Protecting over 200 million PCs, Macs, & Mobiles – more than any other antivirus


17.07.2014

Falešný exekuční příkaz ohrožuje uživatele českých bank

Poslední dobou přibývá útoků na finance uživatelů nejen ve světě, ale i v České republice. Dříve jsme se mohli setkat se škodlivými finančními kódy hlavně v anglickém jazyce, ale nyní byli za vhodnou cílovou skupinu zvoleni i Češi. Po zahřívacím kole e-mailů, tehdy ještě značně amatérských, týkajících se nedoplatků v bankách, se objevila nová vlna zpráv vyššího kalibru. E-maily se nyní tváří jako exekuční příkaz, který na první pohled vypadá velmi přesvědčivě, takže velké množství lidí přílohu automaticky otevře, aniž by se zamysleli nad tím, že takový e-mail by vlastně vůbec dostat neměli. Příklad takového e-mailu:

VÝZVA K ÚHRADĚ DLUŽNÉHO PLNĚNÍ PŘED PROVEDENÍM EXEKUCE

Soudní exekutor Mgr. Bednář, Richard, Exekutorský úřad Praha-2, IČ 51736937, se sídlem Kateřinská 13, 184 00 Praha 2 pověřený provedením exekuce: č.j. 10 EXE 197/2014 -17, na základě exekučního titulu: Příkaz č.j. 077209/2014-567/Čen/G V.vyř., vás ve smyslu §46 odst. 6 z. č. 120/2001 Sb. (exekuční řád) v platném znění vyzývá k splnění označených povinností, které ukládá exekuční titul, jakož i povinnosti uhradit náklady na nařízení exekuce a odměnu soudního exekutora, stejně ták, jako zálohu na náklady exekuce a odměnu soudního exekutora:

Peněžitý nárok oprávněného včetně nákladu k dnešnímu dni: 9 027,00 Kč Záloha na odměnu exekutora (peněžité plnění): 1 167,00 Kč včetně DPH 21% Náklady exekuce paušálem: 4 616,00 Kč včetně DPH 21%

Pro splnění veškerých povinností  je třeba uhradit na účet soudního exekutora (č.ú. 549410655/5000, variabilní symbol 82797754, ČSOB a.s.), ve lhůtě 15 dnů od doručení této výzvy 14 810,00 Kč

Nebude-li  uvedená částka uhrazena ve lhůtě 15 dnů od doručení této výzvy, bude i provedena exekuce majetku a/nebo zablokován bankovní účet  povinného ve smyslu § 44a odst. 1 EŘ a podle § 47 odst. 4 EŘ. Až do okamžiku splnění povinnosti.

Příkaz k úhradě, vyrozumění o zahájení exekuce  a vypučet povinnosti najdete v přiložených souborech.

Za správnost vyhotovení Alexey Mishkel

Před e-maily podobného typu varuje například i Exekutorský úřad Praha 10 na svých stránkách.

Pojďme se na tuto hrozbu podívat podrobněji: Příloha má název prikaz0581762789F75478F.zip, po jejím rozbalení uvidíme jediný soubor: prikaz-15.07.2014-signed_1295311881CC7544E.exe.

Tato spustitelná příloha typu EXE obsahuje zašifrovaný kód. Po odstranění šifrování jsme zjistili, že se jedná o program, který na pozadí stáhne, rozbalí a spustí další škodlivý soubor. Zároveň také otevře textový dokument, který obsahuje výše zmíněný exekutorský příkaz, čímž zaujme uživatele a zdrží ho natolik, aby se další úroveň kódu stihla stáhnout a rozbalit. Tato první fáze je dobře popsána našimi kolegy z AVG na jejich blogu.

Tento další soubor, který byl stažen během čtení falešného dopisu, je šifrován stejným způsobem jako první zmíněný. Stahovaným souborem je bankovní trojan známý pod jménem Tinba (z anglického TINy BAnker). Jméno je založeno na faktu, že po dešifrování je velmi krátký – jen okolo 30KB.

Nebudeme se nyní zabývat detaily spouštění tohoto druhého souboru, protože nejde o nic nového (pro zájemce odkážeme na detailní analýzu z roku 2012), ale na chvíli se pozastavíme u konfiguračního souboru.

