KnigaRead.com/

Валентин Холмогоров - Pro Вирусы

На нашем сайте KnigaRead.com Вы можете абсолютно бесплатно читать книгу онлайн Валентин Холмогоров, "Pro Вирусы" бесплатно, без регистрации.
Перейти на страницу:

В 2011 году появился и первый банковский троянец для платформы Android: это Android.SpyEye.1. Риску заражения вредоносной программой Android.SpyEye.1 подвергались в первую очередь пользователи, компьютеры которых уже инфицированы троянской программой SpyEye. При обращении к различным банковским сайтам, адреса которых присутствуют в конфигурационном файле троянца, в просматриваемую пользователем веб-страницу осуществлялась инъекция постороннего содержимого, которое может включать различный текст или веб-формы.

Таким образом, ничего не подозревающая жертва загружала в браузере настольного компьютера или ноутбука веб-страницу банка, в котором у нее открыт счет, и обнаруживала сообщение о том, что банком введены в действие новые меры безопасности, без соблюдения которых пользователь не сможет получить доступ к системе «банк — клиент», а также предложение загрузить на мобильный телефон специальную программу, якобы содержащую «электронные ключи безопасности», а в самом деле представляющую собой троянца. Некоторые банковские троянцы внедряют в веб-страницы банка целые подробные инструкции по установке таких мобильных приложений. В альтернативном варианте пользователю будет предложено ввести в специальное поле номер своего мобильного телефона, на который он получит СМС-сообщение со ссылкой для скачивания «необходимой» программы, являющейся в действительности вредоносной.

После загрузки и инсталляции на мобильном устройстве Android.SpyEye.1 перехватывает и отправляет злоумышленникам все входящие СМС-сообщения. Таким образом злоумышленники осуществляют эффективный обход так называемой двухфакторной аутентификации — способа проверки подлинности платежа при помощи передаваемых через СМС одноразовых паролей (mTAN-кодов).

В наши дни для обхода банковских систем двухфакторной аутентификации злоумышленники используют более «продвинутые» и гибко настраиваемые мобильные вредоносные приложения, например троянцев семейства Android.SmsSpy (некоторые из них также известны под именем Perkele).

Как видим, принцип работы и функциональные возможности большинства современных банковских троянцев в целом схожи, да и цели, которые преследуют вирусописатели, также практически одинаковы, различается только конкретная техническая реализация этих задач.

Рис. 2. Пример обхода банковской системы двухфакторной аутентификации с использованием одноразовых паролей (mTAN-кодов): 1 — в момент захода пользователя в систему «банк — клиент» действующий на его компьютере троянец требует для продолжения работы ввести во внедренное на веб-страницу банка поле номер мобильного телефона клиента; 2 — на мобильный телефон клиента приходит СМС со ссылкой на установку банковского троянца для Android; 3 — клиент вводит свои учетные данные в форму на странице банка, вся информация из которой передается троянцем злоумышленникам; 4 — мобильный троянец перехватывает поступающее на телефон СМС-сообщение с одноразовым паролем (mTAN-кодом) и также пересылает его злоумышленникам.


Отдельную категорию угроз составляют мобильные банковские троянцы для ОС Android, паразитирующие на программах класса «мобильный банк». Наиболее примитивные из них просто заменяют собой настоящее мобильное банковское приложение или «рисуют» поверх него собственную форму для ввода учетных данных, которые неза­медлительно передаются злоумышленникам. Разумеется, мобильные банковские троянцы способны перехватывать и передавать киберпреступникам все входящие СМС-сообщения, в том числе содержащие одноразовые пароли и коды авторизации. Более «продвинутые» троянцы данного типа умеют не просто красть аутентификационные данные, а похищать средства с расчетного счета пользователя, управляя транзакциями с использованием СМС-команд или интерфейса самого банковского приложения. При этом с точки зрения самого банка подобные транзакции будут выглядеть легитимными, поскольку осуществлялись они с телефона, номер которого «привязан» к счету клиента, а кроме того в процессе выполнения банковских операций была зафиксирована успешная авторизация мобильной банковской программы на сервере банка. Вернуть похищенные таким образом средства жертве киберпреступников становится впоследствии очень затруднительно.

