» »

SpyEye e-bančni trojanec na voljo za Androida

 Delovanje potrditvenih kod TAN.

Delovanje potrditvenih kod TAN.

vir: The Register
 Podpora za različne mobilne platforme pri trojancih Zeus in SypEye.

Podpora za različne mobilne platforme pri trojancih Zeus in SypEye.

vir: The Register
The Register - Ruski razvijalci online banking trojanca SpyEye so pripravili še Android različico Spitmo, namenjeno kraji enkratne potrditvene kode (TAN, transaction authentication number), ki jo uporabnik spletnega bančništva prejme po SMS-u in z njo potrdi transakcijo. Banke so namreč že pred leti posredi visokih stroškov z zlorabami uvedle dvofaktorsko avtorizacijo transakcij, tako da so zlikovci poleg računalnika (certifikat, geslo) za krajo denarja z bančnih računov morali kontrolirati tudi uporabnikov mobilni telefon. Druga možnost so majhni kalkulatorčki enkratnih kod, a tudi mimo tega se da priti, npr. z malo socialnega inženiringa in pošiljanjem okuženih XLS datotek delavcem pri RSA Security, ki je eden izmed večjih proizvajalcev teh kalkulatorčkov.

SpyEye mora biti najprej nameščen na računalniku, kamor praviloma pride skozi kak Flash, PDF ali Java exploit. Ko uporabnik obišče spletno stran svoje banke, se mu najprej prikaže "varnostno opozorilo", ki mu priporoča dodatno zavarovanje mobilnega telefona z namestitvijo aplikacije z naslova "hxxp://www.androidseguridad.com/simseg.apk". Nič od tega ni avtomatizirano in še vedno zahteva naivnost na strani uporabnika. No, če uspe, se program uspešno ugnezdi na androida in posreduje prejeta SMS sporočila na oddaljeni strežnik z naslovom v stilu "124sfafsaffa.com".

Kot so nedavno pisali pri H online, tovrstne zlorabe niti niso več redke, vendar banke za zdaj odgovornost odrivajo na uporabnika, ker ni zadostno zavaroval svojega računalnika. Strokovnjaki zato priporočajo, da uporabniki pred vsako prijavo v spletno bančništvo računalnik zaženejo z namenskega USB ali CD ploščka, npr. linux live CD-ja. USB bo brščas pripravnejši, saj je hitrejši in je nanj mogoče zapisati tudi uporabnikov certifikat (če ne uporablja smartcarda). Ploščico je potrebno po uporabi odklopiti od računalnika, ali pa dobiti različico s hardwersko zaščito proti pisanju (majhno stikalce na ohišju; take je malce težje najti, a so). S tem se možnost, da zlikovci hijackajo sejo z aplikacijo za spletno bančništvo, močno močno zmanjša. Še vedno se da, npr. preko hardwerskih exploitov ali preko kontroliranja mrežne povezave. Tudi SSL več ni ovira, ker uporabniki često sprejemajo tudi samopodpisane certifikate, nepridipravi pa si lahko svoje izdajo z bolj ali manj preprostim vdorov v overitelje Comodo ali DigiNotar.

Kot zanimivost - tako Zeus kot SpyEye bosta drug druge pobrisala z računalnika, če se najdeta. There is no honor amongst thieves.


32 komentarjev

KoMar- ::

Zakaj URL do APK še deluje!?

c0dehunter ::

Sam za dostop do Ebanke že dalj časa uporabljam Live CD, ki sem ga naredil z Suse Studio. Trenutno nimam USB ključka z stikalom proti pisanju, zato se (še) raje zanesem na CD.
I do not agree with what you have to say,
but I'll defend to the death your right to say it.

MrStein ::

A ima hiter boot?
Kaka hibernate varianta bi bila kul, ker je hitrost vrtečih se ploščkov katastrofalna (predvsem dostopni čas).
Vsaj trik, da bi posnel na zunanjo stran DVD-ja, bi prišel prav.
Teštiram če delaž - umlaut dela: ä ?