Přenášená data se šifrují RC4 šifrou s pevným heslem, které je zobrazeno v obrázku níže.

screen03

Po dešifrování získáváme konfigurační soubor. Z něho je jasně patrné, že útok je cílen na uživatele čtyř českých bank: Česká spořitelna, ČSOB, Era a Fio.

screen03_config

Vlastní kradení citlivých dat probíhá vložením škodlivého kódu do oficiálních stránek bank. Konfigurační skripty jsou staženy z C&C serverů (stroje patřící útočníkům, sloužící pro ovládání botnetu) a dešifrovány výše zmíněným způsobem.  Zajímavostí je znovupoužití stejného formátu konfiguračních souborů známých bankovních trojanů Carberp a Spyeye. Pro každé botuid (unikátní hodnota, která identifikuje prostředí uživatele) se uloží seznam uživatelských jmen a hesel na C&C serveru. Další skripty jsou stahovány v závislosti na použité bance, buď tedy hXXps://andry-shop.com/gate/get_html.js;hXXps://andry-shop.com/csob/gate/get_html.js; resp. hXXps://yourfashionstore.net/panel/a5kGcvBqtV, které se stáhnou, pokud oběť navštíví webové stránky České spořitelny, ČSOB, resp. Fia. Účelem těchto skriptů je přesměrování oběti na stránku, která nabádá ke stažení různých verzí aplikace OPTdirekt. Uživateli jsou nabízeny varianty pro Android, Windows Phone, Blackberry i iPhone, pouze Android verze však vede ke stažení škodlivé aplikace do telefonu. Majitelé ostatních zařízení jsou odbyti zprávou, že mají požadavek opakovat později. Tato škodlivá aplikace slouží bezesporu k tomu, aby útočník získal přístup i k nejběžnějšímu autentifikačnímu prostředku jednotlivých bank, a to k mobilnímu telefonu.

Na níže uvedeném obrázku je vidět, že formát konfiguračního souboru je kompatibilní s nástroji používanými bankovními trojany Spyeye a Carberp.

tinba_fio_webinject

Níže můžete vidět stránky internetového bankovnictví po vložení škodlivého kódu.

tinba_servis24_new_webinject tinba_fio2_webinject

Když se oběť přihlásí k internetovému bankovnictví, je jí sděleno, že je nutné stáhnout aplikaci pro zajištění vyšší bezpečnosti spojení. Oběť zvolí nejprve operační systém svého telefonu.

screen04

Pokud zvolí Android, zobrazí se QR kód, který oběť nakonec dovede až ke stažení škodlivé aplikace.

screen05 screen06

Služba bit.ly již zřejmě zareagovala a zobrazí varování – v tomto případě je tedy třeba ještě jeden krok navíc, který by měl uživatele odradit.

screen07

screen09_cs

Nakonec je uživateli poděkováno za použití OTPdirekt.

screen08

 

Pokud uživatel zvolí jiný operační systém telefonu než Android, zobrazí se následující hlášení:

screen10

 

Aplikaci, kterou si oběť stáhne, detekuje avast! jako Android:Perkele-T.

Níže jsou obrázky škodlivé aplikace.

csob_cs fio_era

 

Z kódu vloženého do bankovních stránek můžeme odvodit následující:

1. Komentář “Instrukciya” je rusky, což může znamenat, že za útokem stojí rusky mluvící útočníci.

instrukciya

2. SMS zprávy z infikovaného telefonu jsou přeposílány na níže uvedené číslo, které je registrováno v oblasti Astrachán, v jižní části Ruska.

russia_number

 

3. Virus se snaží maskovat svoji aktivitu skrýváním již proběhnutých (nelegálních) transakcí a stavu účtu pomocí nahrazení zdrojového kódu webové stránky, jak se můžete sami přesvědčit na obrázku níže.

tinba_replace

4. Autoři viru se pravděpodobně v prvotní fázi zaměřovali na klientelu se stavem účtu větším než 70 000 Kč, ale tato strategie byla nejspíše změněna na všechny klienty banky. Na následující ukázce zdrojového kódu si můžete všimnout, že pokud stav účtu nedosahoval 70 000 Kč, odesílala se pouze informace o instalaci viru s číslem bankovního účtu. V opačném případě se navíc zasílala informace o stavu účtu. Tento kód byl následně zakomentován a nahrazen druhou variantou.

min_balance

 

Jak se chránit?

