Do nitra zákeřného spamu: co skrývá exekuční příkaz?

Nebezpečný spam míří na klienty čtyř českých bank. Jak přesně funguje, jak modifikuje stránky banky a jak obejde SMS autorizaci plateb? Podívejte se na rozbor od odborníků.

V různé podobě už ho dostal do své e-mailové schránky snad každý - spam s výzvou k zaplacení dluhu, v poslední vlně povýšený hrozbou exekuce. O jeho výskytu už jsme informovali, stejně tak přinesli odpovědi na nejčastější otázky. Ale možná jste také zvědaví, jak přesně takový spam funguje a co se vlastně stane, když inkriminovanou přílohu otevřete a spustíte. To se dnes dozvíte.  

Klepněte pro větší obrázek 
V různých modifikacích jmen a čísel se teď českými e-maily šíří podobné zprávy

Sami v redakci nedisponujeme dešifrovacím arzenálem a potřebnými znalostmi k analýze malwaru, proto využijeme bezpečnostních specialistů od Avastu, kteří to mají naopak v popisu práce. Autorem níže uvedeného textu je proto Jaromír Hořejší, analytik malwaru společnosti Avast!. Jeho článek se původně objevil na blogu Avastu, se svolením jej publikujeme zde.

Co číhá v příloze

Pojďme se na tuto hrozbu podívat podrobněji: Příloha má název prikaz0581762789F75478F.zip, po jejím rozbalení uvidíme jediný soubor: prikaz-15.07.2014-signed_1295311881CC7544E.exe (čísla jsou generována náhodně).

Klepněte pro větší obrázek Klepněte pro větší obrázek 
Že se nejedná o dokument, ale o aplikaci, si ani nemusíte uvědomit. Obzvlášť, pokud v Průzkumníku stadnardně nepoužíváte výpis s podrobnostmi nebo nemáte zapnuté zobrazení koncovek souborů.

Tato spustitelná příloha typu EXE obsahuje zašifrovaný kód. Po odstranění šifrování jsme zjistili, že se jedná o program, který na pozadí stáhne, rozbalí a spustí další škodlivý soubor. Zároveň také otevře textový dokument, který obsahuje výše zmíněný exekutorský příkaz, čímž zaujme uživatele a zdrží ho natolik, aby se další úroveň kódu stihla stáhnout a rozbalit. Tato první fáze je dobře popsána našimi kolegy z AVG na jejich blogu.

Cílí se na čtyři české banky

Tento další soubor, který byl stažen během čtení falešného dopisu, je šifrován stejným způsobem jako první zmíněný. Stahovaným souborem je bankovní trojan známý pod jménem Tinba (z anglického TINy BAnker). Jméno je založeno na faktu, že po dešifrování je velmi krátký – jen okolo 30 KB.

Nebudeme se nyní zabývat detaily spouštění tohoto druhého souboru, protože nejde o nic nového (pro zájemce odkážeme na detailní analýzu z roku 2012), ale na chvíli se pozastavíme u konfiguračního souboru.

Přenášená data se šifrují RC4 šifrou s pevným heslem, které je zobrazeno v obrázku níže:

Klepněte pro větší obrázekKlepněte pro větší obrázek

Po dešifrování získáváme konfigurační soubor. Z něho je jasně patrné, že útok je cílen na uživatele čtyř českých bankČeská spořitelnaČSOBEra (Poštovní spořitelna) a Fio.

Klepněte pro větší obrázek 
Cílí se na čtyři české banky: Česká spořitelna, ČSOB, Poštovní spořitelna a Fio

Vlastní kradení citlivých dat probíhá vložením škodlivého kódu do oficiálních stránek bank. Konfigurační skripty jsou staženy z C&C serverů (stroje patřící útočníkům, sloužící pro ovládání botnetu) a dešifrovány výše zmíněným způsobem. Zajímavostí je znovupoužití stejného formátu konfiguračních souborů známých bankovních trojanů Carberp a Spyeye.

