Eurograbber SMS Trojan крадет €36 млн у онлайн-банков

Разрушительный Zeus Trojan был в состоянии сломать якобы неприступную SMS аутентификацию, которая используется в европейских банках, а Check Point выявил кражу €36 млн у десятков тысяч клиентов.

Прозванный "Eurograbber", троян атаковал 30 неизвестных банков по всей Италии, Испании, Германии и Нидерландах. Это произошло за период с августа по середину октября этого года, в конце концов, объектами атаки стали 30000 счетов.

Во время нападения злоумышленников, им удалось инициировать переводы в пределах от 500 до 250000, говорится в сообщении компании.

Помимо своего ошеломляющего финансового успеха, отмечается, что эта атака была организована с помощью более ранних вариантов одного и того же вредоносного malware Zeus, который легко и просто обошел двухфакторные системы безопасности, используя при этом умный, но принципиально простой дизайн .

Клиенты банка были заражены, нажав на ссылки или вложения, которые инициировали инфекции на свой компьютер. Но это только часть операции, ведь malware необходимо было получить номер транзакции аутентификации (TAN), которые отправляется банками посредством SMS.

Легко. Когда операция достигла следующей цели – войти в онлайн-счет, троян попросил подтвердить свой номер мобильного телефона, предлагая им фиктивные обновления программы безопасности.

Этот апргрейд стал второй частью операции, которая загрузила мобильный Троян Zeus (Zitmo) для любых клиентов, использующих смартфоны Android или BlackBerry. Таким образом, был организован перехват реального TAN, когда он был отправлен банком.

Эти деньги переводились в скрытом режиме и клиенты так и не обнаружили пропажу, пока не получили свой ежемесячный баланс счета. "После того, как клиент банка заражен, он принадлежит злоумышленнику", - это была жесткая оценка директора компании Check Point Даррелл Баркли. "Сделка представлялась абсолютно нормальной для банка".

Ужасающие масштабы атаки стали ясными с момента, как только специалист по безопасности компании Versafe был вызван и присоединился к анализу ситуации. "Каждый банка выглядел изолированным", - сказал Баркли.

Могли ли нападения быть остановлены? Это не ясно что стало причиной, антивирус или ее отсутствие, был инцидент, так что давайте перейдем к мобильному вопросу. Атака не сработала бы против клиентов, использующих iPhone или Windows Phone, что не совсем случайно. Джейлбрейк-приложения (включая трояны) не могут достичь iPhone, кроме как через официальный канал, который регулируется и контролируется Apple. Относительная открытость Android была в этом случае главной слабостью.

Eurograbber удалось получить доступ благодаря старомодной штучке – убедить пользователя нажать на ссылку и установить вредоносное ПО на своих мобильных устройствах.

"Как видно с Eurograbber, нападавшие сосредоточились на самом слабом звене - это люди, которые стоят за устройствами, и с помощью провернуть очень сложный метод для запуска и автоматизации атаки, при этом избежать отслеживания", - заключил глава Versafe по безопасности Operation Center, Эран Калиге.

Кстати, о подобной опасности в июне прошлого года сообщала Лаборатория Касперского, подобную уязвимость видела и Trusteer.

Еще раньше, в 2011 году появилась новость о похожих атаках в Польше, которые были направлены на те же самые слои идентификации.