, ale hash kodu PIN jest przechowywany w systemie plików telefonu. Do odczytania hasha niezbędny jest dostęp na poziomie root, który można uzyskać przy użyciu dobrze znanych taktyk hakerskich. Ponieważ kody PIN posiadają jedynie cztery cyfry, szkodliwi użytkownicy nie muszą tracić wiele czasu na wypróbowywanie kombinacji w celu trafienia na właściwą sekwencję. Po ustaleniu kodu PIN szkodliwy użytkownik może zakupić produkty przy użyciu konta Google Wallet właściciela telefonu.

Zaledwie jeden dzień po wykryciu tej luki pojawiły się nowe informacje o innej metodzie uzyskania dostępu do czyjegoś konta Google Wallet na znalezionym lub skradzionym telefonie – nawet bez konieczności włamania się do systemu lub uzyskania dostępu na poziomie root. Tym razem została wykorzystana luka w samej aplikacji Google Wallet. Jeżeli ktoś użyje menu właściwości aplikacji i usunie wszystkie dane dotyczące aplikacji Google Wallet, przy następnym uruchomieniu aplikacja poprosi użytkownika o wprowadzenie nowego kodu PIN bez konieczności wprowadzenia poprzedniego PIN-u.

Luki te zostały natychmiast zgłoszone firmie Google, która zawiesiła operacje Google Wallet na kilka dni w celu usunięcia problemów. Później Google ogłosił, że luki w zabezpieczeniach aplikacji zostały usunięte, a usługa uaktualniona. Jednak, 1 marca nadal nie pojawiły się żadne wiadomości o jakichkolwiek rozwiązaniach dla luki wykorzystującej skanowanie w celu ustalenia poprawnego PIN-u. W celu uniemożliwienia dostępu do hashu kodu PIN należy go przechowywać w Secure Element, podobnie jak inne krytyczne dane dotyczące konta bankowego oraz karty kredytowej. Jednak w tym przypadku to banki byłyby odpowiedzialne za bezpieczeństwo kodów PIN w obrębie Secure Element, a nie Google.
Szkodliwi użytkownicy często włamują się na strony internetowe w celu umieszczania w nich szkodliwych programów – szkodliwy kod jest umieszczany w kodzie zhakowanego zasobu. Aby właściciele zhakowanych stron nie zauważyli niczego podejrzanego, stosowane są wszelkiego rodzaju techniki. Na początku lutego Kaspersky Lab zaobserwował falę infekcji obejmujących zaszczepianie szkodliwego kodu pod przykrywką kodu Google Analytics.

Fałszywy kod posiadał kilka charakterystycznych cech:

• W szkodliwym kodzie, w przeciwieństwie do prawdziwego adresu, stosowany jest podwójny myślnik (tj. google--analytics.com zamiast google-analytics.com)
• W rzeczywistym kodzie Google ID konta stanowi unikatowy ciąg zawierający liczby (np. UA-5902056-8) i służy jako unikatowy kod identyfikacyjny strony internetowej. Szkodliwy kod wykorzystuje zamiast tego ciąg “UA-XXXXX-X”.
• Kod zaszczepiony przez szkodliwych użytkowników jest umieszczany na samym początku kodu strony, nawet przed znacznikiem , podczas gdy rzeczywisty kod Google Analytics jest zwykle zlokalizowany na końcu strony.

Jeżeli użytkownik wejdzie na stronę, w której zaszczepiono taki kod, szkodliwy adres google--analytics.com pobierze zaciemniony skrypt Java “ga.js”, a użytkownicy odwiedzający zhakowaną stronę zostaną kilkakrotnie przekierowani, aby następnie trafić na serwer hostujący BlackHole Exploit Kit. W przypadku pomyślnego uruchomienia exploita, komputer użytkownika zostanie zainfekowany szkodliwym oprogramowaniem.

Obecnie fałszywa strona google-analytics.com nie działa. Niektóre zhakowane strony internetowe nadal zawierają fałszywy kod Google Analytics, jest on jednak nieszkodliwy (przynajmniej na razie).