Došlo k citelnému poklesu klasického bankovního malware, který napadal koncová zařízení uživatelů.

Drtivá většina útoků je letos realizována prostřednictvím phishing e-mailů, které obsahují odkaz vedoucí na zpravidla hacknutý web s certifikátem, na kterém je umístěna kopie stránek internetového bankovnictví, takže je celkem jedno, z jakého zařízení klient přistupuje a jaký na něm běží operační systém.

Počet útoků na klienty klasického internetového bankovnictví výrazně poklesl.

Přispělo k tomu nasazení FDS v minulých letech a především pak přechod z jednorázových SMS kódů na potvrzování transakcí pomocí aplikací jako např. Smart klíč.

Overlay malware se na platformě Android vyskytuje hojně už mnoho let.

Zatímco předchozí verze malware byly víceméně šířeny mailem jako přímý odkaz na stažení malware z neznámých zdrojů a graficky méně zdařilé, pak poslední verze a způsob útoku Android Overlay malware cca od září 2018 již vypadá jinak.

Jestli jste si kladli otázku, zda BackSwap představuje nový trend ve vývoji bankovního malware anebo se jedná jen o slepou vývojovou větev, tak odpověď na sebe nenechala dlouho čekat.

Byť se během roku objevily nové verze používající celkem inovativní techniky, tak se o žádnou disruptivní inovaci nejednalo.

BankBot rozhodně neinstaloval žádné falešné uživatelské rozhraní, které by bylo uloženo v aplikaci pravého mobilního bankovnictví.

Jedná se o naprosto nešťastnou formulaci, kterou bohužel převzaly všechny mainstreamové zpravodajské weby, a která mohla vyvolat dojem, že smartbanking těchto bank byl špatně zabezpečen, když se do nich dalo uložit to falešné uživatelské rozhraní.

Došlo přesně k tomu, co jsme předpokládali a na co jsme upozorňovali již koncem ledna, tedy že se bude bankovní malware BankBot dál šířit.

Netrvalo to věru dlouho. A opět se ukázalo, že Google Bouncer anebo jak se ten nástroj na detekci malware teď jmenuje, není zdaleka schopen detekovat veškerý malware, který se na Google Play nachází.

Nyní přišla druhá fáze útoku, která navazuje na první fázi z února, a která vyvrcholila tím, že se útočníkům podařilo z několika bankomatů během jedné jediné noci vybrat 800 000 USD.

Na bankovních počítačích, z kterých byl příkaz k vydání hotovosti odeslán, se žádný malware nenašel a jedinou stopou tak byl log, ve kterém se nacházely jen dva záznamy: „Take the Money Bitch!“ a „Dispense Success.“

Lze tak očekávat vznik dalších variant a spolu s tím i rozšíření útoku i do dalších zemí.

Ostatně první bankovní malware BankBot, který z tohoto kódu vychází, se už šíří přes Google Play a alternativní markety. Více zde.

Objevila se nová verze bankovního trojana Dridex, která úspěšně obchází bezpečnostní opatření User Account Control, zkr. UAC.

To po uživateli Windows požaduje formou dialogu potvrdit operace, které vyžadují administrátorská práva na daném zařízení. Vektorem šíření je kromě phishingu i spear phishing. Více zde.

Inovativní na této verzi je, že C&C serverem není nějaká náhodně vygenerovaná doména, nýbrž naprosto důvěryhodný server Google.

Bankovní malware Carbanak je šířen jako RTF dokument s VBS. Tento enkódovaný skript pak obsahuje několik modulů, které využívají služeb Google Apps Script, Google Sheets a Google Forms.