Win32/Spy.Ranbyus нацелен на модификацию Java-кода систем удаленного банкинга Украины

в 6:10, , рубрики: Malware, Блог компании ESET NOD32, Вирусы (и антивирусы), онлайн-банкинг, метки: ,

Недавно мы обнаружили новую модификацию банковского трояна Win32/Spy.Ranbyus, который уже был предметом исследования наших аналитиков. Одна из его модификаций упоминалась Александром Матросовым в посте, посвященном эксплуатированию смарт-карт в банковских троянах. Описываемая там модификация обладает интересным функционалом, так как показывает возможность обхода операций аутентификации при осуществлении платежных транзакций с помощью устройств смарт-карт. В той же модификации был обнаружен код поиска активных смарт-карт или их ридеров, после нахождения которых бот отсылал информацию о них в командный центр C&C с описанием типа найденных устройств.

Аналитики ESET внимательно отслеживали последние модификации семейства этого трояна и выяснили, что Ranbyus начал специализироваться на модификации Java-кода в одной из самых популярных систем удаленного банкинга (remote banking systems) на Украине, а именно, BIFIT iBank 2. На момент нашего анализа, статистика ESET Virus Radar показывала, что на Украине зафиксировано наибольшее количество инфекций Ranbyus.

Win32/Spy.Ranbyus нацелен на модификацию Java кода систем удаленного банкинга Украины

Отличительной особенностью этого банковского трояна является то, что он не обладает механизмом web-инжектов, обычно применяемых в угрозах подобного рода (как, например, известный Zeus), и вместо этого реализует атаку на специфическое банковское/платежное ПО, т. е. ПО, используемое при осуществлении различного рода платежей и других банковских операций. Win32/Spy.Ranbyus собирает информацию о зараженной системе (активные процессы, версию ОС и т. д.) и отправляет ее на командный сервер (C&C). Основной функционал по краже денег основан на наборе различных форм-грабберов, нацеленных на специальное платежное ПО. Например, грабберы для ПО, разработанного под Java-платформу выглядят так:

Win32/Spy.Ranbyus нацелен на модификацию Java кода систем удаленного банкинга Украины
Код внедрения Java-граббера.

Наш коллега Александр Матросов уже описывал схожий функционал о Java-патчинге в другом семействе банковских вредоносных программ — Carberp. Carberp обладает специальным функционалом по модификации виртуальной Java-машины (Java Virtual Machine, JVM) и отслеживания активности ПО для осуществления платежей. Ranbyus использует другой подход, он модифицирует Java-код только для определенного приложения, не прибегая к модификации JVM. Например, Ranbyus может модифицировать расположение форм, чтобы скрыть информацию о поддельных транзакциях, реализованных через троян.

Win32/Spy.Ranbyus нацелен на модификацию Java кода систем удаленного банкинга Украины
Методы Java, отслеживаемые Ranbyus.

В дополнении к этому, Win32/Spy.Ranbyus может блокировать действия ПО системы удаленного банкинга и показывать такое сообщение на русском языке.

Win32/Spy.Ranbyus нацелен на модификацию Java кода систем удаленного банкинга Украины

Ranbyus нацелен только на Украинские и Российские банки и мы не наблюдали подобные атаки в других регионах. Панель управляющего центра ботнета выглядит таким образом:

Win32/Spy.Ranbyus нацелен на модификацию Java кода систем удаленного банкинга Украины

Киберпреступная группа Carberp является лидером на преступном рынке в России и уже обеспечила себе безопасное присутствие в 20-ке наиболее активных угроз в России за весь год. В то же время, Ranbyus занимает лидирующую позицию среди других банковских вредоносных программ на Украине.

Автор: esetnod32

Источник

Поделиться

* - обязательные к заполнению поля