Säkerhetsfirman varnar för skadlig programvara som skickas via SMS

Flera skadliga Android-appar som är avsedda att stjäla mobila transaktionsautentiseringsnummer (mTAN) som banker skickar till sina kunder via SMS (Short Message Service) hittades på Google Play av forskare från antivirusleverantör Kaspersky Lab.

Apparna skapades av ett gäng som använder en variant av malware för Carberp-banktjänster för att rikta kunderna till flera ryska banker, Denis Maslennikov, en senior malwareanalytiker vid Kaspersky, sade fredagen i ett blogginlägg.

Många banker använder mTANs som en säkerhetsmekanism för att förhindra att cyberkriminella överför pengar från kompromissad online banking ts. När en transaktion initieras från ett onlinebankkonto skickar banken en unik kod som kallas en mTAN via SMS till kontoägarens telefonnummer. Kontoägaren måste mata in den här koden tillbaka till webbbankens webbplats för att transaktionen ska kunna godkännas.

[Ytterligare läsning: Så här tar du bort skadlig kod från din Windows-dator]

För att besegra denna typ av försvar, skapade cyberkriminella skadliga mobilappar som automatiskt döljer SMS-meddelanden mottagna från nummer som är associerade med de riktade bankerna och laddar upp meddelandena tyst till sina servrar. Offren är lurade på att ladda ner och installera dessa appar på sina telefoner via oseriösa meddelanden som visas när de besöker sin banks hemsida från en infekterad dator.

SMS-stjälpprogram har tidigare använts tillsammans med Zeus och SpyEye banks trojanska program och är kända som Zeus -in-the-Mobile (ZitMo) och SpyEye-in-the-Mobile (SpitMo) -komponenterna. Men det här är första gången en rogue mobil komponent som är konstruerad speciellt för Carberp-malware har hittats, sa Maslennikov.

Till skillnad från Zeus och SpyEye, används Carberp Trojan-programmet främst för att rikta onlinekunder från Ryssland och andra rysk- talande länder som Ukraina, Vitryssland eller Kazakstan.

Trojaner som slogs av andra gäng

Enligt en rapport från antivirusleverantören ESET i juli arresterade de ryska myndigheterna folket bakom de tre största Carberp-operationerna. Malware fortsätter dock att användas av andra gäng och säljs på den underjordiska marknaden för priser mellan US $ 5 000 och $ 40 000, beroende på versionen och dess funktioner.

"Det här är första gången vi har sett mobil skadlig komponenter från ett Carberp-gäng ", säger Aleksandr Matrosov, senior malwareforskare hos antivirusleverantör ESET, sade fredag ​​via e-post. "Mobila komponenter används endast av en Carberp-grupp, men vi kan inte avslöja mer detaljer för närvarande."

De nya Carberp-in-the-Mobile-programmen (CitMo) som hittades på Google Play maskerade som mobilapplikationer från Sberbank och Alfa-Bank, två av Rysslands största banker, och VKontakte, den mest populära online-sociala nätverkstjänsten i Ryssland, sa Maslennikov. Kaspersky kontaktade Google onsdagen och alla CitMo-varianter raderades från marknaden torsdagen, menade han.

Det faktum att cyberkriminella lyckades ladda upp dessa appar till Google Play i första hand väcker frågor om effektiviteten hos appmarknaden anti-malware-försvar, till exempel Bouncer anti-malware-skannern som Google meddelade tidigare i år.

"Det verkar som om det inte är så svårt att kringgå Google Plays försvar eftersom skadlig programvara fortsätter att visas där regelbundet," sa Maslennikov via e-post.

Bogdan Botezatu, en äldre e-trussanalytiker hos antivirusleverantören Bitdefender, anser att det kan vara svårt för Googles Bouncer att upptäcka ZitMo, SpitMo eller CitMo-komponenter eftersom de fungerar funktionellt som vissa legitima applikationer.

"Mobilen versionen av Trojan är endast ansvarig för kapning av det mottagna sms och vidarebefordran av innehållet till en annan mottagare, och detta beteende återfinns också i legitima applikationer, såsom SMS mana gement apps eller till och med applikationer som tillåter användaren att fjärrstyra sina enheter via SMS om de blir stulna eller förlorade, säger han via e-post. "SMS-avlyssning är en funktion som är väl dokumenterad på forum, tillsammans med provkoden. Om samma provkod används både i skadliga och legitiska applikationer, skulle det vara ännu svårare att upptäcka och blockera."

Möjligheten att använda Google Play för att distribuera SMS-stjälpprogram erbjuder fördelar för cyberkriminella, sade Botezatu. Först av allt är vissa användaranordningar konfigurerade att bara installera appar som erhållits från Google Play. Dessutom är användarna i allmänhet mindre misstänksamma för appar som hämtats via Google Play och lägger mindre uppmärksamhet åt deras behörigheter eftersom de förväntar sig att programmen ska vara vad deras beskrivningar hävdar är de, säger han.