V různé podobě už ho dostal do své e-mailové schránky snad každý - spam s výzvou k zaplacení dluhu, v poslední vlně povýšený hrozbou exekuce. O jeho výskytu už jsme informovali, stejně tak přinesli odpovědi na nejčastější otázky. Ale možná jste také zvědaví, jak přesně takový spam funguje a co se vlastně stane, když inkriminovanou přílohu otevřete a spustíte. To se dnes dozvíte.
V různých modifikacích jmen a čísel se teď českými e-maily šíří podobné zprávy
Sami v redakci nedisponujeme dešifrovacím arzenálem a potřebnými znalostmi k analýze malwaru, proto využijeme bezpečnostních specialistů od Avastu, kteří to mají naopak v popisu práce. Autorem níže uvedeného textu je proto Jaromír Hořejší, analytik malwaru společnosti Avast!. Jeho článek se původně objevil na blogu Avastu, se svolením jej publikujeme zde.
Co číhá v příloze
Pojďme se na tuto hrozbu podívat podrobněji: Příloha má název prikaz0581762789F75478F.zip, po jejím rozbalení uvidíme jediný soubor: prikaz-15.07.2014-signed_1295311881CC7544E.exe (čísla jsou generována náhodně).
Že se nejedná o dokument, ale o aplikaci, si ani nemusíte uvědomit. Obzvlášť, pokud v Průzkumníku stadnardně nepoužíváte výpis s podrobnostmi nebo nemáte zapnuté zobrazení koncovek souborů.
Tato spustitelná příloha typu EXE obsahuje zašifrovaný kód. Po odstranění šifrování jsme zjistili, že se jedná o program, který na pozadí stáhne, rozbalí a spustí další škodlivý soubor. Zároveň také otevře textový dokument, který obsahuje výše zmíněný exekutorský příkaz, čímž zaujme uživatele a zdrží ho natolik, aby se další úroveň kódu stihla stáhnout a rozbalit. Tato první fáze je dobře popsána našimi kolegy z AVG na jejich blogu.
Cílí se na čtyři české banky
Tento další soubor, který byl stažen během čtení falešného dopisu, je šifrován stejným způsobem jako první zmíněný. Stahovaným souborem je bankovní trojan známý pod jménem Tinba (z anglického TINy BAnker). Jméno je založeno na faktu, že po dešifrování je velmi krátký – jen okolo 30 KB.
Nebudeme se nyní zabývat detaily spouštění tohoto druhého souboru, protože nejde o nic nového (pro zájemce odkážeme na detailní analýzu z roku 2012), ale na chvíli se pozastavíme u konfiguračního souboru.
Přenášená data se šifrují RC4 šifrou s pevným heslem, které je zobrazeno v obrázku níže:
Po dešifrování získáváme konfigurační soubor. Z něho je jasně patrné, že útok je cílen na uživatele čtyř českých bank: Česká spořitelna, ČSOB, Era (Poštovní spořitelna) a Fio.
Cílí se na čtyři české banky: Česká spořitelna, ČSOB, Poštovní spořitelna a Fio
Vlastní kradení citlivých dat probíhá vložením škodlivého kódu do oficiálních stránek bank. Konfigurační skripty jsou staženy z C&C serverů (stroje patřící útočníkům, sloužící pro ovládání botnetu) a dešifrovány výše zmíněným způsobem. Zajímavostí je znovupoužití stejného formátu konfiguračních souborů známých bankovních trojanů Carberp a Spyeye.
Pro každé botuid (unikátní hodnota, která identifikuje prostředí uživatele) se uloží seznam uživatelských jmen a hesel na C&C serveru. Další skripty jsou stahovány v závislosti na použité bance, buď tedy hXXps://andry-shop.com/gate/get_html.js;hXXps://andry-shop.com/csob/gate/get_html.js; resp.hXXps://yourfashionstore.net/panel/a5kGcvBqtV, které se stáhnou, pokud oběť navštíví webové stránky České spořitelny, ČSOB, resp. Fia.
Účelem těchto skriptů je přesměrování oběti na stránku, která nabádá ke stažení různých verzí aplikace OPTdirekt. Uživateli jsou nabízeny varianty pro Android, Windows Phone, Blackberry i iPhone, pouze Android verze však vede ke stažení škodlivé aplikace do telefonu. Majitelé ostatních zařízení jsou odbyti zprávou, že mají požadavek opakovat později. Tato škodlivá aplikace slouží bezesporu k tomu, aby útočník získal přístup i k nejběžnějšímu autentifikačnímu prostředku jednotlivých bank, a to k mobilnímu telefonu.
Na níže uvedeném obrázku je vidět, že formát konfiguračního souboru je kompatibilní s nástroji používanými bankovními trojany Spyeye a Carberp.
