Банковские троянцы
Статья написана по заказу компании «Доктор Веб»
Сегодня любой уважающий себя банк оказывает своим клиентам услуги ДБО — дистанционного банковского обслуживания. Как правило, для частных лиц эти услуги сводятся к предоставлению доступа на специальный защищенный сайт, где клиент может проверить состояние своего счета, перевести средства с одного субсчета на другой, а также оплатить ряд услуг в организациях, с которыми у банка имеется соответствующий договор.
В простейших случаях доступ к подобным системам «банк-клиент» осуществляется по протоколу HTTPSс использованием логина и пароля, также в качестве меры безопасности некоторые банки применяют подтверждение входа по SMSили электронную цифровую подпись клиента. Порой для организации связи используется специализированное программное обеспечение. Безусловно, использование ДБО крайне удобно для большинства клиентов: не нужно тратить время на поездки в офис банка или поход до ближайшего банкомата, чтобы уточнить баланс счета, простые операции с безналичными средствами выполняются одним щелчком мыши. Не остались без внимания подобные системы и со стороны злоумышленников.
Пик распространения так называемых «банковских троянцев» — вредоносных программ, предназначенных для хищения учетных данных и необходимых для организации доступа к системам ДБО файлов — пришелся на 2011 год. К категории наиболее опасных можно отнести несколько банковских троянцев — это Trojan.Carberp, Trojan.PWS.Ibank, Trojan.PWS.Panda (также известная под именами Zeus и Zbot) и Trojan.PWS.SpySweep (также известный под именем SpyEye).
Троянцы семейства Trojan.Carberp служат в основном для похищения паролей от программ ДБО и торговых платформ. Но, кроме того, они могут воровать пароли и от других программ, имеют функционал по приёму команд от управляющего центра, способны служить прокси-сервером, а также реализуют иной вредоносный функционал. Семейство включает в себя некоторое количество различных модификаций, немного различающихся своими возможностями. Все варианты троянцев зашифрованы вирусными упаковщиками.
Запускаясь на инфицированной машине, троянская программа предпринимает целый ряд действий для того, чтобы уйти от всевозможных средств контроля и наблюдения. После успешного запуска троянец внедряется в другие работающие приложения, а свой основной процесс завершает, таким образом, вся его дальнейшая работа происходит частями внутри сторонних процессов, что является его характерным свойством. Среди команд, которые способен выполнять Trojan.Carberp, имеются директивы запуска произвольных файлов на инфицированном компьютере, команда установки сеанса «удаленного рабочего стола» по протоколу RDP, и даже удаления на зараженном ПК операционной системы. Кроме того, в этом троянце скрыта возможность деактивации антивирусов, уничтожения «конкурирующих» банковских троянцев, а также кража паролей от множества различных программ: браузеров, мессенджеров, ftp-клиентов, почтовых клиентов, и т.д. Помимо прочего, благодаря расширяемой архитектуре, данная троянская программа имеет возможность скачивать специальные встраиваемые дополнения (плагины) для выполнения других деструктивных действий.
Для перехвата связанной с работой ДБО информации Trojan.Carberp использует различные методы: это логирование нажатий пользователем клавиш, вклинивание в HTTP-трафик в поисках учетных данных и передаваемых значений экранных форм, встраивание в процессы программ системы банк-клиент, создание скриншотов в моменты ввода важной информации, перехваты отдельных функций, которые могут участвовать в передаче данных, поиск и похищение сертификатов и ключей. Вредоносные программы семейства Trojan.Carberpспособны объединяться в ботнеты, координируемые из одного (или нескольких) командных центров.
Троянцы семейства Trojan.PWS.Ibank встраиваются в адресное пространство выбранного процесса с последующим созданием инициализирующего потока в его контексте. Немалую часть кода бота занимает реализация VNC-сервера, в коде которого реализована поддержка протокола работы с dedicated-сервером Zeus, через который, собственно, и осуществляется сеанс удаленного управления. Помимо этого троянец содержит код реализации прокси-сервера SOCKS4/5.
Trojan.PWS.Ibank также позволяет выполнять на инфицированном компьютере поступающие от удаленного командного центра директивы, включая команду уничтожения ОС. Причем адрес командного сервера троянец вычисляет динамически, используя для этого специальный алгоритм. Для перехвата важной информации используются анализатор трафика, система мониторинга сетевой активности банк-клиентов, скринграббер, позволяющий делать снимки экрана, сборщики ключевой информации для различных систем ДБО. Основное назначение троянца — сбор данных, вводимых в оконные формы, сбор файлов сертификатов систем защищенного документооборота, а также перехват сетевого трафика и направление полученной информации в архиве принадлежащему злоумышленникам серверу.
