Objevila se nová verze populárního bankovního trojana Tinba

bankovni-malwareÚtočníci s ním otravovali prakticky po celý rok a pokoj klientům bank nedali ani koncem roku, naopak.

Koncem prosince se opět začal šířit v PF, které obsahuje, jak jinak, novou verzi v ČR asi momentálně nejpopulárnějšího bankovního malwaru Tiny Banker zkr. Tinba, který cílí na uživatele internetového bankovnictví.

Ten na počítači klienta nejenže odchytává přihlašovací údaje do internetového bankovnictví, ale injektuje do něj i svůj vlastní formulář, ve kterém klienta vyzývá k zadání telefonního čísla, na které mu od banky chodí potvrzovací SMS, a stažení antivirové aplikace do jeho chytrého telefonu. Ta však ve skutečnosti odchytává autorizační SMS a přeposílá je útočníkovi, který pak může bez vědomí klienta realizovat transakce.

Elektronické PF je 2x zazipované a obsahuje soubor pohlednice.scr (jedná se o příponu používanou pro spořiče obrazovky, v originále Screen Saver, zkr. scr). Pokud uživatel tento spořič, který zároveň funguje jako dropper, spustí, tak se mu sice zobrazí obrázek, tak jak předpokládá, ovšem na pozadí se zcela nepozorovaně stáhne Tinba.

Tinba se stahuje z domény, jejíž název je generován pomocí DGA (v době analýzy se jednalo o doménu dqwdwqwqdqwddqw.cn) a zapíše se do adresáře C:\Documents and Settings\User\Application Data\SpeechEngines a své spuštění si zajistí zápisem do klíče Run v registrech.

Script pro inject do webové stránky internetového bankovnictví se pak stahuje z jiné adresy (v době analýzy to bylo z https://sinsinme.com/UY94w5RXEl.js) Samotná injekce je velice zdařilá a tváří se jako nedílná součást webové stránky. Ani pozorný klient si nemusí všimnout, že text sdělení je trochu kostrbatý a někde chybí interpunkce, ostatně posuďte sami.

tinba-inject

Pokud se klient banky rozhodne instrukcí, kterou vidí na obrazovce řídit, nestáhne a nenainstaluje si do svého telefonu aplikaci Trust Port Mobile, nýbrž aplikaci TrustPort.apk z domény bankotpdirekt.com,

Klient musí mít samozřejmě povolenu instalaci aplikací i z jiných marketů, než je Google Play. Tato aplikace pak bude odchytávat SMS obsahující jednorázové kódy pro autentizaci a autorizaci transakcí a přeposílat je útočníkovi.

Poznámka: Toto je živý příspěvek a může být průběžně aktualizován.

Pokud vás tento článek zaujal, můžete odkaz na něj sdílet.

Štítky: ,


K článku “Objevila se nová verze populárního bankovního trojana Tinba” se zde nenachází žádný komentář - buďte první.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: