Ewolucja złośliwego oprogramowania I kw. 2014

Przeczytaj także: Ewolucja złośliwego oprogramowania 2013

Trojany bankowości mobilnej
Na początku roku Kaspersky Lab odnotował 1 321 unikatowych plików wykonywalnych dla trojnów bankowości mobilnej, a pod koniec pierwszego kwartału liczba ta zwiększyła się do 2 503. W efekcie w ciągu pierwszych trzech miesięcy tego roku liczba trojanów bakowych wzrosła dwukrotnie.

Podobnie jak wcześniej zagrożenia są najaktywniejsze w Rosji, na Białorusi i Ukrainie:

Faketoken to Trojan bankowy, który wszedł do rankingu Top 20 najczęściej wykrywanych zagrożeń firmy Kaspersky Lab pod koniec kwartału. Zagrożenie to kradnie kody mTAN i współpracuje z trojanami bankowymi tworzonymi dla komputerów. Podczas sesji bankowości online trojany infekujące komputery wykorzystują wstrzykiwanie sieciowe, aby zaszyć w zainfekowanej stronie internetowej żądanie pobierania aplikacji dla Androida, która jest rzekomo niezbędna do przeprowadzania bezpiecznych transakcji, w rzeczywistości jednak odsyłacz prowadzi do Faketoken. Po tym, jak zagrożenie mobilne znajdzie się na smartfonie użytkownika, cyberprzestępcy wykorzystują trojany infekujące komputery w celu uzyskania dostępu do konta bankowego ofiary, a Faketoken pozwala im gromadzić kody mTAN i przesyłać pieniądze ofiary na swoje konta.
Wielokrotnie pisaliśmy, że większość zagrożeń związanych z bankowością mobilną jest tworzonych i wykorzystywanych najpierw w Rosji, a następnie w innych krajach. Jednym z takich programów jest Faketoken. W pierwszych trzech miesiącach 2014 r. Kaspersky Lab wykrył ataki wykorzystujące to zagrożenie w 55 państwach, w tym w Niemczech, Szwecji, Francji, we Włoszech, Wielkiej Brytanii i Stanach Zjednoczonych.

Nowe twory autorów wirusów
Boty kontrolowane za pośrednictwem sieci Tor

Anonimowa sieć Tor, która opiera się na sieci serwerów proxy, oferuje anonimowość użytkownikom i pozwala uczestnikom hostować „anonimowe” strony internetowe w strefie domen .onion. Strony te są następnie dostępne jedynie za pośrednictwem sieci Tor. W lutym Kaspersky Lab wykrył pierwszego trojana dla systemu Android, który jest uruchamiany za pośrednictwem serwera kontroli hostowanego w domenie znajdującej się w pseudostrefie .onion.

Backdoor.AndroidOS.Torec.a stanowi modyfikację Orbota, powszechnie wykorzystywanego klienta sieci Tor, w którym szkodliwi użytkownicy zaszyli własny kod. Należy zauważyć, że aby Backdoor.AndroidOS.Torec.a mógł wykorzystywać sieć Tor, potrzebuje znacznie więcej kodu niż do wykonywania swojej głównej funkcji.

Trojan ten może otrzymywać następujące polecenia z serwera kontroli (C&C):

• rozpocznij/zatrzymaj przechwytywanie przychodzących wiadomości tekstowych
• rozpocznij/zatrzymaj kradzież przychodzących wiadomości tekstowych
• wydaj żądanie USSD
• wyślij dane dotyczące telefonu (numer telefonu, państwo, IMEI, model, wersja systemu operacyjnego) do serwera kontroli
• wyślij listę aplikacji zainstalowanych na urządzeniu mobilnym do serwera kontroli
• wyślij wiadomości tekstowe na wskazany w poleceniu numer

Dlaczego szkodliwi użytkownicy uznali, że potrzebna jest anonimowa sieć? Odpowiedź jest prosta: serwer C&C hostowany w sieci Tor nie może zostać zamknięty. Nawiasem mówiąc, twórcy trojanów przeznaczonych dla Androida przejęli to podejście od twórców wirusów, którzy rozwijają zagrożenia przeznaczone dla systemu Windows.

Kradzieże e-portfeli

Szkodliwi użytkownicy nieustannie poszukują nowych sposobów kradzieży pieniędzy przy użyciu trojanów mobilnych. W marcu Kaspersky Lab wykrył szkodnika o nazwie Trojan-SMS.AndroidOS.Waller.a, który oprócz typowych funkcji trojana SMS potrafi również kraść pieniądze z portfeli QIWI z zainfekowanych telefonów.
Po otrzymaniu odpowiedniego polecenia z centrum kontroli (C&C) trojan sprawdza saldo portfela QIWI, wysyłając wiadomość tekstową na odpowiedni numer systemu QIWI. szkodnik przechwytuje odpowiedź i wysyła ją swoim operatorom.