Zgodovina sprememb…

  • spremenil: MrStein ()

c0dehunter ::

Ne, boot time je 2-3 minute, kar je katastrofa, ja :8) Vendar sem pripravljen potrpet, dokler se končno ne spomnem kupit ključka z zaščito proti pisanju.
I do not agree with what you have to say,
but I'll defend to the death your right to say it.

rolihandrej ::

Ta "Varnostna priporočila" so vedno smešna ko hudič. A sedaj naj že računalnik bootam iz Live CDja? Kaj bo naslednje? Naj se zaklenem v bunker globoko pod zemljo (za dostop do njega moraš napisati 1000 mestni PIN), skrbno preverim, če se kdo skriva not, prižgem računalnik, ki sem ga kupil za enkratno uporabo in pogledam svojo spletno banko? Po končanem dejanju računalnik razstrelim s par kilami dinamita? Resno?

Pa kaj smo nori ratali? Zadeva mora bit enostavna za uporabo ne pa komplicirana ko raketna znanost. Še vedno lahko dosežemo neko ravnovesje med varnostjo in uporabnostjo. In tole z live CDjem ni ravnovesje. Je varnost sam uporabnosti pa nobene.
http://www.r00li.com

c0dehunter ::

Seveda je ravnovesje med varnostjo in uporabnostjo. Stvar je še zmeraj polno funkcionalna, le da vmes ko daš CD bootat pač še skočiš na WC/po jabolko/počekirat mobitel/_vstavi_poljubno_dejanje.
To kar pa ti želiš, oz. sliši se tako, pa je plug-n-play e-banka, ki zagotovo ne more biti varna.
I do not agree with what you have to say,
but I'll defend to the death your right to say it.

Relanium ::

Jaz upam da je zaenkrat še dosti če dostopam prek Firefoxa instaliranega v ubuntuju kot sekundarnem sistemu.

murmur ::

tako da so zlikovci poleg računalnika (certifikat, geslo) za krajo


Vedno ko preberem to besedo se mi na faco nalima nasmesek. Super beseda.

MrStein ::

c0dehunter je izjavil:


To kar pa ti želiš, oz. sliši se tako, pa je plug-n-play e-banka, ki zagotovo ne more biti varna.

To je vzrok, da je večina stvari kompliciranih. Ker že v osnovi folk predpostavi, da če je prijazno, potem ni varno, in imajo ves čas razvoja rešitve v glavi "izogibaj se prijaznosti, to ziher ni varno".
Teštiram če delaž - umlaut dela: ä ?

medobear ::

Jaz namesto live boota razmisljam o Portable Firefox na write protected USB kljucku, pa certifikat zraven instaliran. Precej hitrejsa resitev IMO.

MrStein ::

Kaj pa trojanec na PC-ju?
Teštiram če delaž - umlaut dela: ä ?

rolihandrej ::

Absolutne varnosti ni in je ne more bit. Kaj pa, če ti kdo bere misli, kaj pa če je poleg tipkovnice nastavil kamero, kaj pa če bohve kaj...

Mi je zelo žal ampak raj imam enostavnost uporabe in inovativen uporabniški vmesnik kot boljšo varnost. To ne pomeni, da ta ni pomembna, vendar pa ti nobena varnost ne pomaga čisto nič, ko nečesa sploh nočeš uporabljat ker je absurdno.

