SpyEye e-bančni trojanec na voljo za Androida

Ruski razvijalci online banking trojanca SpyEye so pripravili še Android različico Spitmo, namenjeno kraji enkratne potrditvene kode (TAN, transaction authentication number), ki jo uporabnik spletnega bančništva prejme po SMS-u in z njo potrdi transakcijo. Banke so namreč že pred leti posredi visokih stroškov z zlorabami uvedle dvofaktorsko avtorizacijo transakcij, tako da so zlikovci poleg računalnika (certifikat, geslo) za krajo denarja z bančnih računov morali kontrolirati tudi uporabnikov mobilni telefon. Druga možnost so majhni kalkulatorčki enkratnih kod, a tudi mimo tega se da priti, npr. z malo socialnega inženiringa in pošiljanjem okuženih XLS datotek delavcem pri RSA Security, ki je eden izmed večjih proizvajalcev teh kalkulatorčkov.

SpyEye mora biti najprej nameščen na računalniku, kamor praviloma pride skozi kak Flash, PDF ali Java exploit. Ko uporabnik obišče spletno stran svoje banke, se mu najprej prikaže "varnostno opozorilo", ki mu priporoča dodatno zavarovanje mobilnega telefona z namestitvijo aplikacije z naslova "hxxp://www.androidseguridad.com/simseg.apk". Nič od tega ni avtomatizirano in še vedno zahteva naivnost na strani uporabnika. No, če uspe, se program uspešno ugnezdi na androida in posreduje prejeta SMS sporočila na oddaljeni strežnik z naslovom v stilu "124sfafsaffa.com".

Kot so nedavno pisali pri H online, tovrstne zlorabe niti niso več redke, vendar banke za zdaj odgovornost odrivajo na uporabnika, ker ni zadostno zavaroval svojega računalnika. Strokovnjaki zato priporočajo, da uporabniki pred vsako prijavo v spletno bančništvo računalnik zaženejo z namenskega USB ali CD ploščka, npr. linux live CD-ja. USB bo brščas pripravnejši, saj je hitrejši in je nanj mogoče zapisati tudi uporabnikov certifikat (če ne uporablja smartcarda). Ploščico je potrebno po uporabi odklopiti od računalnika, ali pa dobiti različico s hardwersko zaščito proti pisanju (majhno stikalce na ohišju; take je malce težje najti, a so). S tem se možnost, da zlikovci hijackajo sejo z aplikacijo za spletno bančništvo, močno močno zmanjša. Še vedno se da, npr. preko hardwerskih exploitov ali preko kontroliranja mrežne povezave. Tudi SSL več ni ovira, ker uporabniki često sprejemajo tudi samopodpisane certifikate, nepridipravi pa si lahko svoje izdajo z bolj ali manj preprostim vdorov v overitelje Comodo ali DigiNotar.

Kot zanimivost - tako Zeus kot SpyEye bosta drug druge pobrisala z računalnika, če se najdeta. There is no honor amongst thieves.