Банківський троян Qadars повернувся і атакує банки у Великобританії



Про банківському трояне Qadars стало відомо кілька років тому. Практично з самого моменту своєї появи він умів обходити механізм двофакторної аутентифікації. Троян робив це за допомогою шкідливого мобільного контенту.

Фахівці з інформаційної безпеки стверджують, що це ЗА використовує різні типи веб-ін'єкцій для проникнення на комп'ютери користувачів. Мета у цього трояна одна — викрадення жертви аутентифікаційних даних для проведення транзакцій в онлайн-банкінгу в інтересах свого творця.

Для того, щоб обійти систему захисту більшості банківських організацій, цей троян намагається переконати жертву встановити мобільний додаток. Воно допомагає обходити необхідність підтвердження банківських операцій. Цей додаток являє собою шкідливий код Android/Perkele. Жертва отримує одночасно з веб-ін'єкцією, що використовується для встановлення коду. Мобільний програма може перехоплювати SMS-повідомлення з пристрою користувача (наприклад, авторизаційні SMS, відправлені банком). Як тільки жертва заходить в свій аккаунт онлайн-банкінгу, код, вбудований в веб-сторінку, запит установку мобільного додатку для конкретної моделі телефону. Користувачеві повідомляється, що це мобільний додаток банку.

Схема атаки, яку використовує шкідник, добре відома. Це Man-in-the-Browser, MiB. На першому етапі malware впроваджує свій код в будь-який з популярних браузерів (Internet Explorer, Firefox та інші), експлуатуючи специфічну вразливість. Після впровадження творець трояна отримує можливість проводити транзакції від імені користувача в інтересах свого творця. Для цього використовується JavaScript, який виконує переказ коштів з рахунку жертви на рахунок зловмисника без відома власника рахунку.

Незважаючи на те, що фахівці з інформаційної безпеки виявили троян кілька років тому, впоратися з ним поки не вдалося. Більш того, творці трояна удосконалили його структуру і оновили деякі функції. Зараз основна мета трояна — це банківські структури Великобританії.

У різні періоди минулих років Qadars атакував банки Нідерландів, Австралії, Канади і США. Зараз його творці вирішили зупинитися на Великобританії. Фахівці нашої компанії вивчили це злоблива, яке вже торкнулося роботу 18 британських банків.

Серед інших інструментів цього варто виділити наступні:

• Перехоплення різних функцій браузера (IE, Firefox);
• Підробка сертифікатів та куки;
• Робота з формами;
• Веб-ін'єкції;
• FIGrabbers;
• Використання клієнта Tor на стороні клієнта для приховування своїх каналів комунікації;
• Використання алгоритму DGAдля маскування віддалених ресурсів зловмисників.


Троян маскується під вікна оновлення відомих ОС. Як тільки користувач натискає «оновитися», запускає троян ShellExecuteEx Win32 API

Зараз, як стверджують наші спеціалісти, в Мережі працює вже третє покоління трояна, Qadars v3. З плином часу його творці додали трояну ще більше функцій, що дозволяють йому уникати виявлення. Удосконалено та проведення веб-ін'єкцій.

Троян обфусцирует всі свої Win32 API виклики. В цьому відношенні він працює схожим чином з такими зловредів, як URL Zone, Dridex і Neverquest. Додаток містить зашифровані CRC32 значення, що дозволяє приховувати назви функцій, що працюють в трояне. Завдяки своїм можливостям цей троян є одним з найбільш небезпечних банківських троянів останнього часу.

Успішна робота Qadars залежить від роботи зі своїми серверами по спеціальним каналам зв'язку. Також троян надає можливість віддаленого управління заражених машин, що може підвищити шанси зловмисників на успіх.
Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.