"Універсальний мобільний банкінг"

От представителей Украинской межбанковской ассоциации членов платежных систем ЕМА 19.02.2018 получена информация о размещении в Google Play по ссылке hxxps://play.google[.]com/store/apps/details?id=gvrn.usigroshi.tit потенциально небезопасного мобильного приложения (рис. 1).

Рис. 1 

Скорее всего, исходя из относительной популярности приложения в относительно краткие сроки, расчет злоумышленников был сделан на то, что в данном приложении объединен функционал «мобильного банкинга» сразу нескольких банков:

• ПриватБанк
• Ощадбанк
• ОТП Банк
• Альфа-Банк
• Райффайзен Банк Аваль

Вместе с тем, опытный пользователь обратил бы внимание на тот факт, что приложение, после его установки, требует указать данные держателей карт, что, само по себе, уже подозрительно (рис. 2).

Рис. 2

С целью выяснения обстоятельств данное приложение (MD5: e83a8e34d02e7d63bc588423ccec1fa0) было загружено из Google Play для анализа. После декомпиляции JAVA-код выглядел примерно так (рис. 3).

Рис. 3

Так как, 1) размер приложения составлял около 4.8МБ, 2) его код был обфусцирован, но 3) угроза пребывала в активной фазе, мы сконцентрировались на извлечении network-based индикаторов компрометации (домены, IP-адреса):

C2URL: hxxps://ad1adv[.]ru/api/input.php
C2Domain: ad1adv[.]ru (создан 2017-05-07) // REG-RU [RU]
C2IP: 212.224.118[.]73 // Frankfurt Am Main - First Colo Gmbh (DE)
C2Certificate (SHA1): AB:65:C6:42:F6:2F:BA:C1:F1:76:7F:21:81:8D:02:E8:D9:51:C8:D2 (Begins On: 02/07/18) // COMODO

По линии команд реагирования на инциденты, в т.ч., при содействии CERT-UA, отправлены запросы в:

• Google Play – для удаления приложения
• First Colo Gmbh – для блокировки веб-сайта
• COMODO – для отзыва сертификата

Около 22:00 19.02.2018 вредоносное приложение было удалено из Google Play. Получилось это, безусловно, благодаря тому, что Google Play получил множество запросов из разных источников.

Так как количество установок приложения составляло от 5 000 до 10 000, сама угроза, как оказалось, активна с 07.02.2018, а функционал программы позволяет «воровать» сообщения, данные держателей карт (PAN, CVV/CVC, EXP), а также номер телефона и пароль для доступа в мобильный банкинг, единственным эффективным способом полноценной ликвидации угрозы было получение информации о скомпрометированных данных клиентов и их передача вышеупомянутым банкам для отработки. Более того, сама панель управления бот-сетью не внушала доверия (рис. 4).

Рис. 4

В результате исследования угрозы получена информация о жертвах, чьи данные, в полном составе, были переданы на сервер злоумышленникам и могли бы быть использованы для последующего (не считая уже осуществленного) мошенничества, итогом которого было бы хищение денежных средств и нанесения материального и морального ущерба клиентам банков. Примеры данных, которые оказались в распоряжении злоумышленников, на рис. 5-7:

Рис. 5 (SMS)

Рис. 6 (данные карт)

Рис. 7 (пароль к онлайн-банкингу)

Очевидно, что злоумышленники времени зря не теряли и успели «поработать» с клиентами, используя полученные в результате махинаций данные. На рис. 8 примеры сообщений/комментариев, которые оставляли мошенники (с указанием частоты встречаемости комментария). Очевидно, что работала организованная группа русско и украиноговорящих лиц.

Рис. 8

В завершение статьи приведем некоторую статистику

• Время жизни угрозы: 13 суток (угроза активна с 07.02.2018 – вывод сделан на основании времени первой записи, свидететсльствующей о компрометации данных держателей карт)
• Количество зараженных устройств: 6566
• Количество скомпрометированных данных держателей карт: 1200+
• Количество скомпрометированных паролей: 5486

Для информации отметим, что, несмотря на удаление приложения 19.02.2018 около 22:00, скомпрометированные данные продолжали поступать на сервер злоумышленников, как минимум, вплоть до 20.02.2018 11:33:39. Ни германский провайдер First Colo Gmbh (www.first-colo.net), ни COMODO, судя по всему, на момент написания статьи меры предпринять не успели.

Отдел реагирования на инциденты CyS Centrum (CyS-CERT)