Учебник по троянам с российского форума вызвал волну атак на банки

Первопричина волнытроянцев Эксперты компаний Fortinet, Checkpoint и «Доктор Веб» нашлиобъяснение недавнему резкому росту количества банковских троянов для платформыAndroid, отследив начало волны до одного-единственного поста на андерграундномрусскоязычном форуме Exploit.in. Некто под ником maza-in опубликовал тамучебник по созданию банковского трояна с примером кода. Это привело клавинообразному росту количества клонов. Появление всплеска датировано началом зимы 2016 г. Именнотогда на хакерском форуме появились подробные инструкции, как написатьбанковский троян с базовыми функциями — BankBot. Сразу после этого эксперты «ДоктораВеб» обнаружили многочисленные атаки с помощью этого трояна, нацеленные нароссийские банки. Через некоторое время в Google Play начали появляться приложения,содержащие этот троян. Как отмечает автор статьи в Bleeping Computer, maza-in нетолько опубликовал учебник и исходный код для BankBot, но и пригласилпоразвлечься всех желающих и регулярно обновлял информацию о своем детище. http://filearchive.cnews.ru/img/zoom/2017/04/17/haker1_648.jpg"> Учебник по троянам: один пост на подпольном форуме привел к всплеску активности BankBot В итоге исследователь [b]ЛукасСтефанко[/b] (Lucas Stefanko), сотрудничающий с Securify и ESET, насчитал более60 кампаний по распространению разных вариаций BankBot. Большая часть этихкампаний пришлась на апрель-июнь 2017 г. [b]Обфускация как билетв Google Play[/b] Эксперты компании Check Point согласны с исследователями «ДоктораВеб» в том, что всплеск BankBot напрямую связан с публикацией кода наExploit.in. Что же касается попадания в Google Play, то, по мнению специалистовCheck Point и их коллег из Fortinet, зловред использует мощную обфускацию (запутывание)кода, и именно поэтому автоматизированные средства проверки Google навредоносность пропускают эти приложения. В интервью Forbes maza-in заявил, что сам он не являетсякиберпреступником, что BankBot написал совсем другой человек, а он всего лишьхотел показать, как просто обойти механизмы безопасности в Android. В Check Point, однако, уверены, что BankBot написал именноmaza-in. Есть также свидетельства того, что автор этой вредоносной программызанимался разработкой еще одного банковского трояна, известного под названиемMazar Bot, чей пик активности пришелся на 2015-2016 гг. Mazar, по-видимому, является доработанной версией другойвредоносной программы, GM Bot, которую эксперты называют одним из самыхпродвинутых банковских троянов. Несколько разных разработчиков купили его код(прежде, чем произошла его утечка) и использовали в своих собственных изделиях.Так появились Bankosy, Acecard, SlemBunk и Mazar Bot. Именно благодаря коду GM Bot maza-in получил нужные навыки:функциональность BankBot намного превосходит базовую по всем показателям. Этоттроян способен перекрывать собственными оверлеями многочисленные банковскиеприложения на разных версиях Andorid, перехватывать SMS и USSD-коды для обходадвухфакторной верификации, красть логины и пароли из множества приложений,причем далеко не только банковских. При этом он конфигурирован таким образом,что злоумышленнику, решившему им воспользоваться, потребуется только добавитьфейковый интерфейс приложения, которое он хочет атаковать. Никаких техническихнавыков сверх этого для использования троянца не требуется. «Вредоносные инструменты, с помощью которых кибератаки можетсовершать любой желающий, вне зависимости от наличия у него хакерских навыков,— это проблема, масштабы которой растут год от года, — отмечает [b]Ксения Шилак[/b], директор по продажам компанииSEC-Consult. — Даже если сами конечныеоператоры банковских троянцев ничего не умеют, они "берут числом". Вто время как Google постоянно совершенствует защиту своей операционной системыи магазина Google Play, проблема сохраняется. Системное противодействиебанковским троянцам должны уметь оказывать сами конечные пользователи».[img]http://filearchive.cnews.ru/img/zoom/2017/04/17/haker1_648.jpg"> Учебник по троянам: один пост на подпольном форуме привел к всплеску активности BankBot В итоге исследователь ЛукасСтефанко (Lucas Stefanko), сотрудничающий с Securify и ESET, насчитал более60 кампаний по распространению разных вариаций BankBot. Большая часть этихкампаний пришлась на апрель-июнь 2017 г. Обфускация как билетв Google Play Эксперты компании Check Point согласны с исследователями «ДоктораВеб» в том, что всплеск BankBot напрямую связан с публикацией кода наExploit.in. Что же касается попадания в Google Play, то, по мнению специалистовCheck Point и их коллег из Fortinet, зловред использует мощную обфускацию (запутывание)кода, и именно поэтому автоматизированные средства проверки Google навредоносность пропускают эти приложения. В интервью Forbes maza-in заявил, что сам он не являетсякиберпреступником, что BankBot написал совсем другой человек, а он всего лишьхотел показать, как просто обойти механизмы безопасности в Android. В Check Point, однако, уверены, что BankBot написал именноmaza-in. Есть также свидетельства того, что автор этой вредоносной программызанимался разработкой еще одного банковского трояна, известного под названиемMazar Bot, чей пик активности пришелся на 2015-2016 гг. Mazar, по-видимому, является доработанной версией другойвредоносной программы, GM Bot, которую эксперты называют одним из самыхпродвинутых банковских троянов. Несколько разных разработчиков купили его код(прежде, чем произошла его утечка) и использовали в своих собственных изделиях.Так появились Bankosy, Acecard, SlemBunk и Mazar Bot. Именно благодаря коду GM Bot maza-in получил нужные навыки:функциональность BankBot намного превосходит базовую по всем показателям. Этоттроян способен перекрывать собственными оверлеями многочисленные банковскиеприложения на разных версиях Andorid, перехватывать SMS и USSD-коды для обходадвухфакторной верификации, красть логины и пароли из множества приложений,причем далеко не только банковских. При этом он конфигурирован таким образом,что злоумышленнику, решившему им воспользоваться, потребуется только добавитьфейковый интерфейс приложения, которое он хочет атаковать. Никаких техническихнавыков сверх этого для использования троянца не требуется. «Вредоносные инструменты, с помощью которых кибератаки можетсовершать любой желающий, вне зависимости от наличия у него хакерских навыков,— это проблема, масштабы которой растут год от года, — отмечает Ксения Шилак, директор по продажам компанииSEC-Consult. — Даже если сами конечныеоператоры банковских троянцев ничего не умеют, они "берут числом". Вто время как Google постоянно совершенствует защиту своей операционной системыи магазина Google Play, проблема сохраняется. Системное противодействиебанковским троянцам должны уметь оказывать сами конечные пользователи».