Analyse d’un cheval de Troie ciblant la Banque Cantonale de Zurich

In FinTech, Sécurité de l'info

Your security code - Trojan against ZKB example (source LastLine Labs)

Déroulez ici

Les sites bancaires ne cessent d’être la cible de malwares et les applications mobiles sont aujourd’hui des cibles très appréciées. Pour mieux les comprendre, LastLine Labs, un spécialiste de la sécurité, a décortiqué les entrailles de l’un d’eux  ciblant la Banque Cantonale de Zurich.


Pour m'offrir un café en échange du travail de veille réalisé gratuitement

Rien n'arrêtera les malwares

Malheureusement, le phishing et les malwares ne cessent de se renouveler pour mieux mettre à  mal les mesures de sécurité en place comme le démontre le  dernier venu Zberp, un malware hybride combinant les là¢ches facultés de  Zeus et de Carberp.

La tendance montre que les mobiles deviennent des cibles de choix et ceci pour  2 raisons:

  1. Moins de sécurité : Les terminaux mobiles sont encore aujourd’hui  moins bien protégés que les postes de travail fixe. Les antivirus et autres solutions de sécurité ne font pas encore  partie de l’arsenal standard de tout internaute. En conséquence, la cible est plus facile à  “atteindre” si l’on adopte  un vocabulaire de chasseur;
  2. Maillon faible de l’e-banking : L’authentification forte, combinant 2 facteurs différents, est devenu un standard minimum pour les sites e-banking. Souvent, économiquement, le sms est la solution favorite pour transmettre le code de session et le mobile devient alors légitimement une cible privilégiée des attaques.

 Une pompe à  information

Pour mieux comprendre le mode opératoir de ces malwares, LastLine Labs a détaillé récemment les entrailles d’un exécutable ciblant la Banque Cantonale de Zurich. Comme mentionné dans l’article, l’emballage du virus peut très vite évolué et s’adapter bien entendu à  une autres banque.

Lors de cette autopsie du code, il a été mis en évidence la capacité du maliciel à   pomper beaucoup d’information y compris les sms. Dans le cas d’une authentification TAN, cette information combinée au numéro de contrat bancaire et le mot de passe transmis via l’interface du malware est le sésame pour accèder aux comptes en ligne d’une personne, que l’on peut dorénavant appelé une  victime. Ainsi, sitôt l’information collectée, ces informations sont envoyées vers les serveurs des pirates via un ou plusieurs sites relais comme le rapporte cette analyse.

Looking at the app from the user’s perspective, we have seen that it asks for credentials. As expected, whatever the user enters is sent out to the malware’s author. Also, the app monitors incoming SMS and forwards them to the attacker (potentially to capture Transaction Numbers for online banking). Along with the stolen data, the Trojan reports various details of the victim’s phone, such as the version of the operating system, the phone number, carrier and country code.

Let’s focus a little more on how the stolen data is transferred from the victims’ phones to the attacker. Apparently, the author of this Trojan has gained unauthorized access to a number of legitimate web servers that now act as intermediaries between infected phones and the attacker’s server. The infected phones only know the URLs of the compromised web servers, so that the destination of the exfiltrated data remains hidden even when the Trojan app is analyzed. Tracing the data further would require access to one of the intermediaries. This is a common, very basic strategy for attackers to hide and stay flexible

Lire l’article complet via  Analyzing a banking Trojan.

 

Laisser un commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

La newsletter