Video: Overzicht en inzicht (November 2024)
SecurityWatch is geen onbekende voor mobiele malware, botnetaanvallen en bank-Trojaanse paarden, maar de meeste mensen hebben alleen een vaag begrip van hoe die drie eruitzien gecombineerd. Wat zijn enkele van de grootste bedreigingen voor mobiel bankieren die gebruikers vandaag de dag treffen?
Met elke dag duizenden unieke malwarevoorbeelden die worden gemaakt, is het gemakkelijk om te vergeten dat veel van hen varianten van bestaande malware in het wild zijn. Onderzoekers groeperen ze in malwarefamilies om bij te houden hoe ze evolueren. Porren met mobiele malwarefamilies voelde als vallen in het spreekwoordelijke konijnenhol. Waar gaan we heen? We vroegen Web Intelligence-bedrijf Recorded Future om ons te helpen.
Recorded Future biedt een webintelligentieplatform dat informatie verzamelt die is verzameld uit een breed scala aan bronnen om gerelateerde informatie te koppelen en patronen te vinden. Malwarebesmettingen zijn vaak repetitief omdat ze zich over duizenden en miljoenen computers verspreiden, waardoor ze gemakkelijker te voorspellen en te volgen zijn, vertelde Chris Ahlberg, de oprichter van Record Future, aan Security Watch.
De oude garde
Als er een trivia-wedstrijd zou zijn en er een vraag zou komen over drie grootste Trojaanse paarden voor mobiel bankieren, zou het Security Watch-team gemakkelijk de namen Zeus, SpyEye en Carberp kunnen afraken. Zeus, de grootvader van bank-Trojaanse paarden, verscheen voor het eerst in 2006 en sprong in 2010 naar het mobiele platform. Er zijn Zitmo-varianten (Zeus-in-the-mobile) voor verschillende mobiele besturingssystemen - het is niet beperkt tot alleen Android.
Wat opmerkelijk is aan Zeus, is dat hoewel de werkelijke maker, die alleen in de wereld bekend staat als 'Slavik', een paar jaar geleden met pensioen is gegaan, hij nog steeds zeer actief is omdat andere criminelen de malware zijn blijven verfijnen om weerbaarder te zijn voor wetshandhaving en beveiligingsverdediging.
SpyEye verscheen in 2009 als een Zeus-rivaal en tegen 2010 had hij de oudere bank-trojan overtroffen in de hoeveelheid schade die het veroorzaakte. SpyEye had een gebruikersvriendelijke interface, werd regelmatig bijgewerkt en werd op de zwarte markt verkocht met prijskaartjes variërend van $ 1.000 tot $ 8.500. Het mobiele element verscheen in januari 2011.
SpyEye wordt beschouwd als een van de meest succesvolle soorten malware in de geschiedenis, wat vrij indrukwekkend is gezien de FBI gelooft dat de software aan slechts 150 personen is verkocht. Eén klant, bekend als soldaat, stal $ 3, 2 miljoen in slechts zes maanden.
Het verhaal van SpyEye nadert mogelijk het einde, omdat het brein achter SpyEye, Aleksandr Andreevich Panin, schuldig heeft verklaard aan samenzwering om recentelijk draad- en bandfraude te plegen en volgens planning zal worden veroordeeld op 29 april. Experts geloven dat in tegenstelling tot Zeus, die blijft verbeteren en evolueren zelfs zonder de oorspronkelijke maker aan het roer, SpyEye zal vervagen en andere bank-Trojaanse paarden zullen zijn plaats innemen.
Evoluerende malware
De bende achter Carberp begon zijn activiteiten in 2009, maar stapte pas in 2012 over naar het mobiele rijk, toen onderzoekers schadelijke Android-componenten vonden die zich voordoen als mobiele bankapps van de twee grootste banken van Rusland, Sberbank en Alfa-Bank. De Carberp Trojan richtte slachtoffers in Rusland, Oekraïne, Wit-Rusland, Kazachstan en Moldavië.
Hoewel de vermeende leider van de bende, 20 vermeende ontwikkelaars en acht andere personen die banden hebben met Carberp zijn gearresteerd door Russische en Oekraïense autoriteiten, is het Carberp-verhaal nog niet voorbij, omdat de broncode van Carberp in 2013 is gelekt. Net als Zeus, iedereen kan nu Carberp wijzigen. Het is mogelijk dat terwijl Carberp oorspronkelijk in Rusland en voormalige Sovjetrepublieken verbleef, nieuwe varianten kunnen verschijnen in Europa, de Verenigde Staten of Latijns-Amerika.
De Upstart Trojaanse paarden
Hesperbot en Qadar zijn de nieuwe kinderen voor het bankieren van malware. Beiden ontdekt in 2013, ze zijn druk bezig geweest in Europa, Azië en Australië. Onderzoekers werden voor het eerst bewust van Hesperbot in 2013, eerst in Turkije en vervolgens in Tsjechoslowakije. Hesperbot heeft vergelijkbare functionaliteit als SpyEye en Zeus, samen met meer geavanceerde trucs, zoals de mogelijkheid om een verborgen VNC-server op het geïnfecteerde systeem te maken voor externe toegang.
Uit gegevens blijkt dat het zich heeft verspreid van Turkije naar Portugal en de rest van Europa. Alleen al deze maand waren er meldingen van infecties in Australië. Hesperbot verspreidt zich met behulp van een vrij algemene (maar effectieve!) Techniek: phishing-e-mails die zich voordoen als berichten van postdiensten. Slachtoffers worden misleid om de Hesperbot-druppelaar te installeren.
De grafiek van Qadar is relatief stil, maar is al actief in Nederland, Frankrijk, Canada, India, Australië en Italië. Net als Zeus vertrouwt het op een man-in-de-browser aanval om velden en andere pagina-elementen op HTML-pagina's te injecteren. Gebruikers worden misleid om gevoelige informatie op te geven, zoals inloggegevens voor mobiel bankieren, of krijgen verschillende pagina's te zien om frauduleuze banktransacties te verbergen.
Trojaanse paarden voor mobiel bankieren zijn zeer actief en richten zich op gebruikersapparaten om toegang te krijgen tot uw bankrekeningen. Net zoals u uw pc's beschermt om malware-infecties te voorkomen, moet u oppassen wat u doet met uw mobiele apparaten. Wees voorzichtig met welke apps u downloadt en pas op voor verdachte sms-berichten of e-mailberichten waarin u om persoonlijke informatie wordt gevraagd. Je kunt ook elke week kijken op slechte apps op Mobile Threat Monday.
