Do nitra zákeřného spamu: co skrývá exekuční příkaz?

Nebezpečný spam míří na klienty čtyř českých bank. Jak přesně funguje, jak modifikuje stránky banky a jak obejde SMS autorizaci plateb? Podívejte se na rozbor od odborníků.

V různé podobě už ho dostal do své e-mailové schránky snad každý - spam s výzvou k zaplacení dluhu, v poslední vlně povýšený hrozbou exekuce. O jeho výskytu už jsme informovali, stejně tak přinesli odpovědi na nejčastější otázky. Ale možná jste také zvědaví, jak přesně takový spam funguje a co se vlastně stane, když inkriminovanou přílohu otevřete a spustíte. To se dnes dozvíte.  

Klepněte pro větší obrázek 
V různých modifikacích jmen a čísel se teď českými e-maily šíří podobné zprávy

Sami v redakci nedisponujeme dešifrovacím arzenálem a potřebnými znalostmi k analýze malwaru, proto využijeme bezpečnostních specialistů od Avastu, kteří to mají naopak v popisu práce. Autorem níže uvedeného textu je proto Jaromír Hořejší, analytik malwaru společnosti Avast!. Jeho článek se původně objevil na blogu Avastu, se svolením jej publikujeme zde.

Co číhá v příloze

Pojďme se na tuto hrozbu podívat podrobněji: Příloha má název prikaz0581762789F75478F.zip, po jejím rozbalení uvidíme jediný soubor: prikaz-15.07.2014-signed_1295311881CC7544E.exe (čísla jsou generována náhodně).

Klepněte pro větší obrázek Klepněte pro větší obrázek 
Že se nejedná o dokument, ale o aplikaci, si ani nemusíte uvědomit. Obzvlášť, pokud v Průzkumníku stadnardně nepoužíváte výpis s podrobnostmi nebo nemáte zapnuté zobrazení koncovek souborů.

Tato spustitelná příloha typu EXE obsahuje zašifrovaný kód. Po odstranění šifrování jsme zjistili, že se jedná o program, který na pozadí stáhne, rozbalí a spustí další škodlivý soubor. Zároveň také otevře textový dokument, který obsahuje výše zmíněný exekutorský příkaz, čímž zaujme uživatele a zdrží ho natolik, aby se další úroveň kódu stihla stáhnout a rozbalit. Tato první fáze je dobře popsána našimi kolegy z AVG na jejich blogu.

Cílí se na čtyři české banky

Tento další soubor, který byl stažen během čtení falešného dopisu, je šifrován stejným způsobem jako první zmíněný. Stahovaným souborem je bankovní trojan známý pod jménem Tinba (z anglického TINy BAnker). Jméno je založeno na faktu, že po dešifrování je velmi krátký – jen okolo 30 KB.

Nebudeme se nyní zabývat detaily spouštění tohoto druhého souboru, protože nejde o nic nového (pro zájemce odkážeme na detailní analýzu z roku 2012), ale na chvíli se pozastavíme u konfiguračního souboru.

Přenášená data se šifrují RC4 šifrou s pevným heslem, které je zobrazeno v obrázku níže:

Klepněte pro větší obrázekKlepněte pro větší obrázek

Po dešifrování získáváme konfigurační soubor. Z něho je jasně patrné, že útok je cílen na uživatele čtyř českých bankČeská spořitelnaČSOBEra (Poštovní spořitelna) a Fio.

Klepněte pro větší obrázek 
Cílí se na čtyři české banky: Česká spořitelna, ČSOB, Poštovní spořitelna a Fio

Vlastní kradení citlivých dat probíhá vložením škodlivého kódu do oficiálních stránek bank. Konfigurační skripty jsou staženy z C&C serverů (stroje patřící útočníkům, sloužící pro ovládání botnetu) a dešifrovány výše zmíněným způsobem. Zajímavostí je znovupoužití stejného formátu konfiguračních souborů známých bankovních trojanů Carberp a Spyeye.

Pro každé botuid (unikátní hodnota, která identifikuje prostředí uživatele) se uloží seznam uživatelských jmen a hesel na C&C serveru. Další skripty jsou stahovány v závislosti na použité bance, buď tedy hXXps://andry-shop.com/gate/get_html.js;hXXps://andry-shop.com/csob/gate/get_html.js; resp.hXXps://yourfashionstore.net/panel/a5kGcvBqtVkteré se stáhnou, pokud oběť navštíví webové stránky České spořitelny, ČSOB, resp. Fia.