Веб-инжекты

Веб-инжекты — это не отдельный вид вредоносных программ, а специальная технология, используемая различными вирусами и троянскими программами для достижения своих целей, например банковскими троянцами и троянцами-вымогателями. Эта технология уже кратко упоминалась в предыдущем разделе при описании одного из способов обхода двухфакторной аутентификации в процессе хищения средств с банковских счетов пользователей.

Под веб-инжектом принято понимать встраивание вирусом или троянцем постороннего содержимого в просматриваемую пользователем в окне браузера веб-страницу. Отдельно следует упомянуть, что этот процесс осуществляется на стороне пользователя, то есть непосредственно на инфицированном компьютере работающей на нем вредоносной программой. Иными словами, жертва веб-инжекта наблюдает правильный URL — корректный адрес веб-страницы в адресной строке браузера, если соединение выполняется с использованием защищенного протокола HTTPS, это условие также соблюдается, а вот содержимое веб-страницы будет отличаться от оригинального. С какой целью вирусописатели добавляют в свои творения функционал для осуществления веб-инжектов?

Прежде всего этой технологией активно пользуются многочисленные банковские троянцы для реализации различных схем финансового мошенничества. Например, в веб-страницу сайта банка может быть встроена фальшивая форма для ввода логина и пароля (данные из которой впоследствии передаются злоумышленникам), сообщение со ссылкой о необходимости установить для входа в систему «банк — клиент» дополнительное приложение, «сертификат безопасности» или программу для мобильного телефона, под видом которых распространяется мобильное вредоносное ПО и т. д.

Полученное браузером с сервера содержимое веб-страницы модифицируется троянцем перед загрузкой и демонстрацией ее в окне браузера и происходит для потенциальной жертвы совершенно незаметно. При этом отображаемый вредоносной программой контент гибко настраивается с помощью специального конфигурационного файла, который троянец может загрузить с принадлежащего злоумышленникам узла. Это позволяет киберпреступникам, во-первых, оперативно менять оформление встраиваемых в веб-страницу элементов, включая содержащиеся в них изображения и текст, а также путем однократного внесения изменений на управляющем сервере настроить параметры веб-инжекта сразу на всех зараженных компьютерах.

Рис. 3. Стандартная схема веб-инжекта: 1 — компьютер клиента запрашивает у сервера веб-страницу; 2 — сервер передает веб-страницу на локальный клиентский компьютер; 3 — заразивший этот компьютер троянец встраивает в веб-страницу постороннее содержимое; 4 — модифицированная веб-страница отображается в окне браузера


С технической точки зрения наиболее ранние реализации механизма веб-инжектов были довольно примитивными: например, на страницах популярных интернет-магазинов троянец мог разместить поддельную форму для ввода реквизитов банковской карты, используя которые, злоумышленники впоследствии совершали несанкционированные держателем карты покупки (приобретенные таким способом дорогостоящие товары впоследствии сбывались различными способами, например, через системы онлайн-аукционов или электронных досок объявлений). Позже встраиваемое в веб-страницы содержимое стало использовать различные интерактивные элементы, в частности, сценарии на языке JavaScript или функции библиотеки jQuery для имитации действий пользователя или сокрытия последствий хищения.

Так, после проведения несанкционированной транзакции с использованием системы «банк — клиент» некоторые банковские троянцы в течение определенного времени демонстрировали пользователю прежнее значение баланса по счету, чтобы усыпить его бдительность. В другом, известном специалистам по информационной безопасности, случае троянец в момент входа в систему «банк — клиент» отображал на экране пользователя сообщение о том, что на его счет была ошибочно зачислена некая денежная сумма с просьбой вернуть ее отправителю на указанный номер счета. Одновременно с этим при помощи веб-инжекта вредоносная программа показывала информацию о состоянии счета, на котором действительно отражалась эта «лишняя» сумма — в самом деле указанная информация являлась, конечно, недостоверной. Жертва сама переводила злоумышленникам деньги, даже не подозревая об обмане.

Перейти на страницу:
Прокомментировать
Подтвердите что вы не робот:*