反病毒软件厂商Kaspersky实验室研究人员近日在Google Play上发现,几个用来窃取移动交易认证码(mTAN)的恶意安卓app被银行通过短信服务(SMS)发给了用户。
Kaspersky高级恶意软件分析师Denis Maslennikov周五在博客中表示,这些app是由一个团伙所创建,它们使用了各种Carberp银行恶意软件,目标是几个俄罗斯的银行。
许多银行使用mTAN作为一种安全手段,以保护在线银行账户在交易中免遭网络罪犯攻击。当交易从在线银行账户发出时,银行会通过短信服务信息将唯一的mTAN代码发到账户拥有者的手机上。账户拥有者必须将该代码输入在线银行网站,以便获取交易许可。
为攻破这类防御,网络罪犯创建了恶意移动app,可自动隐藏与目标银行相关号码的短信服务信息,并悄悄将这些信息传回他们的服务器。当从一个受感染的计算机上访问银行网站时,受害者会被骗下载并安装这些app到手机上。
目前,SMS盗窃app已经与Zeus和SpyEye银行木马程序一起使用,以Zeus-in-the-Mobile (ZitMo)和SpyEye-in-the-Mobile (SpitMo)闻名。然而,Maslennikov表示,流氓移动组件被特别设计成Carberp恶意软件,这还是第一次发现。
与Zeus和pyEye不同,Carberp木马程序首先被用来攻击在线银行客户,这些用户来自俄罗斯及其他俄语国家,像乌克兰、白俄罗斯或哈萨克斯坦。
7月份反病毒厂商ESET的一份报告显示,俄罗斯当局逮捕了三个最大的Carberp幕后操纵者。然而,该恶意软件仍在继续被其他团伙使用,并且,依据不同版本和特征,它在地下市场以5000美元到4万美元的价格被出售。
ESET高级恶意软件专家Aleksandr Matrosov周五表示,这是他们第一次看到来自Carberp团伙的移动恶意软件。
Maslennikov说,在Google Play上发现的这种新的Carberp-in-the-Mobile (CitMo) app 乔装成正常的移动app,这些app来自俄罗斯最大的两个银行——Sberbank和Alfa-Bank,以及使用最广泛的社交网络Vkontakte。
网络罪犯上传这些app到Google Play上,让人对app市场反恶意软件防御的效果产生质疑,比如:谷歌今年早些时候公布的Bouncer反恶意软件浏览器。
反病毒厂商Bitdefender高级电子威胁专家Bogdan Botezatu认为,Google的Bouncer检测ZitMo, SpitMo 或CitMo并不容易,因为他们本身就只是针对一些合法app程序的。
他表示,SMS拦截及样本代码早有记载。如果同样的样本代码被用于恶意软件和合法app,那它就更被难检测和阻断了。