V právním prostředí České republiky není přípustné zasílání exekučního přikazu elektronickou poštou. Za prvé, úřady neevidují k občanům jejich e-mailové adresy. Za druhé, každý e-mail, který není opatřen digitálním podpisem, může být snadno zfalšován včetně údajů o jeho odesílateli. Jedinou možností jak doručit exekuční příkaz elektronicky je použití datové schránky. Účinnou obranou tak zůstává zdravý rozum a ignorace podobných e-mailů, speciálně těch, které mají spustitelnou *.exe příponu souboru. Ta ovšem nemusí být na první pohled zřejmá, neboť virus může mít stadardní ikonu a v případě názvu “exekuce.docx.exe” může uživatel vidět pouze část “exekuce.docx”, proto důrazně doporučujeme vypnout možnost “Skrýt příponu známých typů“.

Shrnutí:

Tyto metody útočníků, u kterých se využívá téměř profesionálně napsaných e-mailů, jsou tak účinné, že dokonce v našem okolí známe několik příkladů, kdy ke spuštění škodlivého souboru došlo. Přestože banky využívají mobilní telefony jako jeden z nejrozšířenějších způsobů autentifikace uživatelů, pokročilejší autoři malwaru si našli způsob, jak toto obejít.

Jako prevenci si doporučujeme instalovat avast! Free Mobile Security & Antivirus z Obchodu Google Play.

 

SHAs:

Škodlivé aplikace pro Android

BFC6E1FA02459E3C35BD4D0EE3097E2E5D7B478A8F58AF76DDE0114CA2AE8945

C5265B8BAF76D0836AEBBD99C15307F7455ED38A0B7645E84DAE3CE4BF4B6A26

Zemot downloader (šifrovaný)

7D50FF2E235DCE7D0AB640A3519D025B0B67A45B81BEA1BC0FE98921B0A8044A

Zemot downloader (dešifrovaný)

EABB8C0A1B76550215B228A8A0FDA2F4C7BA24BF30D17A9866A7EC931E228F1A

Tinba banker (šifrovaný)

F53C5C06FC96B965C473629F2FD7AB72E58CA188CF3889493D371A6436FEAA63

Tinba banker (dešifrovaný)

0188D61BB9EB3EFA01D66EBC52B6E252D5636925488751018D9BCFC0DF467B40

C&Cs

picapicanet.net
picapicachu.com

Poděkování:

Na této analýze se podíleli:  Jaromír Hořejší, Peter Kálnai, David Fišer, Jan Zíka

Děkujeme, že používáte avast! Antivirus a doporučujete nás svým přátelům a rodině. Pokud chcete zůstat v obraze, sledovat novinky a probíhající soutěže, sledujte nás také na FacebookuTwitteru,Google+Instagramu a Pinterestu. Podnikatelé – podívejte se na naše firemní produkty.

Categories: Uncategorized Tags:
  • Luboš

    Zajímavý rozbor s dobrým markentingovým zacílením na produkt AVAST. Díky za dobrou analýzu. Dovolím si však ještě poradit široké veřejnosti, že je dobré nespoléhat jenom na design webové stránky, ale ověřit identitu vlastníka domény, který je prezentovaný v URL adrese. Stačí ťuknout na zámek vedle URL adresy.

    • Luděk Kvapil

      To nepomůže, protože domény jsou podstrčené… Je to celkem snadné a 100% ochrana snad ani neexistuje.

      http://tech.ihned.cz/c1-57770760-hejtmanem-za-pet-minut-jak-snadne-je-podvrhnout-odesilatele-e-mailove-zpravy

      • Luboš

        To se mi nezdá. Váš příklad o něčem jiném. Podvrhnout odesílatele mailu je skutečně jednoduchý problém. Za ověřením identity domény však je digitální certifikát.

        • Luděk Kvapil

          Já mám doménu chráněnou přes SPF a stejně to nepomáhá. Teda třeba gmail hází podvržené emaily do spamu, ale dost firem používá vlastní emailový server a tam často vůbec nějakou verifikaci odesílatele neřeší. To stejné Seznam.cz -> také neověřuje odesílatele.

  • Luděk Kvapil

    Máte nějaký tip, odkud útočník bere emailové adresy, ze kterých to posílá?

    Bohužel se jeden můj klient stal obětí těchto útočníků a z jeho domény se odesílají tyto zavirované emaily (emailové účty neexistují, doména ošetřena přes SPF,ale stejně to nezabírá). Vůbec netuším, jak se proti tomu bránit, protože to poškozuje dobré jméno firmy. Navíc musím pořád lidem psát, že je to vir, protože to kupodivu lidi pořád nevědí a ptají se, za co jako dluží a tak o.O.