Нельзя обойти вниманием такой знаменитый троянец, как Trojan.PWS.Panda, известный также под именами Zeus и Zbot. Основной его функционал заключается в краже пользовательских паролей, хотя этот троянец обладает достаточно обширными возможностями, включая стандартный функционал бэкдора. Созданный еще в 2007 году, Zeusпредставляет определенную опасность для пользователей и по сей день. Этот троянец способен работать во всех версиях Windows, он умеет перехватывать информацию, вводимую пользователем во всех распространенных на сегодняшний день браузерах, красть пароли большинства FTP-клиентов. Среди иных вредоносных функций Trojan.PWS.Panda следует отметить способность устанавливать и удалять в инфицированной системе цифровые сертификаты, файлы cookies, подменять «домашнюю сраницу» в браузерах, блокировать доступ к различным URL, загружать и запускать различные файлы, по команде с удаленного сервера выключать и перезагружать компьютер, удалять на жестких дисках любые файлы. Иными словами, функционал этой вредоносной программы поистине обширен.
Еще один троянец, созданный со схожими целями, — Trojan.PWS.SpySweep, также известный под именем SpyEye. Как и Trojan.Carberp, SpyEye внедряет свой образ в адресные пространства других процессов. Функционал его в целом схож с возможностями Zeus: Trojan.PWS.SpySweep способен выполнять поступающие от злоумышленников команды, похищать конфиденциальную информацию, загружать и запускать на инфицированном компьютере различные программы.
В 2011 году появился и первый банковский троянец для платформы Android: это Android.SpyEye.1. Риску заражения вредоносной программой Android.SpyEye.1 подвержены в первую очередь пользователи, компьютеры которых уже инфицированы троянской программой SpyEye. При обращении к различным банковским сайтам, адреса которых присутствуют в конфигурационном файле троянца, в просматриваемую пользователем веб-страницу осуществляется инъекция постороннего содержимого, которое может включать различный текст или веб-формы. Таким образом, ничего не подозревающая жертва загружает в браузере настольного компьютера или ноутбука веб-страницу банка, в котором у нее открыт счет, и обнаруживает сообщение о том, что банком введены в действие новые меры безопасности, без соблюдения которых пользователь не сможет получить доступ к системе «Банк-Клиент», а также предложение загрузить на мобильный телефон специальное приложение, содержащее троянскую программу.
После загрузки и инсталляции на мобильном устройстве Android.SpyEye.1 перехватывает и отправляет злоумышленникам все входящие СМС-сообщения. Android.SpyEye.1 может представлять опасность для владельцев мобильных устройств, поскольку способен передавать в руки вирусописателей конфиденциальную информацию.
Как видим, принцип работы и функциональные возможности большинства современных банковских троянцев в целом схожи, цели, которые преследуют вирусописатели, также практически одинаковы, различается только конкретная техническая реализация этих задач. Каким же образом банковские троянцы попадают на компьютер жертвы?
Технология распространения подобных вредоносных программ — это тема для отдельного масштабного исследования. Наивное представление о злодеях-одиночках, создающих и распространяющих в Интернете вирусы, созданное современным кинематографом и слабо разбирающимися в предмете авторами литературных произведений, в целом ошибочно. На подпольном рынке действуют отдельные обособленные группы злоумышленников, каждая из которых специализируется на собственной сфере киберпреступлений. Есть вирусописатели, которые создают и модифицируют вредоносный код. Нередко на подпольных форумах появляются объявления о продаже созданных ими троянских программ, при этом в зависимости от сложности изделия цена может колебаться от нескольких тысяч до нескольких десятков тысяч долларов. Есть специалисты по криптованию — каждый вредоносный файл шифруется при помощи специальных алгоритмов с целью усложнить его детектирование антивирусным ПО, иногда — в несколько «слоев». Успешно распространяемые троянцы периодически требуют повторного криптования, по мере того, как отдельные образцы попадают в вирусные базы, и антивирусы «учатся» распознавать угрозу — вот почему услуги криптологов всегда востребованы. И конечно же, есть распространители вредоносного ПО, продающие услуги по «раздаче» троянцев пользователям. Для этих целей используются различные ухищрения: и уязвимости клиентского ПО, и социальная инженерия, кроме того, большинство распространителей владеет обычно собственной сетью уже установленных на компьютеры жертв троянцев-даунлоадеров: вредоносных программ, основное предназначение которых — загрузка и запуск на инфицированной машине других вредоносных приложений. Например, известно, что Trojan.Carberp распространяется с использованием набора эксплоитов BlackHoleExploitKit — коллекции уязвимостей, эксплуатирующих ошибки и недокументированные возможности современного ПО, в частности, браузеров и операционных систем. В большинстве случаев жертве BlackHole не нужно предпринимать вообще никаких действий для того, чтобы «получить троянца»: заражение происходит автоматически при просмотре инфицированных веб-сайтов.
А что в будущем? Количество новых угроз, ориентированных на банковские системы и ДБО, наверняка будет расти, станет совершенствоваться их техническое исполнение. Системы удаленного доступа к финансовым инструментам — лакомый кусок для злоумышленников, и потому интерес к ним вряд ли ослабнет со временем. В свою очередь, специалисты по информационной безопасности будут продолжать следить за развитием ситуации, своевременно анализировать возникающие угрозы и разрабатывать эффективные средства противодействия.