Kaj lahko štejem kot dobro mero varnosti za spletno banko? Kalkulatorček, kot ga pri nas uporablja SKB, posodobljen sistem s posodobljenim AV programom in dobro mero zdrave pameti pri uporabi računalnika. To so neke normalne stvari, lahko dodaš še tako SMS preverjanje kot je omenjeno v novici ampak karkoli več bo pa naredilo stvar že preveč neuporabno. In ker vedno opažam, da so za razne luknje ponavadi krivi ljudje, lahko sklepam to - ni treba izboljšati lukenj ampak je treba izobraziti ljudi, da ne klikajo na vsako stvar, ki jim pade pod kurzor. Ljudi je treba izobrazit kako varno uporabljati računalnik in internet. Začeti pa je treba v šolah - šolski sistem je klinac na področju izobraževanja glede računalništva. In, če se otrok ne zanima za to podočje ne bo iz osvnovne šole o računalništvu odnesel nič - NULA. Namesto, da učijo butasto urejanje besedil bi raje učili kako razločiti prave informacije od nategov - bi bilo veliko bolj koristno. Prav tako je treba izobrazit starejše - danes se to sicer že izboljšuje. Imamo tečaje za starejše kjer se ljudje naučijo nekaterih osnov. Nažalost se daje premalo poudarka na varnosti. Drug problem je pa ker se vedno uči uporabljat programe - to ni prav. Pride na novo verzijo programa in se ne znajde več v njemu - to lahko vodi do hudih varnostnih lukenj. Vsi programi že danes imajo neke osnovne stvari enake. Opcije kot so copy&paste so na istih lokacijah po programih, in tako naprej. Apple in Microstft (pa verjetno še kdo) se zelo trudita poenotit uporabniški vmesnik v različnih programih, tako da je prehod iz enega programa v drugega neboleč.
http://www.r00li.com

Jst ::

SKB net z žeton sistemom je dober kompromis med enostavnostjo uporabe in varnostjo.


---

Katera banka je imela dostop do spletnih storitev narejeno tako, da je bilo geslo PIN, ki si ga imel na bančni kartici? ABanka mogoče?
Proton decay is a tax on existence.

ninja4it ::

"Strokovnjaki zato priporočajo, da uporabniki pred vsako prijavo v spletno bančništvo računalnik zaženejo z namenskega USB ali CD ploščka, npr. linux live CD-ja."


Tle sta 2 tečni zadevi: 1 - vedno moraš na novo uvozit certifikat za spletno bančništvo, 2 - velikokrat si s takšnim načinom omejen s pravicami pisanja.

madmitch ::

Ukineš e-bako, greš na kolo in v prvo poslovalnico.
Nobody is perfect, my name is Nob Ody

ales85 ::

c0dehunter mogoče ti pa težavo s počasnim zagonom reši virtual machine pa znotraj te, bootaš iz ISO live CD-ja?

techfreak :) ::

Kako bi ti pa to koristilo? Če je host okužen, ni guest nič bolj varen.

ales85 ::

Če je host okužen pa nima direktnega dostopa do guesta mu ne bo nič (shared clipboard, ...). Razen, če misliš da bo host iz guesta zvezdice bral. Če mu vse pritiske tipkovnice nekam pošilja bo pa tudi že nekje opazil težave...

BigBoss ::

Neki ne štekam.
Zakaj bi računalnik bootal iz CD-ja, če ti kradejo kode iz telefona ?

Pa še nekaj mi ni jasno.
Če je koda uporabna samo enkrat in v seji s strežnikom znotraj katere je bila zahtevana, zakaj jo potem sploh krasti ?

Zgodovina sprememb…

  • spremenil: BigBoss ()

techfreak :) ::

ales85 je izjavil:

Če je host okužen pa nima direktnega dostopa do guesta mu ne bo nič (shared clipboard, ...). Razen, če misliš da bo host iz guesta zvezdice bral. Če mu vse pritiske tipkovnice nekam pošilja bo pa tudi že nekje opazil težave...

Tudi pri VMju ima host dostop do tipkovnice in miške, torej lahko bere znake. Poleg tega če je host okužen, lahko pridejo tudi do guesta.

Looooooka ::

NLB-jeva resitev z virtualno tipkovnico, random pozicioniranjem tipk in geslom, ki ga dobis po posti se mi zdi cist ok.Plus ne verjamem, da folk kr tkole instalira programe kar se tice bancnistva...ce pa ze jim je pa cisto prav.

dani8oy ::

Looooooka je izjavil:

NLB-jeva resitev z virtualno tipkovnico, random pozicioniranjem tipk in geslom, ki ga dobis po posti se mi zdi cist ok.Plus ne verjamem, da folk kr tkole instalira programe kar se tice bancnistva...ce pa ze jim je pa cisto prav.


Uh, meni pa gre grozno na živce ta zadeva. Na sploh, veliko bank daje cel kup nekih varnostnih mehanizmov, ki velikokrat zmanjšujejo uporabnost (je rolihandrej lepo napisal). Naj mi tudi omogočijo, da si izklopim, če teh mehanizmov ne želim. Magari podpišem aneks, da sam odgovarjam za posledice itd...