Pro každé botuid (unikátní hodnota, která identifikuje prostředí uživatele) se uloží seznam uživatelských jmen a hesel na C&C serveru. Další skripty jsou stahovány v závislosti na použité bance, buď tedy hXXps://andry-shop.com/gate/get_html.js;hXXps://andry-shop.com/csob/gate/get_html.js; resp.hXXps://yourfashionstore.net/panel/a5kGcvBqtVkteré se stáhnou, pokud oběť navštíví webové stránky České spořitelny, ČSOB, resp. Fia.

Účelem těchto skriptů je přesměrování oběti na stránku, která nabádá ke stažení různých verzí aplikace OPTdirekt. Uživateli jsou nabízeny varianty pro Android, Windows Phone, Blackberry i iPhone, pouze Android verze však vede ke stažení škodlivé aplikace do telefonu. Majitelé ostatních zařízení jsou odbyti zprávou, že mají požadavek opakovat později. Tato škodlivá aplikace slouží bezesporu k tomu, aby útočník získal přístup i k nejběžnějšímu autentifikačnímu prostředku jednotlivých bank, a to k mobilnímu telefonu.

Na níže uvedeném obrázku je vidět, že formát konfiguračního souboru je kompatibilní s nástroji používanými bankovními trojany Spyeye a Carberp.

Klepněte pro větší obrázek

A na dalších obrázcích můžete vidět stránky internetového bankovnictví ěské spořitelný a Fio banky po vložení škodlivého kódu:

Klepněte pro větší obrázek Klepněte pro větší obrázek 

Když se oběť přihlásí k internetovému bankovnictví, je jí sděleno, že je nutné stáhnout aplikaci pro zajištění vyšší bezpečnosti spojení. Oběť zvolí nejprve operační systém svého telefonu. Pokud zvolí Android, zobrazí se QR kód, který oběť nakonec dovede až ke stažení škodlivé aplikace.

Klepněte pro větší obrázek Klepněte pro větší obrázek Klepněte pro větší obrázek 
Při pokusu o přihlášení je klient vyzván ke stažení aplikace. V případě volby Androidu se zobrazí QR kód s odkazem ke stažení.

Odkaz z QR kódu je zkrácen prostřednictvím služby bit.ly, která již zřejmě zareagovala a zobrazí varování – v tomto případě je tedy třeba ještě jeden krok navíc, který by měl uživatele odradit.

Pokud je aplikace stažena, tak je uživateli poděkováno za použití aplikace OTPdirekt. Aplikaci detekuje avast! jako Android:Perkele-T.

Klepněte pro větší obrázek Klepněte pro větší obrázek 
Ukázka podvodné aplikace ve všech verzích, tedy v barvách všech čtyř napadených bank

Co prozradil kód

Z kódu vloženého do bankovních stránek můžeme odvodit následující:

1. Komentář “Instrukciya” je rusky, což může znamenat, že za útokem stojí rusky mluvící útočníci.

Klepněte pro větší obrázek

2. SMS zprávy z infikovaného telefonu jsou přeposílány na níže uvedené číslo, které je registrováno v oblasti Astrachán, v jižní části Ruska.

Klepněte pro větší obrázek

3. Virus se snaží maskovat svoji aktivitu skrýváním již proběhnutých (nelegálních) transakcí a stavu účtu pomocí nahrazení zdrojového kódu webové stránky, jak se můžete sami přesvědčit na obrázku níže.

Klepněte pro větší obrázek

4. Autoři viru se pravděpodobně v prvotní fázi zaměřovali na klientelu se stavem účtu větším než 70 000 Kč, ale tato strategie byla nejspíše změněna na všechny klienty banky. Na následující ukázce zdrojového kódu si můžete všimnout, že pokud stav účtu nedosahoval 70 000 Kč, odesílala se pouze informace o instalaci viru s číslem bankovního účtu. V opačném případě se navíc zasílala informace o stavu účtu. Tento kód byl následně zakomentován a nahrazen druhou variantou.

