Trojan.Banker.Win32
Trojan.Banker.Win32 – широкое семейство троянских программ, ворующих информацию, которая позволяет злоумышленнику получить доступ к банковским счетам пользователя.
Существует несколько видов троянских программ, различающихся механизмом получения банковских данных:
- Кей логгеры — перехватывают всю вводимую с клавиатуры информацию, таким образом, злоумышленник получает все логины и пароли для банковских и платежных систем — таких как Paypal, Yandex- деньги, QIWI и т.п.
- Трояны, которые крадут файлы цифровых сертификатов для систем клиент-банк и файлы электронных кошельков.
Жертвой этого трояна станут пользователи систем клиент-банк, а также владельцы кошельков WebMoney, BitCoins и т.п. В частности для WebMoney похищаются файлы секретного ключа и виртуального «кошелька». При необходимости похищается так же логин и пароль пользователя. - Узкоспециализированные троянские программы, нацеленные на приложения для работы с Internet-банкингом.
Не секрет, что многие крупные банки разрабатывают свои собственные программы для работы с сервисом Internet-банк, в соответствии с этим, для каждой такой программы злоумышленники разрабатывают свою программу для перехвата передаваемых данных.
Пример троянской программы маскирующеся под приложения для бразильского банка Bradesco:
- Самое многочисленное семейство — трояны которые воруют данные кредитных карт. Узнав имя владельца, номер пластиковой карточки, Expirion date и CVV2 — злоумышленник быстро обчищает банковский счет пострадавшего.
Для кражи данных пластиковых карт, трояны применяют следующие приемы:
- Сканирование файлов на компьютере для поиска номеров карточек (некоторые пользователи хранят все данные о карточках в обычных текстовых файлах).
- Подмена официальных страниц банков и магазинов на фальшивые. В этом случае, в памяти компьютера присутствует троянская программа, которая на ходу изменяет web-страницу в браузере и перенаправляет пользователя на поддельную страницу, или же добавляет на web-страницу поддельные поля для ввода данных кредитной карточки.
Пример троянской программы которая выводит на web-странице поддельную форму для «проверки кредитной карточки»
- Кража данных с заполненных форм. В данном случае, троян не изменяет web-страницу, но крадет финансовую информацию при заполнении формы оплаты.
- Фальшивые антивирусы и программы оптимизаторы, которые находят на компьютере не существующие угрозы и предлагают их исправить, но конечно не бесплатно, а после оплаты их «полной версии».
Пример фальшифого антивируса, предлагающего приобрести «полную версию»:
- Рекламные программы, которые терроризируют пользователя навязчивой рекламой, а потом перенаправляют его на сайт злоумышленников, где ему предлагается ввести данные кредитной карты для оплаты.
- Программы вымогатели, которые блокируют компьютер или же закриптовывают файлы на компьютере, а потом требуют оплату за восстановление работоспособности.
Пример программы блокировщика, маскирующегося под активацию Windows:
- Троянские программы для банкоматов — специализированные вредоносные программы, которые пишутся профессионалами, глубоко разбирающимися в принципах работах банкоматов. Позволяют злоумышленнику беспроблемно снять большую часть наличности банкомата, или же осуществлять при помощи него другие финансовые махинации.
- Троянские программы для смартфонов (в основном для систем Android).
В настоящее время множество систем Internet-банкинга привязано к мобильному номеру клиента. При помощи телефона можно оплатить счет или сделать денежный перевод. Проверочные коды для осуществления операций, приходят в виде SМS на мобильный номер клиента, и могут быть легко похищены троянской программой.
Этой особенностью поспешили воспользоваться злоумышленники, создав сотни троянов замаскированных под игры и утилиты. Пользователь, как правило, сам устанавливает на свой телефон вредоносную программу, соблазнившись скачать новую бесплатную игрушку из PlayMarket.
Загруженный троян получает полный доступ к SMS сообщениям, и начинает переводить деньги, самостоятельно отправляя и принимая SMS. Банковские трояны для мобильных телефонов представляют собой большую опасность, и могут без ведома пользователя, быстро перевести все его деньги на счет злоумышленника.
Пример фальшивого антивируса для Android, который находит несуществующие угрозы и предлагает их устранить после оплаты.
- Троянские программы перехватывающие и анализирующие сетевой трафик. Данная разновидность троянов пытается найти важную информацию в перехватываемых сетевых пакетах. В частности этим занимается троян OSX/CoinThief работающий в среде операционной системы MAC OS X. Его основной задачей является кража криптовалюты Bitcoin, для этого троян перехватывает и анализирунет сетевой трафик.
Троянские программы для кражи банковской информации зачастую представляют собой сложные и многокомпонентные программные комплексы. К примеру, один компонент удаляет антивирусную программу с компьютера, другой подменят web-страницы для кражи данных пластиковой карточки, третий маскирует следы своей деятельности, четвертый занимается шифрованием передаваемой информации.
Среди всех вредоносных программ — банковские трояны наносят самый большой финансовый ущерб своим жертвам.