Zgodovina sprememb…

  • spremenil: dani8oy ()

carota ::

Banka Koper ima to po moje dobro rešeno:
- odpreš homepage (HTTPS),
- vpišeš številko svojega računa,
- vstaviš bančno kartico v kalkulator,
- v kalkulator vpišeš šifro izpisano na ekranu in vneseš PIN svoje kartice,
- prepišeš generirano kodo in si noter.

Ni potrebe po nameščanju certifikatov, geslo velja samo 1x, socialni inženiring ne pomaga saj bi zlikovec potreboval tako kartico kot PIN.

DejaVu ::

Fora je v tem, da dejansko obstaja 100% varni mehanizem proti vsej inštalirani krami, ki krade bančne podatke. Žalostno pa je to, da banke vedno znova uvajajo neke budaste in nesmiselne prijeme, ki niso 100% varni.

5er--> ::

Looooooka je izjavil:

NLB-jeva resitev z virtualno tipkovnico, random pozicioniranjem tipk in geslom, ki ga dobis po posti se mi zdi cist ok.Plus ne verjamem, da folk kr tkole instalira programe kar se tice bancnistva...ce pa ze jim je pa cisto prav.

PS: Ta virtualna tipkovnica je še en security teater. Screenshot + pozicije klikov miške rešijo tudi ta problem. Zlobni programi, ki to znajo so že v uporabi. (IIRC par let stare novice tukaj na ST.)

Dany123 ::

In kako veš če imaš okužen telefon? Zgolj in samo s tem da imaš prazen bančni račun? :)

Markoff ::

rolihandrej je izjavil:

Ta "Varnostna priporočila" so vedno smešna ko hudič. A sedaj naj že računalnik bootam iz Live CDja? Kaj bo naslednje? Naj se zaklenem v bunker globoko pod zemljo (za dostop do njega moraš napisati 1000 mestni PIN), skrbno preverim, če se kdo skriva not, prižgem računalnik, ki sem ga kupil za enkratno uporabo in pogledam svojo spletno banko? Po končanem dejanju računalnik razstrelim s par kilami dinamita? Resno?

Pa kaj smo nori ratali? Zadeva mora bit enostavna za uporabo ne pa komplicirana ko raketna znanost. Še vedno lahko dosežemo neko ravnovesje med varnostjo in uporabnostjo. In tole z live CDjem ni ravnovesje. Je varnost sam uporabnosti pa nobene.

Žal preveč redko slišim takšne besede. Na tem svetu obstaja veliko ljudi, ki prisega na varnosti ueber alle in ne razumejo, da za skoraj 100% varnost vložiš nesorazmerna sredstva, ki se nikoli ne povrnejo. Po drugi strani samo funkcionalnost ne prinese ničesar, če ni pravih kontrol, ergo kakovosti in varnosti.
Tole z live CDjem se lahko spomni le nekdo, ki ima preveč časa za takšne neumnosti (npr. jaz pred 10+ leti). Zato, da dostopam do spletne banke, se bom zajebaval s takšnimi zadevami? In potem vsake pol leta kreiral nov LiveCD, ker se bodo v OS+browser v vmesnem času pojavile varnostne luknje, ker bo treba zamenjati certifikat, ki je potekel, ipd.? Nehajte ga no srat.

Zakaj npr. meni še niso vdrli v spletno bančništvo? Moja teorija:
1. Ker sem padel ven iz vzorca naključno napadenih mašin.
2. Ker redno posodabljam OS+AV (čeprav še vedno uporabljam XP SP2 in free AV).
3. Ker ne hodim na strani tipa xxx in tiste s končnico .ru ali .cn. Pravzaprav redno obiskujem kakšnih 5-10 strani, ostale le po trezni presoji. FW je seveda up and running, razni FireFox pop-up filtri tudi.
4. Ker je moje geslo dovolj dolgo in kompleksno, da se ga v razumnem času ne da razbiti ne z brute force, ne z dictionary napadom.
5. Ker sem svoj router ustrezno zaščitil (kup neprivzetih gesel, MAC filtering, neobjava SSID, osnovne zadeve, a so vse vklopljene) pred war-driverji-kolesarji-pešci-sosedi.

