Video: 201st Knowledge Seekers Workshop - Thursday, December 7, 2017 (Oktober 2024)
SecurityWatch er ikke fremmed for mobil malware, botnet-angreb og bank-trojanere, men de fleste har kun en disig forståelse af, hvordan disse tre ser ud sammen. Hvad er nogle af de største mobilbanktrusler, der påvirker brugerne i dag?
Med tusinder af unikke malware-prøver, der oprettes hver dag, er det let at glemme, at mange af dem er varianter af eksisterende malware ude i naturen. Forskere grupperer dem i malware-familier for at spore, hvordan de udvikler sig. At pirke til mobile malware-familier følte det som at falde ned i det åbenlyse kaninhul. Hvor skal vi hen? Vi bad Web intelligence-selskabet Record Future om at hjælpe os.
Record Future tilbyder en Web intelligence-platform, der analyserer information indsamlet fra en lang række kilder for at linke relateret information og finde mønstre. Malware-infektioner er tilbøjelige til at være gentagne, da de spreder sig over tusinder og millioner af computere, hvilket gør dem lettere at forudsige og spore, fortalte Chris Ahlberg, grundlæggeren af Record Future, til Security Watch.
Den gamle garde
Hvis der var en trivia-konkurrence, og et spørgsmål om tre største mobile bank-trojanere dukkede op, ville Security Watch-teamet let være i stand til at rasle navnene Zeus, SpyEye og Carberp. Zeus, bedstemor til bank-trojanere dukkede første gang op i 2006 og sprang til den mobile platform i 2010. Der har været Zitmo (Zeus-i-the-mobile) varianter til forskellige mobile operativsystemer - det er ikke kun begrænset til Android.
Hvad der er bemærkelsesværdigt med Zeus er, at selv om den egentlige skaber, der kun er kendt for verden som "Slavik", gled i pension for et par år siden, forbliver den meget aktiv, fordi andre kriminelle fortsat har forfinet malware til at være mere modstandsdygtige over for retshåndhævelse og sikkerhedsforsvar.
SpyEye kom ind på scenen i 2009 som en Zeus-rival, og havde i 2010 overgået den ældre bank Trojan i den mængde skade, den forårsagede. SpyEye havde en brugervenlig grænseflade, blev regelmæssigt opdateret og blev solgt på det sorte marked med prismærker fra $ 1.000 til $ 8.500. Det mobile element kom ud i januar 2011.
SpyEye menes at være en af de mest succesrige typer malware i historien, hvilket er ret imponerende i betragtning af at FBI mener, at softwaren blev solgt til kun 150 personer. En kunde, kendt som Soldier, stjal 3, 2 millioner dollars på kun seks måneder.
SpyEyes historie kan være ved at være ved at være slutningen, da masterminden bag SpyEye, Aleksandr Andreevich Panin, erklærede sig skyldig i sammensværgelse for at begå tråd- og båndsvig for nylig og planlægges dømt den 29. april. Eksperter mener, at i modsætning til Zeus, som fortsætter med at forbedre og udvikle sig selv uden den oprindelige skaber ved roret, SpyEye vil forsvinde, og andre bank-trojanere vil indtage sin plads.
At udvikle malware
Banden bag Carberp startede sin operation i 2009, men hoppede faktisk ikke over til mobilområdet før i 2012, hvor forskere fandt ondsindede Android-komponenter, der var maskerede som mobilbank-apps fra Russlands to største banker, Sberbank og Alfa-Bank. Carberp Trojan målrettede ofre i Rusland, Ukraine, Hviderusland, Kazakhstan og Moldova.
Selvom den påståede ringleder af banden, 20 påståede udviklere og otte andre personer, der er forbundet med Carberp, er blevet arresteret af russiske og ukrainske myndigheder, er Carberp-historien ikke forbi, da Carberps kildekode blev lækket i 2013. Meget som Zeus, nogen kan nu ændre Carberp. Det er muligt, at selvom Carberp oprindeligt opholdt sig i Rusland og tidligere sovjetrepublikker, kan der vises nye varianter i Europa, USA eller Latinamerika.
Upstart-trojanerne
Hesperbot og Qadar er de nye børn på blokken for bank malware. Begge opdagede i 2013, de har været travlt i Europa, Asien og Australien. Forskere blev først opmærksomme på Hesperbot i 2013, først i Tyrkiet og derefter i Tjekkoslovakiet. Hesperbot har lignende funktionalitet som SpyEye og Zeus sammen med mere avancerede tricks, såsom muligheden for at oprette en skjult VNC-server på det inficerede system til fjernadgang.
Data viser, at det har spredt sig fra Tyrkiet til Portugal og resten af Europa. Der var rapporter om infektioner i Australien netop denne måned. Hesperbot spreder sig ved hjælp af en ret almindelig (men effektiv!) Teknik: phishing-e-mails, der er maskerede som beskeder fra posttjenester. Ofre bliver narret til at installere Hesperbot-dropper.
Qadars graf er relativt stille, men den er allerede aktiv i Holland, Frankrig, Canada, Indien, Australien og Italien. Ligesom Zeus er det afhængigt af et man-i-browser-angreb for at injicere felter og andre sideelementer på HTML-sider. Brugere bliver narret til at opgive følsomme oplysninger såsom mobilbankoplysninger eller vise forskellige sider for at skjule falske banktransaktioner.
Trojans for mobilbank er meget aktive og målretter brugerenheder for at få adgang til dine bankkonti. Ligesom du beskytter dine pc'er for at forhindre malware-infektioner, skal du være forsigtig med, hvad du gør med dine mobile enheder. Vær forsigtig med, hvilke apps du downloader, og pas på mistænkelige SMS- eller e-mail-meddelelser, der beder dig om personlige oplysninger. Du kan også tjekke vores kig på dårlige apps hver uge på Mobile Threat mandag.