Троян-банкер
Троян-банкер (англ. Trojan banker) — это вид вредоносного программного обеспечения, который предназначен для кражи финансовых данных, таких как номера банковских карт, пароли, данные о банковских счетах и другие финансовые сведения. Эти программы получили свое название от античной легенды о Троянской лошади, потому что они могут скрываться внутри других программ, как бы незаметно проникая в систему и затем скрытно собирать и передавать финансовые данные злоумышленникам. Троян-банкеры часто распространяются через электронную почту, социальные сети, вредоносные сайты или другие пути.
Троян-банкер
или «банкеры» крадут данные учетных записей электронных банковских систем, систем электронных платежей, пластиковых карт пользователей этих услуг и отправляют данные своему хозяину.
Поиск
Алфавитный указатель
Тайпсквоттинг (Typosquatting)
Текстовая бомба
Техника Process Doppelgänging
Технология единого входа (SSO)
Токен
Троян-банкер
Троянец (трояны)
Троянец-дроппер
Троянец-кликер
Троянец-майнер
Троянец-стилер (Trojan-PSW, Password Stealing Ware)
Троянцы-шпионы
Троянцы, ворующие пароли (Trojan-PSW)
Продукты для дома
Наши передовые решения помогают защитить то, что для вас ценно. Узнайте больше о нашей удостоенной наград защите.
Бесплатные утилиты
Наши бесплатные утилиты помогают обеспечить защиту ваших устройств на базе Windows, Mac и Android.
О компании
Узнайте больше о том, кто мы, как мы работаем и почему наша главная цель – сделать цифровой мир безопасным для всех.
Пробные версии
Попробуйте наши решения. Всего за несколько кликов вы можете скачать бесплатные пробные версии нашего продукта и проверить их в действии.
Связаться с нами
Наша главная цель – обеспечить вашу безопасность. Мы всегда готовы ответить на ваши вопросы и оказать техническую поддержку.
Tinba (Tiny Banker Trojan)
Tiny Banker Trojan, также называемый Tinba, — это вредоносная программа, нацеленная на веб-сайты финансовых учреждений. Она представляет собой модифицированную форму более старой разновидности вирусов, известных как троянцы Banker Trojans, но имеет гораздо меньший размер и большую мощность. Она работает путем организации атак типа «человек в браузере» и сетевого сниффинга. С момента своего обнаружения он заразил более двух десятков крупных банковских учреждений в США, включая TD Bank, Chase, HSBC, Wells Fargo, PNC и Bank of America. Он предназначен для кражи конфиденциальных данных пользователей, таких как информация для входа в систему и банковские коды.
История
Впервые Tiny Banker был обнаружен в 2012 году, когда было установлено, что он заразил тысячи компьютеров в Турции. После обнаружения исходный код вредоносной программы просочился в Интернет и начал подвергаться отдельным изменениям, что усложнило процесс ее обнаружения для учреждений. Это сильно модифицированная версия троянца Zeus, который имел очень похожий метод атаки для получения той же информации. Однако Tinba оказалась гораздо меньше по размеру. Меньший размер делает вредоносную программу более сложной для обнаружения. Tinba имеет размер всего 20 КБ, что значительно меньше, чем любой другой известный троянец. Для сравнения, средний размер файла веб-сайта для настольных компьютеров составляет около 1 966 КБ.
Общее описание Tinba
Tinba работает с использованием пакетного сниффинга — метода чтения сетевого трафика, чтобы определить, когда пользователь переходит на банковский веб-сайт. Затем вредоносная программа может выполнить одно из двух различных действий, в зависимости от вариации. В своей наиболее популярной форме Tinba захватывает форму веб-страницы, вызывая атаку «человек посередине». Троянец использует захват формы для перехвата нажатий клавиш до того, как они будут зашифрованы HTTPS. Затем Tinba отправляет нажатия клавиш в командно-контрольный центр. Этот процесс, в свою очередь, приводит к краже информации пользователя.
Второй метод, используемый Tinba, заключается в том, чтобы позволить пользователю войти на веб-страницу. После того как пользователь вошел, вредоносная программа использует информацию о странице для извлечения логотипа компании и форматирования сайта. Затем она создает всплывающую страницу, информирующую пользователя об обновлениях в системе и запрашивающую дополнительную информацию, например, номер социального страхования. Большинство банковских учреждений информируют своих пользователей о том, что они никогда не будут запрашивать эту информацию в качестве средства защиты от подобных атак. Tinba была модифицирована для защиты от этих атак, и стала запрашивать у пользователей информацию, которая задается в качестве вопросов безопасности, например, девичью фамилию матери пользователя, в попытке злоумышленника использовать эту информацию для сброса пароля в более позднее время.
Tinba также внедряется в другие системные процессы, пытаясь превратить хост-машину в зомби, безвольного члена ботнета. Для поддержания связи в ботнете Tinba имеет четыре домена, поэтому если один из них выходит из строя или теряет связь, троянец может сразу же искать один из остальных.