Первопричина волны троянцев
Эксперты компаний Fortinet, Checkpoint и "Доктор Веб" нашли объяснение недавнему резкому росту количества банковских троянов для платформы Android, отследив начало волны до одного-единственного поста на андерграундном русскоязычном форуме Exploit.in. Некто под ником maza-in опубликовал там учебник по созданию банковского трояна с примером кода. Это привело к лавинообразному росту количества клонов.
Появление всплеска датировано началом зимы 2016 г. Именно тогда на хакерском форуме появились подробные инструкции, как написать банковский троян с базовыми функциями - BankBot. Сразу после этого эксперты "Доктора Веб" обнаружили многочисленные атаки с помощью этого трояна, нацеленные на российские банки. Через некоторое время в Google Play начали появляться приложения, содержащие этот троян.
Как отмечает автор статьи в Bleeping Computer, maza-in не только опубликовал учебник и исходный код для BankBot, но и пригласил поразвлечься всех желающих и регулярно обновлял информацию о своем детище.
Учебник по троянам: один пост на подпольном форуме привел к всплеску активности BankBot
В итоге исследователь Лукас Стефанко (Lucas Stefanko), сотрудничающий с Securify и ESET, насчитал более 60 кампаний по распространению разных вариаций BankBot. Большая часть этих кампаний пришлась на апрель-июнь 2017 г.
Обфускация как билет в Google Play
Эксперты компании Check Point согласны с исследователями "Доктора Веб" в том, что всплеск BankBot напрямую связан с публикацией кода на Exploit.in. Что же касается попадания в Google Play, то, по мнению специалистов Check Point и их коллег из Fortinet, зловред использует мощную обфускацию (запутывание) кода, и именно поэтому автоматизированные средства проверки Google на вредоносность пропускают эти приложения.
В интервью Forbes maza-in заявил, что сам он не является киберпреступником, что BankBot написал совсем другой человек, а он всего лишь хотел показать, как просто обойти механизмы безопасности в Android.
В Check Point, однако, уверены, что BankBot написал именно maza-in. Есть также свидетельства того, что автор этой вредоносной программы занимался разработкой еще одного банковского трояна, известного под названием Mazar Bot, чей пик активности пришелся на 2015-2016 гг.
Mazar, по-видимому, является доработанной версией другой вредоносной программы, GM Bot, которую эксперты называют одним из самых продвинутых банковских троянов. Несколько разных разработчиков купили его код (прежде, чем произошла его утечка) и использовали в своих собственных изделиях. Так появились Bankosy, Acecard, SlemBunk и Mazar Bot.
Именно благодаря коду GM Bot maza-in получил нужные навыки: функциональность BankBot намного превосходит базовую по всем показателям. Этот троян способен перекрывать собственными оверлеями многочисленные банковские приложения на разных версиях Andorid, перехватывать SMS и USSD-коды для обхода двухфакторной верификации, красть логины и пароли из множества приложений, причем далеко не только банковских. При этом он конфигурирован таким образом, что злоумышленнику, решившему им воспользоваться, потребуется только добавить фейковый интерфейс приложения, которое он хочет атаковать. Никаких технических навыков сверх этого для использования троянца не требуется.
"Вредоносные инструменты, с помощью которых кибератаки может совершать любой желающий, вне зависимости от наличия у него хакерских навыков, - это проблема, масштабы которой растут год от года, - отмечает Ксения Шилак, директор по продажам компании SEC-Consult. - Даже если сами конечные операторы банковских троянцев ничего не умеют, они "берут числом". В то время как Google постоянно совершенствует защиту своей операционной системы и магазина Google Play, проблема сохраняется. Системное противодействие банковским троянцам должны уметь оказывать сами конечные пользователи".