A na dalších obrázcích můžete vidět stránky internetového bankovnictví ěské spořitelný a Fio banky po vložení škodlivého kódu:
Když se oběť přihlásí k internetovému bankovnictví, je jí sděleno, že je nutné stáhnout aplikaci pro zajištění vyšší bezpečnosti spojení. Oběť zvolí nejprve operační systém svého telefonu. Pokud zvolí Android, zobrazí se QR kód, který oběť nakonec dovede až ke stažení škodlivé aplikace.
Při pokusu o přihlášení je klient vyzván ke stažení aplikace. V případě volby Androidu se zobrazí QR kód s odkazem ke stažení.
Odkaz z QR kódu je zkrácen prostřednictvím služby bit.ly, která již zřejmě zareagovala a zobrazí varování – v tomto případě je tedy třeba ještě jeden krok navíc, který by měl uživatele odradit.
Pokud je aplikace stažena, tak je uživateli poděkováno za použití aplikace OTPdirekt. Aplikaci detekuje avast! jako Android:Perkele-T.
Ukázka podvodné aplikace ve všech verzích, tedy v barvách všech čtyř napadených bank
Co prozradil kód
Z kódu vloženého do bankovních stránek můžeme odvodit následující:
1. Komentář “Instrukciya” je rusky, což může znamenat, že za útokem stojí rusky mluvící útočníci.
2. SMS zprávy z infikovaného telefonu jsou přeposílány na níže uvedené číslo, které je registrováno v oblasti Astrachán, v jižní části Ruska.
3. Virus se snaží maskovat svoji aktivitu skrýváním již proběhnutých (nelegálních) transakcí a stavu účtu pomocí nahrazení zdrojového kódu webové stránky, jak se můžete sami přesvědčit na obrázku níže.
4. Autoři viru se pravděpodobně v prvotní fázi zaměřovali na klientelu se stavem účtu větším než 70 000 Kč, ale tato strategie byla nejspíše změněna na všechny klienty banky. Na následující ukázce zdrojového kódu si můžete všimnout, že pokud stav účtu nedosahoval 70 000 Kč, odesílala se pouze informace o instalaci viru s číslem bankovního účtu. V opačném případě se navíc zasílala informace o stavu účtu. Tento kód byl následně zakomentován a nahrazen druhou variantou.
Jak se chránit?
V právním prostředí České republiky není přípustné zasílání exekučního přikazu elektronickou poštou. Za prvé, úřady neevidují k občanům jejich e-mailové adresy. Za druhé, každý e-mail, který není opatřen digitálním podpisem, může být snadno zfalšován včetně údajů o jeho odesílateli. Jedinou možností jak doručit exekuční příkaz elektronicky, je použití datové schránky. Účinnou obranou tak zůstává zdravý rozum a ignorace podobných e-mailů, speciálně těch, které mají spustitelnou *.exe příponu souboru. Ta ovšem nemusí být na první pohled zřejmá, neboť virus může mít stadardní ikonu a v případě názvu “exekuce.docx.exe” může uživatel vidět pouze část “exekuce.docx”, proto důrazně doporučujeme vypnout možnost „Skrýt příponu známých typů“ ve Windows.
Tyto metody útočníků, u kterých se využívá téměř profesionálně napsaných e-mailů, jsou tak účinné, že dokonce v našem okolí známe několik příkladů, kdy ke spuštění škodlivého souboru došlo. Přestože banky využívají mobilní telefony jako jeden z nejrozšířenějších způsobů autentifikace uživatelů, pokročilejší autoři malwaru si našli způsob, jak toto obejít.
Jako prevenci doporučujeme instalovat avast! Free Mobile Security & Antivirus z Obchodu Google Play.
Na této analýze se podíleli: Jaromír Hořejší, Peter Kálnai, David Fišer, Jan Zíka
Z výše uvedeného rozboru vyplývá, že po otevření přílohy se do počítače dostane malware, který pozmění (nepřesměruje!) stránku internetového bankovnictví. Při pokusu o přihlášení jsou tím pádem okamžitě odziceny přihlašovací údaje. Následuje výzva ke stažení mobilní aplikace a v případě, že má klient chytrý mobilní telefon s operačním systémem Android, může ji nainstalovat. Ta následně přeposílá ověřovací SMS zprávy z banky na jiné číslo. Útočník tak získává plnou kontrolu nad internetovým bankovnictvím a navíc ve výpisech maskuje své transakce.
Případ ženy, která tímto způsobem přišla o více než 400 tisíc korun, už tolik nepřekvapí. Stačí rutinně otevřít e-mail a řídit se instrukcemi, aniž by se člověk trochu zamyslel nad jeho obsahem. Přelstít neznalost uživatelů o nebezpečnosti spustitelných příloh či neautorizovaných mobilních aplikac je pak už docela snadné.
Mohlo by vás také zajímat: