17
Fotogalerie

Do nitra zákeřného spamu: co skrývá exekuční příkaz?

Nebezpečný spam míří na klienty čtyř českých bank. Jak přesně funguje, jak modifikuje stránky banky a jak obejde SMS autorizaci plateb? Podívejte se na rozbor od odborníků.

V různé podobě už ho dostal do své e-mailové schránky snad každý - spam s výzvou k zaplacení dluhu, v poslední vlně povýšený hrozbou exekuce. O jeho výskytu už jsme informovali, stejně tak přinesli odpovědi na nejčastější otázky. Ale možná jste také zvědaví, jak přesně takový spam funguje a co se vlastně stane, když inkriminovanou přílohu otevřete a spustíte. To se dnes dozvíte.  

238265422 
V různých modifikacích jmen a čísel se teď českými e-maily šíří podobné zprávy

Sami v redakci nedisponujeme dešifrovacím arzenálem a potřebnými znalostmi k analýze malwaru, proto využijeme bezpečnostních specialistů od Avastu, kteří to mají naopak v popisu práce. Autorem níže uvedeného textu je proto Jaromír Hořejší, analytik malwaru společnosti Avast!. Jeho článek se původně objevil na blogu Avastu, se svolením jej publikujeme zde.

Co číhá v příloze

Pojďme se na tuto hrozbu podívat podrobněji: Příloha má název prikaz0581762789F75478F.zip, po jejím rozbalení uvidíme jediný soubor: prikaz-15.07.2014-signed_1295311881CC7544E.exe (čísla jsou generována náhodně).

93876846 226972893 
Že se nejedná o dokument, ale o aplikaci, si ani nemusíte uvědomit. Obzvlášť, pokud v Průzkumníku stadnardně nepoužíváte výpis s podrobnostmi nebo nemáte zapnuté zobrazení koncovek souborů.

Tato spustitelná příloha typu EXE obsahuje zašifrovaný kód. Po odstranění šifrování jsme zjistili, že se jedná o program, který na pozadí stáhne, rozbalí a spustí další škodlivý soubor. Zároveň také otevře textový dokument, který obsahuje výše zmíněný exekutorský příkaz, čímž zaujme uživatele a zdrží ho natolik, aby se další úroveň kódu stihla stáhnout a rozbalit. Tato první fáze je dobře popsána našimi kolegy z AVG na jejich blogu.

Cílí se na čtyři české banky

Tento další soubor, který byl stažen během čtení falešného dopisu, je šifrován stejným způsobem jako první zmíněný. Stahovaným souborem je bankovní trojan známý pod jménem Tinba (z anglického TINy BAnker). Jméno je založeno na faktu, že po dešifrování je velmi krátký – jen okolo 30 KB.

Nebudeme se nyní zabývat detaily spouštění tohoto druhého souboru, protože nejde o nic nového (pro zájemce odkážeme na detailní analýzu z roku 2012), ale na chvíli se pozastavíme u konfiguračního souboru.

Přenášená data se šifrují RC4 šifrou s pevným heslem, které je zobrazeno v obrázku níže:

881897546

Po dešifrování získáváme konfigurační soubor. Z něho je jasně patrné, že útok je cílen na uživatele čtyř českých bankČeská spořitelnaČSOBEra (Poštovní spořitelna) a Fio.

509796544 
Cílí se na čtyři české banky: Česká spořitelna, ČSOB, Poštovní spořitelna a Fio

Vlastní kradení citlivých dat probíhá vložením škodlivého kódu do oficiálních stránek bank. Konfigurační skripty jsou staženy z C&C serverů (stroje patřící útočníkům, sloužící pro ovládání botnetu) a dešifrovány výše zmíněným způsobem. Zajímavostí je znovupoužití stejného formátu konfiguračních souborů známých bankovních trojanů Carberp a Spyeye.

Pro každé botuid (unikátní hodnota, která identifikuje prostředí uživatele) se uloží seznam uživatelských jmen a hesel na C&C serveru. Další skripty jsou stahovány v závislosti na použité bance, buď tedy hXXps://andry-shop.com/gate/get_html.js;hXXps://andry-shop.com/csob/gate/get_html.js; resp.hXXps://yourfashionstore.net/panel/a5kGcvBqtVkteré se stáhnou, pokud oběť navštíví webové stránky České spořitelny, ČSOB, resp. Fia.

Účelem těchto skriptů je přesměrování oběti na stránku, která nabádá ke stažení různých verzí aplikace OPTdirekt. Uživateli jsou nabízeny varianty pro Android, Windows Phone, Blackberry i iPhone, pouze Android verze však vede ke stažení škodlivé aplikace do telefonu. Majitelé ostatních zařízení jsou odbyti zprávou, že mají požadavek opakovat později. Tato škodlivá aplikace slouží bezesporu k tomu, aby útočník získal přístup i k nejběžnějšímu autentifikačnímu prostředku jednotlivých bank, a to k mobilnímu telefonu.

Na níže uvedeném obrázku je vidět, že formát konfiguračního souboru je kompatibilní s nástroji používanými bankovními trojany Spyeye a Carberp.

