Perusahaan keamanan memperingatkan malware yang mencuri data bank yang dikirim melalui SMS

Beberapa aplikasi Android berbahaya yang dirancang untuk mencuri nomor otentikasi transaksi seluler (mTAN) yang dikirim oleh bank kepada pelanggan mereka melalui SMS (Layanan Pesan Singkat) ditemukan di Google Play oleh para peneliti dari vendor antivirus Kaspersky Lab.

Aplikasi ini dibuat oleh geng yang menggunakan varian malware perbankan Carberp untuk menargetkan pelanggan dari beberapa bank Rusia, Denis Maslennikov, sebuah Analis senior malware di Kaspersky, mengatakan Jumat di sebuah posting blog.

Banyak bank menggunakan mTAN sebagai mekanisme keamanan untuk mencegah cybercriminal dari mentransfer uang dari akun perbankan online yang dikompromikan ts. Ketika transaksi dimulai dari akun perbankan online, bank mengirimkan kode unik yang disebut mTAN melalui SMS ke nomor telepon pemilik akun. Pemilik akun harus memasukkan kode itu kembali ke situs web perbankan online agar transaksi dapat diotorisasi.

[Bacaan lebih lanjut: Cara menghapus malware dari PC Windows Anda]

Untuk mengalahkan jenis pertahanan ini, penjahat dunia maya membuat aplikasi seluler berbahaya yang secara otomatis menyembunyikan pesan SMS yang diterima dari nomor yang terkait dengan bank yang ditargetkan dan secara diam-diam mengunggah kembali pesan ke server mereka. Korban tertipu untuk mengunduh dan menginstal aplikasi ini di ponsel mereka melalui pesan jahat yang ditampilkan ketika mengunjungi situs web bank mereka dari komputer yang terinfeksi.

Aplikasi pencurian SMS sebelumnya telah digunakan bersama dengan program Trojan perbankan Zeus dan SpyEye dan dikenal sebagai Zeus -in-the-Mobile (ZitMo) dan SpyEye-in-the-Mobile (SpitMo) komponen. Namun, ini adalah pertama kalinya sebuah komponen ponsel nakal yang dirancang khusus untuk malware Carberp telah ditemukan, kata Maslennikov.

Tidak seperti Zeus dan SpyEye, program Trojan Carberp terutama digunakan untuk menargetkan pelanggan perbankan online dari Rusia dan Rusia lainnya- negara-negara yang berbicara seperti Ukraina, Belarus, atau Kazakhstan.

Trojan dirampas oleh geng lain

Menurut laporan pada bulan Juli dari vendor antivirus ESET, otoritas Rusia menangkap orang-orang di belakang tiga operasi Carberp terbesar. Namun, malware terus digunakan oleh geng lain dan dijual di pasar bawah tanah dengan harga antara US $ 5.000 dan $ 40.000, tergantung pada versi dan fiturnya.

"Ini adalah pertama kalinya kami melihat ponsel berbahaya komponen dari geng Carberp, "Aleksandr Matrosov, peneliti malware senior di vendor antivirus ESET, mengatakan Jumat melalui email. "Komponen seluler hanya digunakan oleh satu grup Carberp, tetapi kami tidak dapat mengungkapkan detail lebih lanjut pada saat ini."

Aplikasi Carberp-in-the-Mobile (CitMo) baru yang ditemukan di Google Play disamarkan sebagai aplikasi seluler dari Sberbank dan Alfa-Bank, dua bank terbesar di Rusia, dan VKontakte, layanan jejaring sosial online paling populer di Rusia, kata Maslennikov. Kaspersky menghubungi Google pada hari Rabu dan semua varian CitMo dihapus dari pasar pada hari Kamis, katanya.

Namun, fakta bahwa penjahat cyber berhasil mengunggah aplikasi ini ke Google Play di tempat pertama menimbulkan pertanyaan tentang efisiensi pasar aplikasi pertahanan anti-malware, seperti pemindai anti-malware Bouncer yang diumumkan oleh Google awal tahun ini.

"Tampaknya tidak sulit untuk melewati pertahanan Google Play karena malware terus muncul di sana secara teratur," kata Maslennikov melalui email.

Bogdan Botezatu, seorang analis e-ancaman senior di vendor antivirus Bitdefender, percaya bahwa mungkin sulit bagi Google Bouncer untuk mendeteksi ZitMo, SpitMo atau komponen CitMo karena mereka secara fungsional mirip dengan beberapa aplikasi yang sah.

"The mobile versi Trojan hanya bertanggung jawab dengan membajak SMS yang diterima dan meneruskan isinya ke penerima yang berbeda, dan perilaku ini juga ditemukan dalam aplikasi yang sah, seperti SMS mana saja aplikasi gement atau bahkan aplikasi yang memungkinkan pengguna untuk mengontrol perangkat mereka dari jarak jauh melalui SMS jika mereka dicuri atau hilang, "katanya melalui email. "Interupsi SMS adalah fitur yang didokumentasikan dengan baik di forum, bersama dengan kode sampel. Jika kode sampel yang sama digunakan baik dalam aplikasi jahat dan legit, itu akan lebih sulit untuk dideteksi dan diblokir."

Kemampuan untuk menggunakan Google Play untuk mendistribusikan aplikasi mencuri SMS menawarkan keuntungan bagi penjahat dunia maya, kata Botezatu. Pertama-tama, beberapa perangkat pengguna dikonfigurasi untuk hanya menginstal aplikasi yang diperoleh dari Google Play. Selain itu, pengguna umumnya kurang curiga terhadap aplikasi yang diunduh melalui Google Play dan kurang memperhatikan izin mereka karena mereka mengharapkan aplikasi untuk menjadi apa yang mereka klaim klaim mereka, katanya.