Les sites bancaires ne cessent d’être la cible de malwares et les applications mobiles sont aujourd’hui des cibles très appréciées. Pour mieux les comprendre, LastLine Labs, un spécialiste de la sécurité, a décortiqué les entrailles de l’un d’eux ciblant la Banque Cantonale de Zurich.
Rien n'arrêtera les malwares
Malheureusement, le phishing et les malwares ne cessent de se renouveler pour mieux mettre à mal les mesures de sécurité en place comme le démontre le dernier venu Zberp, un malware hybride combinant les là¢ches facultés de Zeus et de Carberp.
La tendance montre que les mobiles deviennent des cibles de choix et ceci pour 2 raisons:
- Moins de sécurité : Les terminaux mobiles sont encore aujourd’hui moins bien protégés que les postes de travail fixe. Les antivirus et autres solutions de sécurité ne font pas encore partie de l’arsenal standard de tout internaute. En conséquence, la cible est plus facile à « atteindre » si l’on adopte un vocabulaire de chasseur;
- Maillon faible de l’e-banking : L’authentification forte, combinant 2 facteurs différents, est devenu un standard minimum pour les sites e-banking. Souvent, économiquement, le sms est la solution favorite pour transmettre le code de session et le mobile devient alors légitimement une cible privilégiée des attaques.
Une pompe à information
Pour mieux comprendre le mode opératoir de ces malwares, LastLine Labs a détaillé récemment les entrailles d’un exécutable ciblant la Banque Cantonale de Zurich. Comme mentionné dans l’article, l’emballage du virus peut très vite évolué et s’adapter bien entendu à une autres banque.
Lors de cette autopsie du code, il a été mis en évidence la capacité du maliciel à pomper beaucoup d’information y compris les sms. Dans le cas d’une authentification TAN, cette information combinée au numéro de contrat bancaire et le mot de passe transmis via l’interface du malware est le sésame pour accèder aux comptes en ligne d’une personne, que l’on peut dorénavant appelé une victime. Ainsi, sitôt l’information collectée, ces informations sont envoyées vers les serveurs des pirates via un ou plusieurs sites relais comme le rapporte cette analyse.
Looking at the app from the user’s perspective, we have seen that it asks for credentials. As expected, whatever the user enters is sent out to the malware’s author. Also, the app monitors incoming SMS and forwards them to the attacker (potentially to capture Transaction Numbers for online banking). Along with the stolen data, the Trojan reports various details of the victim’s phone, such as the version of the operating system, the phone number, carrier and country code.
Let’s focus a little more on how the stolen data is transferred from the victims’ phones to the attacker. Apparently, the author of this Trojan has gained unauthorized access to a number of legitimate web servers that now act as intermediaries between infected phones and the attacker’s server. The infected phones only know the URLs of the compromised web servers, so that the destination of the exfiltrated data remains hidden even when the Trojan app is analyzed. Tracing the data further would require access to one of the intermediaries. This is a common, very basic strategy for attackers to hide and stay flexible
Lire l’article complet via Analyzing a banking Trojan.