813187004

A na dalších obrázcích můžete vidět stránky internetového bankovnictví ěské spořitelný a Fio banky po vložení škodlivého kódu:

299979077 278528428 

Když se oběť přihlásí k internetovému bankovnictví, je jí sděleno, že je nutné stáhnout aplikaci pro zajištění vyšší bezpečnosti spojení. Oběť zvolí nejprve operační systém svého telefonu. Pokud zvolí Android, zobrazí se QR kód, který oběť nakonec dovede až ke stažení škodlivé aplikace.

565980149 193928856 199898928 
Při pokusu o přihlášení je klient vyzván ke stažení aplikace. V případě volby Androidu se zobrazí QR kód s odkazem ke stažení.

Odkaz z QR kódu je zkrácen prostřednictvím služby bit.ly, která již zřejmě zareagovala a zobrazí varování – v tomto případě je tedy třeba ještě jeden krok navíc, který by měl uživatele odradit.

Pokud je aplikace stažena, tak je uživateli poděkováno za použití aplikace OTPdirekt. Aplikaci detekuje avast! jako Android:Perkele-T.

427809894 434245132 
Ukázka podvodné aplikace ve všech verzích, tedy v barvách všech čtyř napadených bank

Co prozradil kód

Z kódu vloženého do bankovních stránek můžeme odvodit následující:

1. Komentář “Instrukciya” je rusky, což může znamenat, že za útokem stojí rusky mluvící útočníci.

240296793

2. SMS zprávy z infikovaného telefonu jsou přeposílány na níže uvedené číslo, které je registrováno v oblasti Astrachán, v jižní části Ruska.

537189320

3. Virus se snaží maskovat svoji aktivitu skrýváním již proběhnutých (nelegálních) transakcí a stavu účtu pomocí nahrazení zdrojového kódu webové stránky, jak se můžete sami přesvědčit na obrázku níže.

418645908

4. Autoři viru se pravděpodobně v prvotní fázi zaměřovali na klientelu se stavem účtu větším než 70 000 Kč, ale tato strategie byla nejspíše změněna na všechny klienty banky. Na následující ukázce zdrojového kódu si můžete všimnout, že pokud stav účtu nedosahoval 70 000 Kč, odesílala se pouze informace o instalaci viru s číslem bankovního účtu. V opačném případě se navíc zasílala informace o stavu účtu. Tento kód byl následně zakomentován a nahrazen druhou variantou.

914870779

Jak se chránit?

V právním prostředí České republiky není přípustné zasílání exekučního přikazu elektronickou poštou. Za prvé, úřady neevidují k občanům jejich e-mailové adresy. Za druhé, každý e-mail, který není opatřen digitálním podpisem, může být snadno zfalšován včetně údajů o jeho odesílateli. Jedinou možností jak doručit exekuční příkaz elektronicky, je použití datové schránky. Účinnou obranou tak zůstává zdravý rozum a ignorace podobných e-mailů, speciálně těch, které mají spustitelnou *.exe příponu souboru. Ta ovšem nemusí být na první pohled zřejmá, neboť virus může mít stadardní ikonu a v případě názvu “exekuce.docx.exe” může uživatel vidět pouze část “exekuce.docx”, proto důrazně doporučujeme vypnout možnost „Skrýt příponu známých typů“ ve Windows.

Tyto metody útočníků, u kterých se využívá téměř profesionálně napsaných e-mailů, jsou tak účinné, že dokonce v našem okolí známe několik příkladů, kdy ke spuštění škodlivého souboru došlo. Přestože banky využívají mobilní telefony jako jeden z nejrozšířenějších způsobů autentifikace uživatelů, pokročilejší autoři malwaru si našli způsob, jak toto obejít.

Jako prevenci doporučujeme instalovat avast! Free Mobile Security & Antivirus z Obchodu Google Play.

Na této analýze se podíleli:  Jaromír HořejšíPeter KálnaiDavid Fišer, Jan Zíka


Z výše uvedeného rozboru vyplývá, že po otevření přílohy se do počítače dostane malware, který pozmění (nepřesměruje!) stránku internetového bankovnictví. Při pokusu o přihlášení jsou tím pádem okamžitě odziceny přihlašovací údaje. Následuje výzva ke stažení mobilní aplikace a v případě, že má klient chytrý mobilní telefon s operačním systémem Android, může ji nainstalovat. Ta následně přeposílá ověřovací SMS zprávy z banky na jiné číslo. Útočník tak získává plnou kontrolu nad internetovým bankovnictvím a navíc ve výpisech maskuje své transakce. 

Případ ženy, která tímto způsobem přišla o více než 400 tisíc korun, už tolik nepřekvapí. Stačí rutinně otevřít e-mail a řídit se instrukcemi, aniž by se člověk trochu zamyslel nad jeho obsahem. Přelstít neznalost uživatelů o nebezpečnosti spustitelných příloh či neautorizovaných mobilních aplikac je pak už docela snadné. 

Mohlo by vás také zajímat:

Určitě si přečtěte

Články odjinud