BackSwap aneb už je tady zase

Jestli jste si kladli otázku, zda BackSwap představuje nový trend ve vývoji bankovního malware anebo se jedná jen o slepou vývojovou větev, tak odpověď na sebe nenechala dlouho čekat.

Byť se během roku objevily nové verze používající celkem inovativní techniky, tak se o žádnou disruptivní inovaci nejednalo.

BackSwap vycházející z populární Tinby a detekovaný poprvé v březnu loňského roku, se šířil prostřednictvím phishing zpráv, jako trojanizovaná aplikace, ale nelze vyloučit ani použití technik watering holes a drive-by download. V závěru loňského roku se třeba šířil e-mailem jako VydanaFaktura.zip.

BackSwap nepoužívá techniku injektáže svého kódu přímo do procesu prohlížeče, jak bylo donedávna zvykem, což snižuje náklady na realizaci tohoto útoku, protože s každou novou verzí prohlížeče není nutné kód tohoto malwaru upravovat.

BackSwap maximálně využívá Windows GUI a simuluje chování uživatele. Jednoduše detekuje, zda se v titulku prohlížeče a v URL neobjeví řetězec indikující, že se uživatel nachází na stránkách internetového bankovnictví.

Pokud ano, tak do stránky vloží přes konzoli prohlížeče svůj JS kód, kterou vyvolá pomocí zaslání příslušných horkých kláves a následujících klasickým CTRL+V a ENTER, anebo onen kód vloží po jednotlivých písmenech, simulující tak psaní, přímo v adresním řádku prohlížeče využívající javascript protokol.

To mu umožňuje se vyhnout detekcím, ale na stranu druhou nemusí zůstat jeho aktivita uživatelem nepovšimnuta. Nicméně pracuje velice rychle, takže uživatel může zaznamenat jen probliknutí v příkazovém řádku.

Vložený JS kód se postará o to, že v okamžiku, kdy kliknete na tlačítku odeslat, tak pozmění číslo účtu příjemce. Anebo jednoduše originální pole, do kterého se zadává číslo účtu, předvyplní a skryje a uživateli pak zobrazí své falešné pole, jehož obsah se nezpracuje.

Výsledek je v každém případě stejný, jestliže si uživatel nezkontroluje číslo účtu, které se mu zobrazí na mobilním telefonu, ať už v SMS, ve které mu dorazilo OTP k potvrzení nebo v aplikaci typu Smart klíč, tak peníze nakonec odejdou na účet bílého koně, který je vybere z bankomatu nebo na přepážce.

Tady je důležité upozornit na to, že číslo účtu zobrazované v internetovém bankovnictví i na smartphone je samozřejmě stejné, takže jeho kontrolu je potřeba provést proti papíru nebo jiné aplikaci, kde BackSwap neměl možnost číslo účtu modifikovat.

Pro citování tohoto článku ve své vlastní práci můžete použít následující odkaz:
ČERMÁK, Miroslav, 2019. BackSwap aneb už je tady zase. Online. Clever and Smart. ISSN 2694-9830. Dostupné z: https://www.cleverandsmart.cz/backswap-aneb-uz-je-tady-zase/. [citováno 07.12.2024].

Pokud vás tento článek zaujal, můžete odkaz na něj sdílet.

Štítky:


K článku “BackSwap aneb už je tady zase” se zde nenachází žádný komentář - buďte první.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: