Tag: e-banking

Analiza złośliwego oprogramowania Backswap

Data publikacji: 19/06/2018, Hubert Barc


    Backswap jest bankerem, który pojawił się w Polsce w okolicach marca 2018 r. Jest to wariant znanego od dawna oprogramowania o nazwie TinBa (od „tiny banker”), którego cechą charakterystyczną jest względnie mały rozmiar (mieszczący się zazwyczaj w zakresie 10-50 kB). Powody dla których uważamy, że jest to ten sam malware tylko z lekkimi modyfikacjami zamieszczamy w podsumowaniu.
    Czytaj więcej

    GMBot: nowe sposoby na wyłudzanie danych z przeglądarek mobilnych

    Data publikacji: 16/05/2016, Malgorzata Debska

    Złośliwe oprogramowanie na system Android o nazwie GMBot (inna nazwa slempo) było już przez nas opisywane w październiku ubiegłego roku. Aplikacja do wyłudzania danych logowania do banku używała tzw. metody przesłonięcia aplikacji (ang. application overlay). Jest to nic innego jak zwykły atak phishingowy, w działaniu dosyć podobny do znanej metody używania webinjectów w systemach z rodziny Windows. Zgodnie z naszymi przewidywaniami, używanie przesłonięcia aplikacji stało się dosyć popularne w złośliwych aplikacjach androidowych. W ciągu ostatniego półrocza powstało wiele wersji oprogramowania swoim działaniem przypominających GMBota. W każdym przypadku przesłonięcie dotyczyło wyłącznie aplikacji zainstalowanych na telefonie (aplikacje bankowe, komunikatory, e-mail). W zeszłym tygodniu, do naszego laboratorium trafiła jednak próbka, która oprócz przesłonięcia aplikacji bankowej stara się także wyłudzić dane dostępowe do banku z mobilnej przeglądarki internetowej.

    Czytaj więcej

    Złośliwy iBanking – stary sposób infekcji, nowe pomysły utrudniające odinstalowanie

    Data publikacji: 16/03/2016, Malgorzata Debska

    W ostatnim czasie do CERT-owego laboratorium trafiła próbka złośliwego oprogramowania typu iBanking podszywającego się pod mobilną aplikację skanera antymalware’owego Trusteer Rapport. Scenariusz ataku nie jest niczym nowym, był wielokrotnie wykorzystywany w przeszłości, jednak w ostatnim czasie zauważamy wzrost ataków tego typu wymierzonych w Polskich użytkowników bankowości elektronicznej. Analizowana aplikacja okazała się dużo trudniejsza w usunięciu, a jej kod o wiele lepiej zaciemniony niż wcześniejsze programy tego typu.

    Czytaj więcej

    Następca Banatrixa: dodatek do przeglądarki

    Data publikacji: 21/01/2016, Malgorzata Debska

    zorro_foxW ostatnim czasie do laboratorium naszego zespołu trafiła próbka złośliwego oprogramowania atakująca polskich użytkowników bankowości elektronicznej. Analiza tego zagrożenia daje nam podstawy twierdzić, że jest to kolejne oprogramowanie napisane przez tego samego autora (albo grupę autorów) co wcześniej opisywany przez nas Banatrix, kampania mailowa, rzekomo od Poczty Polskiej czy zeszłoroczny Slave .
    Czytaj więcej

    Grupa Pocztowa

    Data publikacji: 14/10/2015, Łukasz Siewierski

    Podczas konferencji SECURE zaprezentowaliśmy nasze ustalenia dotyczące działalności grupy przestępczej, którą nazwaliśmy „Grupą Pocztową” ze względu na ich modus operandi. Szczegółowe ustalenia dotyczące tej grupy zebraliśmy również w formie raportu dostępnego pod poniższym linkiem.Czytaj więcej

    GMBot: Androidowa uboższa wersja webinjectów

    Data publikacji: 02/10/2015, Łukasz Siewierski

    maldroidOstatnio do laboratorium CERT Polska trafiła próbka nowego złośliwego oprogramowania na systemy Android o nazwie GMBot. Oprogramowanie to stara się ulepszyć obecną technikę trojanów bankowych, która składa się z dwóch części: jednej na systemy Windows i jednej na systemy Android. Zamiast tego używana jest technika o nazwie application overlay (po polsku będziemy to nazywać przesłonięciem aplikacji), która ma służyć uzyskaniu danych do logowania do konta bankowego ofiary za pomocą ataku phishingowego. Znaleźliśmy także wcześniejszy kod źródłowy tego złośliwego oprogramowania na jednej z rosyjskich stron służących do dzielenia się plikami. Przesłonięcie aplikacji w GMBot jest bardzo podobne do metody używania webinjectów w systemach z rodziny Windows. Gdy pojawił się Zeus, webinjecty szybko stały się standardem. Czy podobnie będzie z GMBotem?
    Czytaj więcej

    Slave, Banatrix i maile od Poczty Polskiej

    Data publikacji: 03/07/2015, Łukasz Siewierski

    loveletter1W marcu 2015 firma S12sec poinformowała o nowym koniu trojańskim atakującym użytkowników polskiej bankowości elektronicznej. Nazwali to zagrożenie “Slave”, wywodząc nazwę z jednej ze ścieżek do dołączonych bibliotek, którą znaleźli w analizowanej próbce. W tym artykule postaramy się przedstawić nasze nowe ustalenia na temat tego złośliwego oprogramowania. Jesteśmy również przekonani (częściowo dzięki informacjom zawartym na kernelmode.info), że oprogramowanie to zostało napisane przez tego samego autora (bądź grupę autorów) co wcześniej opisywany przez nas Banatrix czy kampania mailowa, rzekomo od Poczty Polskiej, zawierająca oprogramowanie typu ransomware. Oznacza to, że autorami tego oprogramowania jest najprawdopodobniej osoba lub grupa osób pochodząca z Polski.

    Czytaj więcej

    Powrót iBanking – złośliwego oprogramowania na Android

    Data publikacji: 16/01/2015, Łukasz Siewierski

    iBanking-qr-iconZłośliwe oprogramowanie iBanking było już opisywane przez nas na blogu, kiedy pod koniec 2013 roku udawało antywirusa na urządzenia mobilne. W rzeczywistości służyło do wykradania haseł jednorazowych z wiadomości SMS zainfekowanych użytkowników. Scenariusz ataku jest dosyć popularny i był już wykorzystywany kilkukrotnie w przeszłości, także w ataku na użytkowników polskiej bankowości elektronicznej. Tym razem jednak, żeby jeszcze bardziej przekonać użytkowników do instalacji aplikacji, wykorzystano ułatwienia, które daje zastosowanie kodów QR.

    Czytaj więcej

    VBKlip 2.0: bez schowka, za to z efektami specjalnymi

    Data publikacji: 05/09/2014, Łukasz Siewierski

    PL_malwareW ostatnich tygodniach otrzymywaliśmy sygnały od użytkowników o nowym rodzaju złośliwego oprogramowania, podobnym w działaniu do opisywanego przez nas wcześniej VBKlip. Tym razem jednak opisy były co najmniej nieprawdopodobne. Użytkownicy pisali do nas, że próbowali skopiować numer rachunku do strony z przelewem, ale numer im się zmieniał. Wtedy pomyśleli, że padli ofiarą VBKlip, więc jako tymczasowe rozwiązanie postanowili przepisać numer rachunku. Po przepisaniu jednak numer się zmienił, jak napisał jeden z użytkowników, „na ich oczach”. Brzmiało to podobnie do słynnej grafiki z filmu Matrix, gdzie kolejne cyfry, przelatują przed oczami widzów. Dzięki uprzejmości jednego ze zgłaszających udało nam się uzyskać próbkę tego złośliwego oprogramowania, które nazwaliśmy Banatrix, i zobaczyć na własne oczy jak zmieniają się cyfry wpisywanych numerów rachunków.
    Czytaj więcej

    Atak na klientów Allegro.pl oraz Booking.com

    Data publikacji: 25/06/2014, Łukasz Siewierski

    slammerW ciągu ostatnich kilku dni zaobserwowaliśmy atak polegający na podszywaniu się pod portal aukcyjny Allegro.pl lub pośrednika rezerwacji hotelowych – Booking.com. Ofiara otrzymywała spersonalizowaną wiadomość e-mail, w której zawarta była informacja o zablokowaniu konta w serwisie „z powodu nieuregulowanych oplat allegro”, albo z powodu „umieszczania w opisie Twojej aukcji tresci niezgodnych z regulaminem Allegro”. W przypadku serwisu Booking.com była to informacja na temat nieopłaconej faktury za (nieistniejącą) rezerwację. Obie te kampanie miały niemal identyczny schemat infekcji, co pozwala stwierdzić, że zostały przeprowadzone przez tę samą osobę, bądź grupę osób.
    Czytaj więcej

    12