Še vedno mi teoretično lahko izpraznijo račun, a verjetnost za nastanek takega dogodka limitira proti 0. Še posebej glede na to, da sem bolj zaščiten kot 99,9% preostalih uporabnikov neta. Več kot to se enostavno ne grem, pa že raje začnem obiskovati poslovalnico. Manj časa in zajebancije.

Zapomnite si eno sveto resnico iz sveta risk managementa (kamor sodi tudi (informacijska) varnost): cost of a control must never exceed its benefit.

DejaVu je izjavil:

Fora je v tem, da dejansko obstaja 100% varni mehanizem proti vsej inštalirani krami, ki krade bančne podatke. Žalostno pa je to, da banke vedno znova uvajajo neke budaste in nesmiselne prijeme, ki niso 100% varni.

In ti boš seveda jutri poslal ponudbo za prodajo in vpeljavo tega mehanizma na vse velike banke sveta in postal milijarder, mi pa vsi varni.

Good morning, sunshine, this is planet Earth! There are only 2 certainties in life: death and taxes. I believe in the second certainty.
Ad astra per aspera

Zgodovina sprememb…

  • spremenilo: Markoff ()

MrStein ::

Markoff je izjavil:


Zakaj npr. meni še niso vdrli v spletno bančništvo? Moja teorija:
1. Ker sem padel ven iz vzorca naključno napadenih mašin.
2. Ker redno posodabljam OS+AV (čeprav še vedno uporabljam XP SP2 in free AV).
3. Ker ne hodim na strani tipa xxx in tiste s končnico .ru ali .cn. Pravzaprav redno obiskujem kakšnih 5-10 strani, ostale le po trezni presoji. FW je seveda up and running, razni FireFox pop-up filtri tudi.
4. Ker je moje geslo dovolj dolgo in kompleksno, da se ga v razumnem času ne da razbiti ne z brute force, ne z dictionary napadom.
5. Ker sem svoj router ustrezno zaščitil (kup neprivzetih gesel, MAC filtering, neobjava SSID, osnovne zadeve, a so vse vklopljene) pred war-driverji-kolesarji-pešci-sosedi.

Zanimivo:
(1. Ne vem kaki vzorec sem.)
2. Nimam AV* (imam pa XP SP3 up-to-date)
3. Na xxx sem skoz (ok, recimo, kao), ne diskriminiram strani glede na končnico (je pa res kitajskih in ruskih malo v mojem naboru obiskanih strani). FW nimam (razen Windowsovega). FF in Chrome nimata nobenih dodanih pop-up blokerjev in podobno.
4. Geslo je srednje kvalitete. (tako Windows kot od banke, od ruterja je celo preprost)
5. Ruter ima defolt WPA2-PSK geslo iz treh besed in treh cifer, brez omenjene krame (koliko gesel pa imaš na ruterju???)

Nič okužb in praznjenja bančnih računov. Tako imam že od nekdaj (10 in več let - OK WLAN in banke nimam tak dolgo, kdaj so uvedli Klik na NLB?)


* - OK, predvčerajšnjim sem iz firbca instaliral MSE, ampak bo letel dol, ker vidno upočasnjuje PC


--------------------------------------------------


BigBoss je izjavil:

Neki ne štekam.
Zakaj bi računalnik bootal iz CD-ja, če ti kradejo kode iz telefona ?

Pa še nekaj mi ni jasno.
Če je koda uporabna samo enkrat in v seji s strežnikom znotraj katere je bila zahtevana, zakaj jo potem sploh krasti ?

1.) Napadalec za uspešno zlorabo ponavadi potrebuje tudi podatke iz PC-ja.
2.) Zato ker ti trojanec na PC natvezi, da si plačal RTV naročnino, v resnici pa nisi in lahko kodo uporabijo za drugo plačilo.
Teštiram če delaž - umlaut dela: ä ?

