Artykuły dotyczące tematu: bankowość elektroniczna

dodany: 28.08.2013 | tagi:

Internet Banking Security

1
Internet Banking Security

IX edycja konferencji „Internet Banking Security”, poświęcona zagadnieniom z tematyki bezpieczeństwa bankowości elektronicznej.

Tematyka konferencji:

– Zastosowanie nowych technologii w optymalizacji procesów bankowych

– Bezpieczeństwo w chmurze

– Bankowość mobilna: wygoda a bezpieczeństwo

– Bezpieczeństwo płatności mobilnych

– Rozwiązania biometryczne w bankowości – zastosowania i bezpieczeństwo

Kto powinien uczestniczyć w konferencji INTERNET BANKING SECURITY?

– kadra wyższego i średniego szczebla firm z branży usług finansowych i bankowości; pracownicy departamentów bankowości elektronicznej; oficerowie bezpieczeństwa; kierownicy działów IT; osoby odpowiedzialne za zarządzanie zmianami, dobór rozwiązań i technologii służących optymalizacji procesów zachodzących w organizacji finansowej.

– członkowie Zarządu, dyrektorzy, doradcy Zarządu ds. IT, stratedzy, analitycy, członkowie i kierownicy zespołów – przedstawicie banków oraz dostawcy rozwiązań informatycznych dla sektora bankowego.

dodany: 26.04.2013 | tagi: ,

Kradzież SMS-owych haseł jednorazowych przez aplikację “E-Security”

3

Do laboratorium CERT Polska trafiła próbka złośliwego oprogramowania na platformę Android, która została przeznaczona dla polskich użytkowników bankowości elektronicznej. Plik zawierający aplikację nosi nazwę e-security.apk. Malware jest dosyć prosty, ale skutecznie realizuje zadanie do którego został zaprojektowany – kradzież haseł jednorazowych do kont bankowości elektronicznej. Jednocześnie, po uruchomieniu, wyświetlany jest komunikat w języku polskim informujący o rzekomym zwiększeniu bezpieczeństwa transakcji internetowych i w związku z tym rzekomej konieczności przeprowadzenia pewnych działań…

 

Instalacja certyfikatu E-Security AES256

Proces instalacji aplikacji odbywa się wieloetapowo. Na początku komputer ofiary musi zostać zainfekowany złośliwym oprogramowaniem. Po tej infekcji, kiedy użytkownik wejdzie na stronę internetową swojego banku, ukazuje mu się komunikat o możliwości instalacji aplikacji, która jest „certyfikatem E-Security pozwalającym wykorzystywać szyfrowanie algorytmem AES o długości klucza 256 bitów”.

2013-04-esecurity-main

Komunikat ten jest wyświetlany za pomocą ataku man in the browser, który został dokładnie opisany w ostatnim raporcie. W celu ściągnięcia tego „certyfikatu” należy wybrać system operacyjny wykorzystywany przez nasz telefon komórkowy, a następnie podać jego numer.

Na podany numer telefonu przychodzi następnie wiadomość SMS, której nadawca podaje się za nasz bank. W jej treści znajduje się odsyłacz do pliku z aplikacją przeznaczoną dla naszego systemu operacyjnego. Co ciekawe, przestępcy oferują również instrukcję tłumaczącą jak włączyć instalację aplikacji z nieznanych źródeł. Wymóg włączenia takiej opcji tłumaczony jest faktem, że jest to „opracowanie autorskie” banku przez co „Twój smartfon może blokować jego instalację”.

Po instalacji użytkownik jest proszony o uruchomienie aplikacji i wprowadzenie kodu „E-Security”. Jest to kod, który zostanie wyświetlony po uruchomieniu się aplikacji (jak przedstawiono powyżej) i jest on unikalny dla danego telefonu, ponieważ powstaje na bazie numeru IMEI. Dzięki temu, że użytkownik wprowadzi kod, przestępcy są pewni, że uruchomił aplikację oraz mogą przypisać danemu numerowi telefonu login i hasło do bankowości elektronicznej. Jak widać tekst pokazujący się po uruchomieniu aplikacji jest napisany po polsku, więc grupa docelowa jest jasno określona.

Działanie zabezpieczeń 256 bitowych

Aplikacja do swojego działania wymaga większości uprawnień jakie istnieją na urządzeniach z Androidem. Może mieć to na celu utrudnienie analizy aplikacji i ukrycie jej prawdziwych zamiarów. Najważniejsze jednak są dwa wpisy z pliku AndroidManifest.xml:


 

Oznaczają one, iż aplikacja zainstalowała usługę SecurityService oraz odbiorcę zdarzeń o nazwie SecurityReceiver, który ma reagować na zdarzenie odebrania wiadomości SMS, wykonania połączenia głosowego oraz zakończenia procesu uruchamiania telefonu komórkowego.

Dalsza analiza pokazuje, że w rzeczywistości tylko zdarzenie otrzymania wiadomości SMS jest przetwarzane przez klasę SecurityReceiver. Złośliwe oprogramowanie obsługuje cztery typy komunikatów wysyłanych za pomocą SMS. W przypadku gdy przychodzi wiadomość sterująca, jest ona zawsze ukrywana przed ofiarą.

Komunikat „get info”

SMS jest uznawany za zawierający komunikat „get info”, jeśli zaczyna się od znaku krzyżyka (#), a następnie w jego treści znajduje się numer telefonu zaczynający się od znaku „+”. W odpowiedzi, pod numer znajdujący się w treści SMS-a wysyłana jest następująca wiadomość:


Przy czym <model> to model telefonu, <kod> jest unikalnym identyfikatorem telefonu powstałym z numeru IMEI, <ukryty> określa czy działalność programu jest ukryta, <stan> mówi o tym, czy przekierowania SMS są aktywne, <wersja> jest wersją złośliwego oprogramowania (w tym przypadku 1.2.9), <producent> oznacza producenta telefonu, a <android> wersję systemu operacyjnego. Przykład komunikatu i odpowiedzi przedstawiony jest wyżej.

2013-04-esecurity-redirect

Komunikat „new number”

SMS jest uznawany za zawierający komunikat „new number”, jeśli zaczyna się od ukośnika (/) a następnie w jego treści znajduje się numer telefonu zaczynający się od znaku „+”. Od tego momentu wszystkie SMS-y przychodzące na zainfekowany numer są przekazywane na numer znajdujący się w treści wiadomości. Dzięki temu przestępcy są w stanie przechwycić jednorazowe hasło SMS-owe przychodzące na zainfekowany telefon. Przykład takiego działania zaprezentowany jest po wyżej  Dzięki temu, że wiadomości mogą być przekazywane na inny numer niż ten, z którego przychodzą komunikaty sterujące, przestępcy są w stanie jeszcze bardziej ukryć swoje działanie.

Komunikat „fin”

SMS jest uznawany za zawierający komunikat „fin”, jeśli zaczyna się od przecinka (,). Komunikat ten musi przyjść od numeru, na który były przekazywane wiadomości SMS i wyłącza to przekazywanie. Dzięki temu ofiara może się nawet nie zorientować, że przez jakiś (najprawdopodobniej krótki) czas jej wiadomości zamiast dochodzić do niej były przekazywane przestępcom.

Komunikat „uninstall”

SMS jest uznawany za zawierający komunikat „uninstall”, jeśli zaczyna się od wykrzyknika (!). W wyniku tego komunikatu złośliwe oprogramowanie jest wyłączane. Z naszej analizy wynika, że nie może być później aktywowane, zatem wysłanie wykrzyknika skutecznie zablokuje możliwość przechwytywania haseł jednorazowych.

 

Logowanie oraz dodatkowa funkcjonalność

Malware E-Security posiada dodatkową funkcjonalność raportowania treści wiadomości SMS pod podany adres URL. W próbce, którą analizowano funkcjonalność ta została jednak wyłączona i nie jest w pełen sposób zaimplementowana. Najprawdopodobniej oprogramowanie miało co kilka minut przesyłać pod zadany, zapisany w próbce w zaciemniony sposób adres URL listę wiadomości SMS, jakie przyszły do ofiary. Niestety próbka zawierała tylko pusty adres URL, ale mimo to algorytm „odszyfrowywania” adresu jest w niej obecny:

Malware E-Security bardzo dokładnie loguje swoją działalność. Poniżej fragment pliku logowania, który został wyprodukowany w laboratorium przez malware na telefonie z systemem Android. Powstał on po wysłaniu wiadomości typu „get info” na zainfekowany telefon. Przez AlternativeControl oznaczane jest w oprogramowaniu sterowanie za pomocą wiadomości SMS.


 

Informacja o próbce

Próbka, która trafiła do laboratorium nosiła nazwę e-security.apk, a jej skróty SHA-1 oraz MD5 przedstawione są poniżej.


 

Źródło: CERT.pl