­­­­

«ЕЙ-БІ-СІ ГРУП» ТОВ

“A-B-C GROUP” LLS
  • +38 (050) 550-65-83
  • ТОВ ЕЙ-БІ-СІ ГРУП"Українам Київвул Вишгородська34/1 - 5604114
Назад к списку

Продвинутая бразильская вредоносная программа распространилась по всему миру, собирая данные банковского входа от пользователей мобильных устройств Android.

Исследователи заявили, что никогда ранее не задокументированный бразильский банковский троян, получивший название Bizarro, нацелен на клиентов 70 банков, разбросанных по Европе и Южной Америке.

Согласно анализу Kaspersky, опубликованному в понедельник, Bizarro - это мобильное вредоносное ПО, предназначенное для сбора учетных данных онлайн-банкинга и перехвата биткойн-кошельков у пользователей Android. Согласно анализу, он распространяется через пакеты установщика Microsoft, которые либо загружаются жертвами напрямую по ссылкам в спам-письмах, либо устанавливаются через троянизированное приложение.

После установки он уничтожает все запущенные процессы браузера, чтобы завершить любые существующие сеансы с веб-сайтами онлайн-банкинга - поэтому, когда пользователь инициирует сеанс мобильного банкинга, он должен снова войти в систему, позволяя вредоносному ПО собирать данные. Исследователи добавили, что для достижения максимального успеха Bizarro отключает автозаполнение в браузере и даже отображает поддельные всплывающие окна для захвата кодов двухфакторной аутентификации.

Bizarro также имеет модуль захвата экрана.

«Он загружает библиотеку magnification.dll и получает адрес устаревшей функции API MagSetImageScalingCallback», - пояснили исследователи «Лаборатории Касперского». «С его помощью троян может захватывать экран пользователя, а также постоянно контролировать системный буфер обмена в поисках адреса биткойн-кошелька. Если он обнаруживается, он заменяется кошельком, принадлежащим разработчикам вредоносного ПО ».

И, наконец, Bizarro также имеет основной модуль бэкдора, который, согласно анализу, способен выполнять более 100 команд .

Полностью функциональный бэкдор 

«Основной компонент бэкдора не запускается, пока Bizarro не обнаружит подключение к одной из жестко запрограммированных систем онлайн-банкинга», - пояснили исследователи. «Вредоносная программа делает это, перечисляя все окна, собирая их имена. Пробелы, буквы с диакритическими знаками (например, ñ или á) и небуквенные символы, такие как тире, удаляются из строк имен окон. Если имя окна совпадает с одной из жестко заданных строк, бэкдор продолжает запускаться ». 

Команды делятся на несколько основных лагерей:

•Команды, которые позволяют операторам командного управления (C2) получать данные о жертве и управлять статусом соединения; например, запрашивается версия Bizarro, имя ОС, имя компьютера, уникальный идентификатор Bizarro, установленное антивирусное программное обеспечение и кодовое имя, используемое для банка, к которому был осуществлен доступ. 

•Команды, которые позволяют злоумышленникам искать и красть файлы, расположенные на жестком диске жертвы, и те, которые позволяют злоумышленникам устанавливать файлы на устройство жертвы.•Команды, позволяющие злоумышленникам управлять мышью и клавиатурой пользователя. 

•Команды, которые позволяют злоумышленникам контролировать работу бэкдора, выключать, перезапускать или уничтожать операционную систему, а также ограничивают функциональность Windows. 

•Команды, регистрирующие нажатия клавиш. 

•Команды, отображающие различные сообщения, которые обманом заставляют пользователей предоставлять злоумышленникам доступ к банковским счетам, включая поддельные всплывающие окна (например, сообщения типа «введенные данные неверны, попробуйте еще раз»; сообщения об ошибках с просьбой ввести код подтверждения; которые сообщают пользователю, что его компьютер необходимо перезагрузить, чтобы завершить операцию, связанную с безопасностью). 

•Команды, позволяющие Bizarro имитировать системы онлайн-банкинга. По словам Касперского, «Для отображения таких сообщений Bizarro необходимо загрузить изображение в формате JPEG, содержащее логотип банка и инструкции, которым должна следовать жертва. Эти изображения хранятся в каталоге профиля пользователя в зашифрованном виде. Прежде чем изображение будет использовано в сообщении, оно дешифруется с помощью многобайтового алгоритма XOR. Поскольку сообщения загружаются с сервера C2, их можно найти только на машинах жертв ». 

•Команды, позволяющие настраивать сообщения. 

«Пользовательские сообщения, которые может показывать Bizarro, - это сообщения, которые замораживают машину жертвы, что позволяет злоумышленникам выиграть некоторое время», - говорится в анализе. «Когда получена команда на отображение такого сообщения, панель задач скрывается, экран становится серым и отображается само сообщение. Пока отображается сообщение, пользователь не может закрыть его или открыть диспетчер задач. Само сообщение сообщает пользователю, что либо система скомпрометирована и, следовательно, ее необходимо обновить, либо устанавливаются компоненты безопасности и производительности браузера. Этот тип сообщения также содержит индикатор выполнения, который со временем меняется ».