Klepněte pro větší obrázek

Jak se chránit?

V právním prostředí České republiky není přípustné zasílání exekučního přikazu elektronickou poštou. Za prvé, úřady neevidují k občanům jejich e-mailové adresy. Za druhé, každý e-mail, který není opatřen digitálním podpisem, může být snadno zfalšován včetně údajů o jeho odesílateli. Jedinou možností jak doručit exekuční příkaz elektronicky, je použití datové schránky. Účinnou obranou tak zůstává zdravý rozum a ignorace podobných e-mailů, speciálně těch, které mají spustitelnou *.exe příponu souboru. Ta ovšem nemusí být na první pohled zřejmá, neboť virus může mít stadardní ikonu a v případě názvu “exekuce.docx.exe” může uživatel vidět pouze část “exekuce.docx”, proto důrazně doporučujeme vypnout možnost „Skrýt příponu známých typů“ ve Windows.

Tyto metody útočníků, u kterých se využívá téměř profesionálně napsaných e-mailů, jsou tak účinné, že dokonce v našem okolí známe několik příkladů, kdy ke spuštění škodlivého souboru došlo. Přestože banky využívají mobilní telefony jako jeden z nejrozšířenějších způsobů autentifikace uživatelů, pokročilejší autoři malwaru si našli způsob, jak toto obejít.

Jako prevenci doporučujeme instalovat avast! Free Mobile Security & Antivirus z Obchodu Google Play.

Na této analýze se podíleli:  Jaromír HořejšíPeter KálnaiDavid Fišer, Jan Zíka


Z výše uvedeného rozboru vyplývá, že po otevření přílohy se do počítače dostane malware, který pozmění (nepřesměruje!) stránku internetového bankovnictví. Při pokusu o přihlášení jsou tím pádem okamžitě odziceny přihlašovací údaje. Následuje výzva ke stažení mobilní aplikace a v případě, že má klient chytrý mobilní telefon s operačním systémem Android, může ji nainstalovat. Ta následně přeposílá ověřovací SMS zprávy z banky na jiné číslo. Útočník tak získává plnou kontrolu nad internetovým bankovnictvím a navíc ve výpisech maskuje své transakce. 

Případ ženy, která tímto způsobem přišla o více než 400 tisíc korun, už tolik nepřekvapí. Stačí rutinně otevřít e-mail a řídit se instrukcemi, aniž by se člověk trochu zamyslel nad jeho obsahem. Přelstít neznalost uživatelů o nebezpečnosti spustitelných příloh či neautorizovaných mobilních aplikac je pak už docela snadné. 

Mohlo by vás také zajímat:

Diskuze (53) Další článek: MS ve fotbale: stamilionové sociální rekordy

Témata článku: Software, Bezpečnost, Mobility, Spam, Nejrozšířenější způsob, Ověřovací SMS, Příkaz, Ignorace, Oběť, Bit.ly, Exekuce, Poštovní spořitelna, Výše uvedené, Hits, Free To Play, Bankéř, Nit, Andre, Škodlivá aplikace, Gate, Skrývání, Zak, Digitální podpis, Právní prostředí, Nitra, Software na Heureka.cz



Bude to o prsa. Facebook a Instagram pořád neví, kdy jsou zobrazené bradavky porno

Bude to o prsa. Facebook a Instagram pořád neví, kdy jsou zobrazené bradavky porno

**Meta má zjednodušit pravidla a být ke všem spravedlivá **Facebook s Instagram věnují samostatný odstavec bradavkám **Pravidla ale neřeší nebinární, transsexuální a intersexuální osoby

Petr Urban
InstagramFacebookSociální sítě
Spousta řidičů v Česku riskuje pokutu kvůli umístění držáku mobilního telefonu. Zákon hovoří jasně

Spousta řidičů v Česku riskuje pokutu kvůli umístění držáku mobilního telefonu. Zákon hovoří jasně

** Kam s telefonem v autě, které nemá palubní počítač? ** Variant držáků je celá řada, ale každý má svá specifika ** Není možné jej umístit, kam se vám zlíbí