Zgodovina sprememb…

  • spremenil: MrStein ()

MrStein ::

carota je izjavil:

Banka Koper ima to po moje dobro rešeno:
- odpreš homepage (HTTPS),
- vpišeš številko svojega računa,
- vstaviš bančno kartico v kalkulator,
- v kalkulator vpišeš šifro izpisano na ekranu in vneseš PIN svoje kartice,
- prepišeš generirano kodo in si noter.

Ni potrebe po nameščanju certifikatov, geslo velja samo 1x, socialni inženiring ne pomaga saj bi zlikovec potreboval tako kartico kot PIN.

Trojanec "reši problem". (pri drugih pristopih žal tudi)
Teštiram če delaž - umlaut dela: ä ?

Zgodovina sprememb…

  • spremenil: MrStein ()

DejaVu ::

Markoff je izjavil:

DejaVu je izjavil:

Fora je v tem, da dejansko obstaja 100% varni mehanizem proti vsej inštalirani krami, ki krade bančne podatke. Žalostno pa je to, da banke vedno znova uvajajo neke budaste in nesmiselne prijeme, ki niso 100% varni.

In ti boš seveda jutri poslal ponudbo za prodajo in vpeljavo tega mehanizma na vse velike banke sveta in postal milijarder, mi pa vsi varni.

Good morning, sunshine, this is planet Earth! There are only 2 certainties in life: death and taxes. I believe in the second certainty.


Nič ne bom poslal, ker kot prvo, nisem neko razpoznavno podjetje in vprašanje če bi me kdo resno jemal in kot drugič, idejo bi lahko ukradli brez problema. Patentiranje pa zahteva tolko dokumentacije, dnarja itd... da moraš tudi že neko podjetje bit.

MrStein je izjavil:

carota je izjavil:

Banka Koper ima to po moje dobro rešeno:
- odpreš homepage (HTTPS),
- vpišeš številko svojega računa,
- vstaviš bančno kartico v kalkulator,
- v kalkulator vpišeš šifro izpisano na ekranu in vneseš PIN svoje kartice,
- prepišeš generirano kodo in si noter.

Ni potrebe po nameščanju certifikatov, geslo velja samo 1x, socialni inženiring ne pomaga saj bi zlikovec potreboval tako kartico kot PIN.

Trojanec "reši problem". (pri drugih pristopih žal tudi)


Kot pravim, obstaja pristop, ki ga trojanec ne reši :p

Zgodovina sprememb…

  • spremenil: DejaVu ()

techfreak :) ::

Kot pravim, obstaja pristop, ki ga trojanec ne reši :p

In kakšen je ta pristop?

SkipEU ::

rolihandrej je izjavil:

Naj se zaklenem v bunker globoko pod zemljo (za dostop do njega moraš napisati 1000 mestni PIN), skrbno preverim, če se kdo skriva not, prižgem računalnik, ki sem ga kupil za enkratno uporabo in pogledam svojo spletno banko? Po končanem dejanju računalnik razstrelim s par kilami dinamita? Resno?


Prispevek meseca! Jaz nič ne kompliciram, obiskujem tudi xxx, .ru in .cn strani, kode so bolj povprečne, pa so mi do zdaj samo enkrat kartico ukradli. Smo preklicali in naredili novo, z varnostjo pa še vedno ne norim. Ob tem, da te banka kliče za vsako čudno transakcijo, da preverijo, če je malo večji znesek, potem pa je tu še varnostni SMS - čisto dovolj.


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

SpyEye e-bančni trojanec na voljo za Androida

Oddelek: Novice / Varnost
323993 (2501) SkipEU
»

Nov, tehnično dovršen napad na nemške spletne banke

Oddelek: Novice / Varnost
234087 (2746) Matthai
»

Ribarjenje vedno manj priljubljeno

Oddelek: Novice / Zasebnost
213989 (2573) fiction
»

Varnostna analiza bančnega protokola: Chip Authentication Programme je neustrezen

Oddelek: Novice / Varnost
122959 (2350) fosil
»

Visa z (zelo) pametnimi karticami

Oddelek: Novice / --Nerazporejeno--
304253 (2857) Matthai

Več podobnih tem