แอพพลิเคชันเหล่านี้ถูกสร้างขึ้นโดยแก๊งที่ใช้ตัวแปรของมัลแวร์ประเภทธนาคาร Carberp เพื่อกำหนดเป้าหมายลูกค้าของธนาคารหลายแห่งของรัสเซีย Denis Maslennikov นักวิเคราะห์อาวุโสด้านมัลแวร์ของ Kaspersky กล่าวในบล็อกโพสต์เมื่อวันศุกร์ที่ผ่านมา

[อ่านเพิ่มเติม: วิธีลบมัลแวร์จากคอมพิวเตอร์ที่ใช้ Windows ของคุณ]

เพื่อที่จะพ่ายแพ้ในการป้องกันแบบนี้ อาชญากรไซเบอร์สร้างแอปบนอุปกรณ์เคลื่อนที่ที่เป็นอันตรายซึ่งจะซ่อนข้อความ SMS ที่ได้รับจากหมายเลขที่เชื่อมโยงกับธนาคารเป้าหมายโดยอัตโนมัติและอัปโหลดข้อความเหล่านั้นกลับไปยังเซิร์ฟเวอร์ของตนโดยไม่ตั้งใจ ผู้ที่ตกเป็นเหยื่อจะถูกหลอกในการดาวน์โหลดและติดตั้งแอพพลิเคชันเหล่านี้บนโทรศัพท์ของพวกเขาผ่านทางข้อความโกงที่ปรากฏขึ้นเมื่อไปที่เว็บไซต์ธนาคารของตนจากคอมพิวเตอร์ที่ติดไวรัส

แอป SMS stealing ได้ถูกนำมาใช้ร่วมกับ Zeus และ SpyEye Banking Trojan และเป็นที่รู้จักกันว่า Zeus -in-the-Mobile (ZitMo) และ SpyEye-in-the-Mobile (SpitMo) ส่วนประกอบ อย่างไรก็ตามนี่เป็นครั้งแรกที่มีการค้นพบคอมโพเนนต์มือถือหลอกลวงที่ออกแบบเฉพาะสำหรับมัลแวร์ Carberp Maslennikov กล่าว "

เหมือน Zeus และ SpyEye โปรแกรม Carberp Trojan จะใช้เพื่อกำหนดเป้าหมายลูกค้าธนาคารออนไลน์จากรัสเซียและรัสเซีย - ประเทศที่พูดเช่นยูเครนเบลารุสหรือคาซัคสถาน

โทรจันคว่ำโดยแก๊งอื่น ๆ

ตามรายงานจาก ESET ผู้ผลิตซอฟต์แวร์ป้องกันไวรัสในเดือนกรกฎาคมเจ้าหน้าที่ของรัสเซียจับกุมคนที่อยู่เบื้องหลังการดำเนินงาน Carberp ที่ใหญ่ที่สุดสามแห่ง อย่างไรก็ตามมัลแวร์ยังคงถูกใช้โดยแก๊งอื่นและมีการจำหน่ายในตลาดใต้ดินด้วยราคาตั้งแต่ US $ 5,000 ถึง $ 40,000 ขึ้นอยู่กับรุ่นและคุณลักษณะต่างๆ

"นี่เป็นครั้งแรกที่เราเห็นมือถือที่เป็นอันตราย คอมโพเนนต์จากแก๊ง Carberp "Aleksandr Matrosov นักวิจัยอาวุโสด้านมัลแวร์ที่ ESET ผู้จำหน่ายโปรแกรมป้องกันไวรัสเปิดเผยว่าทางอีเมล์ "คอมโพเนนต์มือถือใช้เฉพาะกลุ่ม Carberp คนเดียว แต่เราไม่สามารถเปิดเผยรายละเอียดเพิ่มเติมได้ในปัจจุบัน"

แอพพลิเคชัน Carberp-in-the-Mobile (CitMo) ใหม่ใน Google Play ถูกปลอมแปลงเป็นแอพพลิเคชันเคลื่อนที่จาก Sberbank และ Alfa-Bank ซึ่งเป็นธนาคารที่ใหญ่ที่สุดของรัสเซียและ VKontakte ซึ่งเป็นเครือข่ายสังคมออนไลน์ที่ได้รับความนิยมมากที่สุดในรัสเซีย Maslennikov กล่าว Kaspersky ได้ติดต่อกับ Google เมื่อวันพุธที่ผ่านมาและทุกรุ่นของ CitMo ถูกลบออกจากตลาดในวันพฤหัสบดีนี้

อย่างไรก็ตามข้อเท็จจริงที่ว่าอาชญากรไซเบอร์สามารถอัปโหลดแอปเหล่านี้ไปยัง Google Play ได้ในตอนแรกทำให้เกิดคำถามเกี่ยวกับประสิทธิภาพของตลาดแอป ป้องกันมัลแวร์เช่นเครื่องสแกนเนอร์ป้องกันมัลแวร์ที่ Bouncer ประกาศโดย Google เมื่อต้นปีนี้

"ดูเหมือนว่าไม่ใช่เรื่องยากที่จะหลีกเลี่ยงการป้องกันของ Google Play เนื่องจากมัลแวร์ยังคงปรากฏเป็นประจำอยู่" Maslennikov กล่าวทางอีเมล

Bogdan Botezatu นักวิเคราะห์อาวุโสด้านอีเลิร์นนัลของ Bitdefender เชื่อว่าอาจเป็นเรื่องยากสำหรับ Bouncer ของ Google ในการตรวจจับส่วนประกอบ ZitMo, SpitMo หรือ CitMo เนื่องจากมีลักษณะคล้ายคลึงกับแอพพลิเคชันที่ถูกต้องตามกฎหมาย

รุ่นของโทรจันจะรับผิดชอบเฉพาะกับการหักหลัง SMS ที่ได้รับและส่งต่อเนื้อหาไปยังผู้รับอื่นและลักษณะการทำงานนี้จะพบได้ในแอ็พพลิเคชันที่ถูกต้องเช่น SMS mana ปพลิเคชัน gement หรือแม้กระทั่งโปรแกรมที่ช่วยให้ผู้ใช้สามารถควบคุมอุปกรณ์ของพวกเขาจากระยะไกลผ่านทาง SMS ในกรณีที่พวกเขาได้รับการถูกขโมยหรือสูญหาย "เขากล่าวผ่านทางอีเมล "การสกัดกั้นทาง SMS เป็นคุณลักษณะที่ได้รับการจัดทำเป็นเอกสารไว้อย่างดีในฟอรัมพร้อมกับโค้ดตัวอย่างถ้าโค้ดตัวอย่างเดียวกันถูกใช้ทั้งในแอพพลิเคชันที่เป็นอันตรายและ legit ก็จะยิ่งยากที่จะตรวจจับและบล็อก"ความสามารถในการใช้ Google Play ในการแจกจ่ายแอปพลิเคชันที่ขโมยเงินผ่าน SMS มีข้อดีสำหรับอาชญากรไซเบอร์ Botezatu กล่าว ประการแรกอุปกรณ์ผู้ใช้บางรายได้รับการกำหนดค่าให้ติดตั้งแอปที่ได้รับจาก Google Play เท่านั้น นอกจากนี้ผู้ใช้มักไม่ค่อยมีข้อสงสัยเกี่ยวกับแอปที่ดาวน์โหลดผ่าน Google Play และให้ความสำคัญกับสิทธิ์ของพวกเขาเนื่องจากคาดว่าแอพพลิเคชันจะเป็นคำอธิบายของพวกเขาที่อ้างว่าเป็นเช่นนั้น