AutoRevue.cz
LegislativaPro řidičePříslušenství
Vědci zkoumali přesnost měření stavby těla u hodinek od Samsungu. Výsledky všechny překvapily

Vědci zkoumali přesnost měření stavby těla u hodinek od Samsungu. Výsledky všechny překvapily

** Chytré hodinky běžně bereme jako informativní měřidla ** Jak si však stojí ve srovnání s profesionálními měřiči ** Při měření stavby těla se na hodinky můžete spolehnout

Martin Chroust
Galaxy Watch4Měření
Nový hit. Tahle appka vám udělá profilovku jako od pouličního ilustrátora

Nový hit. Tahle appka vám udělá profilovku jako od pouličního ilustrátora

** Aplikace NewProfilePic se na Androidu stala hitem ** Můžete si v ní vytvořit profesionálně vypadající profilovky ** Pozor ale na agresivní cenovou politiku za Pro verzi

Martin Chroust
FotografieUmělá inteligenceMobilní aplikace
Google není jen vyhledávač: 15 užitečných funkcí, o kterých možná ani nevíte

Google není jen vyhledávač: 15 užitečných funkcí, o kterých možná ani nevíte

** Google umí kromě vyhledávání i spoustu dalších věcí ** Vybrali jsme více než 15 užitečných funkcí a schopností ** Stačí zadat do vyhledávače ta správná klíčová slova

Karel Kilián
TipyVyhledávačeGoogle
Návod, jak dostat maximum z Peněženky Google

Návod, jak dostat maximum z Peněženky Google

Služba Google Wallet (Peněženka Google) schlamstla před několika měsíci platební aplikaci Google Pay. Díky tomu se původní platforma rozrostla o další funkce. Je zde však i prostor pro zlepšení.

Jan Spěšný
Facebook má nejspíš vaše telefonní číslo, i když jste mu ho nikdy nedali. Tímto tajným nástrojem ho můžete smazat

Facebook má nejspíš vaše telefonní číslo, i když jste mu ho nikdy nedali. Tímto tajným nástrojem ho můžete smazat

**Meta poskytuje nástroj na vymazání telefonních čísel a e-mailových adres z Facebooku a Instagramu **V minulosti Mark Zuckebrg popřel, že by Facebook vytvářel stínové profily **Metě teď můžete sebrat klíčové iddentifikátory, pořád o vás ale nejspíš ví mnoho dalšího

Petr Urban
MetaSledováníSociální sítě
Za WhatsApp se bude platit! Za předplatné dostanete funkci, která je u konkurence zadarmo

Za WhatsApp se bude platit! Za předplatné dostanete funkci, která je u konkurence zadarmo

** Bylo to jen otázkou času ** Už i WhatsApp nabízí prémiové předplatné ** Za poplatek dostanete funkci, která je u konkurence zadarmo

Martin Chroust
předplatnéWhatsAppMobilní aplikace
Máte rádi malé telefony? Pak si oblíbíte tohoto třípalcového drobečka, který není větší než platební karta

Máte rádi malé telefony? Pak si oblíbíte tohoto třípalcového drobečka, který není větší než platební karta

** Dnešní telefony se předhánějí v tom, který z nich bude větší ** Malé telefony na trhu skoro vyhynuly... ** Čínská značka si připravila telefon do dlaně s třípalcovým displejem

Martin Chroust
InfraportKompaktní velikostSmartphony
Nejlepší filmy na Netflixu v roce 2022. Všechny mají český dabing nebo titulky

Nejlepší filmy na Netflixu v roce 2022. Všechny mají český dabing nebo titulky

Tyto filmy byly v roce 2022 na českém Netflixu nejoblíbenější. Nerozlišujeme žánr, stáří ani hodnocení na filmových webech. Jde o oblíbenost, kterou sleduje web FlixPatrol a počítá z ní souhrnné žebříčky.

Ondřej Králík
Netflix