Účelem těchto skriptů je přesměrování oběti na stránku, která nabádá ke stažení různých verzí aplikace OPTdirekt. Uživateli jsou nabízeny varianty pro Android, Windows Phone, Blackberry i iPhone, pouze Android verze však vede ke stažení škodlivé aplikace do telefonu. Majitelé ostatních zařízení jsou odbyti zprávou, že mají požadavek opakovat později. Tato škodlivá aplikace slouží bezesporu k tomu, aby útočník získal přístup i k nejběžnějšímu autentifikačnímu prostředku jednotlivých bank, a to k mobilnímu telefonu.

Na níže uvedeném obrázku je vidět, že formát konfiguračního souboru je kompatibilní s nástroji používanými bankovními trojany Spyeye a Carberp.

Klepněte pro větší obrázek

A na dalších obrázcích můžete vidět stránky internetového bankovnictví ěské spořitelný a Fio banky po vložení škodlivého kódu:

Klepněte pro větší obrázek Klepněte pro větší obrázek 

Když se oběť přihlásí k internetovému bankovnictví, je jí sděleno, že je nutné stáhnout aplikaci pro zajištění vyšší bezpečnosti spojení. Oběť zvolí nejprve operační systém svého telefonu. Pokud zvolí Android, zobrazí se QR kód, který oběť nakonec dovede až ke stažení škodlivé aplikace.

Klepněte pro větší obrázek Klepněte pro větší obrázek Klepněte pro větší obrázek 
Při pokusu o přihlášení je klient vyzván ke stažení aplikace. V případě volby Androidu se zobrazí QR kód s odkazem ke stažení.

Odkaz z QR kódu je zkrácen prostřednictvím služby bit.ly, která již zřejmě zareagovala a zobrazí varování – v tomto případě je tedy třeba ještě jeden krok navíc, který by měl uživatele odradit.

Pokud je aplikace stažena, tak je uživateli poděkováno za použití aplikace OTPdirekt. Aplikaci detekuje avast! jako Android:Perkele-T.

Klepněte pro větší obrázek Klepněte pro větší obrázek 
Ukázka podvodné aplikace ve všech verzích, tedy v barvách všech čtyř napadených bank

Co prozradil kód

Z kódu vloženého do bankovních stránek můžeme odvodit následující:

1. Komentář “Instrukciya” je rusky, což může znamenat, že za útokem stojí rusky mluvící útočníci.

Klepněte pro větší obrázek

2. SMS zprávy z infikovaného telefonu jsou přeposílány na níže uvedené číslo, které je registrováno v oblasti Astrachán, v jižní části Ruska.

Klepněte pro větší obrázek

3. Virus se snaží maskovat svoji aktivitu skrýváním již proběhnutých (nelegálních) transakcí a stavu účtu pomocí nahrazení zdrojového kódu webové stránky, jak se můžete sami přesvědčit na obrázku níže.

Klepněte pro větší obrázek

4. Autoři viru se pravděpodobně v prvotní fázi zaměřovali na klientelu se stavem účtu větším než 70 000 Kč, ale tato strategie byla nejspíše změněna na všechny klienty banky. Na následující ukázce zdrojového kódu si můžete všimnout, že pokud stav účtu nedosahoval 70 000 Kč, odesílala se pouze informace o instalaci viru s číslem bankovního účtu. V opačném případě se navíc zasílala informace o stavu účtu. Tento kód byl následně zakomentován a nahrazen druhou variantou.

Klepněte pro větší obrázek

Jak se chránit?

V právním prostředí České republiky není přípustné zasílání exekučního přikazu elektronickou poštou. Za prvé, úřady neevidují k občanům jejich e-mailové adresy. Za druhé, každý e-mail, který není opatřen digitálním podpisem, může být snadno zfalšován včetně údajů o jeho odesílateli. Jedinou možností jak doručit exekuční příkaz elektronicky, je použití datové schránky. Účinnou obranou tak zůstává zdravý rozum a ignorace podobných e-mailů, speciálně těch, které mají spustitelnou *.exe příponu souboru. Ta ovšem nemusí být na první pohled zřejmá, neboť virus může mít stadardní ikonu a v případě názvu “exekuce.docx.exe” může uživatel vidět pouze část “exekuce.docx”, proto důrazně doporučujeme vypnout možnost „Skrýt příponu známých typů“ ve Windows.

Tyto metody útočníků, u kterých se využívá téměř profesionálně napsaných e-mailů, jsou tak účinné, že dokonce v našem okolí známe několik příkladů, kdy ke spuštění škodlivého souboru došlo. Přestože banky využívají mobilní telefony jako jeden z nejrozšířenějších způsobů autentifikace uživatelů, pokročilejší autoři malwaru si našli způsob, jak toto obejít.

Jako prevenci doporučujeme instalovat avast! Free Mobile Security & Antivirus z Obchodu Google Play.

Na této analýze se podíleli:  Jaromír HořejšíPeter KálnaiDavid Fišer, Jan Zíka


Z výše uvedeného rozboru vyplývá, že po otevření přílohy se do počítače dostane malware, který pozmění (nepřesměruje!) stránku internetového bankovnictví. Při pokusu o přihlášení jsou tím pádem okamžitě odziceny přihlašovací údaje. Následuje výzva ke stažení mobilní aplikace a v případě, že má klient chytrý mobilní telefon s operačním systémem Android, může ji nainstalovat. Ta následně přeposílá ověřovací SMS zprávy z banky na jiné číslo. Útočník tak získává plnou kontrolu nad internetovým bankovnictvím a navíc ve výpisech maskuje své transakce. 

Případ ženy, která tímto způsobem přišla o více než 400 tisíc korun, už tolik nepřekvapí. Stačí rutinně otevřít e-mail a řídit se instrukcemi, aniž by se člověk trochu zamyslel nad jeho obsahem. Přelstít neznalost uživatelů o nebezpečnosti spustitelných příloh či neautorizovaných mobilních aplikac je pak už docela snadné. 

Mohlo by vás také zajímat:

Témata článku: Software, Bezpečnost, Mobility

53 komentářů

Nejnovější komentáře

  • Kaja_33 20. 7. 2014 22:16:07
    Tak jsem si říkal, co asi dělá naše policie. Jak šetří těch několik tisíc...
  • Vladimír Huf 19. 7. 2014 8:01:48
    "Vlastní kradení citlivých dat probíhá vložením škodlivého kódu do...
  • X 19. 7. 2014 1:06:32
    "bankovnictví ěské spořitelný" Mám problém. Jak do Nokie 3210...

Určitě si přečtěte


Deset tipů, jak ovládnout Google: Vyhledávejte jako mistři

Deset tipů, jak ovládnout Google: Vyhledávejte jako mistři

** Vyhledávače jsou natolik dobré, že si poradí i s frází v běžné češtině ** Pokud to ale nebude stačit, můžete vyzkoušet pokročilé funkce ** Vybrali jsme ty nejzajímavější

25.  9.  2016 | Jakub Čížek | 18

9 nejlepších programů na úpravu fotek. Placené i zdarma

9 nejlepších programů na úpravu fotek. Placené i zdarma

** Pro běžné úpravy fotek nemusíte pirátit Photoshop, vystačíte si s levnějšími programy ** Ceny pokročilých editorů se většinou vejdou do dvou tisíc korun ** Mnohdy stačí i bezplatné nástroje

26.  9.  2016 | Stanislav Janů | 46

Jak zastavit nechtěné programy na Windows? Koukněte na Plánovač úloh

Jak zastavit nechtěné programy na Windows? Koukněte na Plánovač úloh

** V systému se mohou periodicky spouštět nechtěné aplikace ** Anebo si vyberou tu nejméně vhodnou chvíli ** Prozkoumejte Plánovač úloh na Windows

23.  9.  2016 | Jakub Čížek | 128

Pojďme programovat elektroniku: Vyzkoušíme IR, ovládneme světýlko přes Bluetooth a vyšleme zprávu na sto metrů

Pojďme programovat elektroniku: Vyzkoušíme IR, ovládneme světýlko přes Bluetooth a vyšleme zprávu na sto metrů

** Budeme odposlouchávat IR ovladač klimatizace ** Vyrobíme laciný rádiový vysílač ** Vyzkoušíme komunikaci pomocí Bluetooth a v pásmu 433 MHz

21.  9.  2016 | Jakub Čížek | 19

Komentář: Apple pořád inovuje, ale jen když musí

Komentář: Apple pořád inovuje, ale jen když musí

** Největší inovace vždy vychází z radikálních kroků ** Apple není v situaci, kdy by jej ke změnám něco tlačilo ** Chybí-li na trhu konkurence, nemůžou existovat ani invoace

22.  9.  2016 | Stanislav Janů | 139

Týden Živě: Zvyknou si Češi platit paušál za software?

Týden Živě: Zvyknou si Češi platit paušál za software?

** Zoner vypustil do světa nové Photo Studio. Je za paušál. ** HP nechce neoficiální inkoust ** Koutek časopisu Computer

25.  9.  2016 | Časopis Computer | 65


Aktuální číslo časopisu Computer

Srovnání výhodných 27" monitorů

Velký test levných rychlých routerů

Jak nastavit Android, aby vás nesledoval

45 podrobných testů a recenzí