Найден способ взлома устройств для ввода pin-кода

Найден способ взлома устройств для ввода pin-кода

Бразильские СМИ постоянно показывают видеосюжеты о «плохих парнях», устанавливающих чупакабру в очередной банкомат. Одни мошенники делают это не достаточно умело, другим просто не везет, но в результате многие попадают в зону камер видеонаблюдения, а затем и в руки полиции.



Получается, что установка скиммеров на банкоматы – рискованное занятие, и поэтому бразильские кардеры объединили усилия с местными хакерами, чтобы разработать более легкий и безопасный способ кражи и копирования информации с кредитных карт. В таком далеко не священном союзе и родилась чупакабра.

Идея, лежащая в основе зловреда, проста: вместо того чтобы рисковать быть пойманными с поличным со скиммером в руках, эти ребята разрабатывают и внедряют вредоносный код в компьютеры на базе Windows. Их целью является перехват данных, вводимых с помощью пинпадов – цифровых клавиатур, которые вы используете в супермаркетах, на заправках – везде, где принимают оплату банковской картой, сообщает securelist.

Впервые зловред был зафиксирован в Бразилии в конце декабря 2010 года под именем Trojan-Spy.Win32.SPSniffer в четырех модификациях (A, B, C и D). Эти троянцы имеют узкую направленность и распространяются с определенной целью. Нам точно известны случаи таких атак в США, и мы предполагаем, что в других странах они тоже случались.

Разумеется, на пинпадах установлена защита. Пинпад защищается и аппаратно, и программно, чтобы секретный код был стерт, если кто-либо попытается подобраться к устройству. Шифрование пин-кода производится непосредственно при введении его в устройство на основе ряда схем шифрования и симметричных ключей. Чаще всего используется тройной DES-шифратор, что серьезно усложняет взлом пинпада.

Правда, существует одна проблема: устройство подсоединено к компьютеру через USB или последовательный порт для сообщения с программным обеспечением EFT (Electronic Funds Transfer), осуществляющим денежные транзакции. Выпущенные давно и морально устаревшие пинпады, все еще используемые в Бразилии, очень уязвимы с этой точки зрения.

На этих старых устройствах данные 1-й дорожки и открытые данные, хранящиеся на чипе карты, не зашифровываются – а это и номер карты, и срок ее действия, и сервис-код, а также блок данных, где хранится CVV – короче говоря, почти все, что нужно мошеннику, чтобы начать тратить ваши деньги. Поскольку эта информация не шифруется, в компьютер она поступает в текстовом формате. Этих данных достаточно, чтобы сделать копию вашей кредитной карты.

Зловред устанавливает простой драйвер для прослушивания USB-порта или последовательного порта, переделанный по сути из коммерческих решений, таких как Eltima или TVicPort, и перехватывающий передачу данных между компьютером и пинпадом. Первые версии чупакабры устанавливали еще и модуль DLL, позволяющий собирать информацию о сетевом трафике, исходящем из всех устройств, подключенных ко всем последовательным портам.

Вдобавок вредоносный DLL-модуль (кейлогер) перехватывает каждое нажатие клавиш. Вся информация, украденная с 1-й дорожки, сохраняется в файл, содержащий, наряду с информацией о компьютере жертвы, все перехваченные данные, и пересылается киберпреступникам – как правило, по электронной почте.

Для обеспечения «защищенной» передачи данных злоумышленникам зловред использует алгоритм симметричного шифрования с ключом, который имеет интересное Unicode-имя.

Как только проблема стала очевидной, бразильские компании, занимающиеся кредитными картами, стали заменять эти старые пинпады на новые, устойчивые к этой угрозе.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Android-троян GhostGrab уличен в клептомании и крипомайнинге

Проведенный в CYFIRMA анализ Android-зловреда GhostGrab показал, что это гибридная угроза. Новый модульный троян крадет ключи от банковских счетов и вдобавок использует ресурсы жертвы для добычи монеро.

Новобранец очень цепок, всегда работает в фоне и умело уклоняется от обнаружения и системных попыток прибить его процессы. Для получения команд и отправки украденного он обращается к Firebase.

Атака начинается с JavaScript-редиректа на сайте kychelp[.]live (домен был зарегистрирован в начале лета). При перенаправлении браузера автоматом происходит загрузка дроппера, замаскированного как BOM FIXED DEPOSIT.apk (результат VirusTotal на 28 октября — 26/61).

В поддержку иллюзии при установке жертве выводится интерфейс обновления, копирующий стиль Google Play. Успешно внедрившись, вредонос запрашивает разрешение на установку приложений из сторонних источников (REQUEST_INSTALL_PACKAGES) для беспрепятственного развертывания модуля банковского стилера.

Чтобы обеспечить себе постоянное присутствие в системе, дроппер выводит на экран уведомление и закрепляет его, инициируя запуск службы переднего плана.

 

Банковский модуль GhostGrab (детектируют 10 антивирусов из 66 на VirusTotal) вначале выполняет профилирование зараженного устройства, в частности, выясняет номер телефона и имя провайдера связи.

Он также запрашивает множество разрешений, в том числе доступ к СМС (для перехвата одноразовых кодов и уведомлений банков) и телефонной связи (для перевода звонков своему оператору и выполнения USSD-команд).

Чтобы беспрепятственно работать в фоне, зловред просится в список исключений по энергосбережению, скрывает свою иконку и использует механизмы автоматического перезапуска по системным событиям (перезагрузка ОС, изменение состояния экрана, возможность установления соединений).

 

Банкер также умеет выуживать интересующую его информацию с помощью фишинговых страниц. Заготовки вшиты в код и поочередно отображаются через WebView.

Вначале у жертвы запрашивают полное имя, уникальный идентификатор карты, номер счета — якобы для завершения процедуры KYC. После ввода ее попросят предоставить все данные дебетовой карты или учетки для доступа к системе ДБО.

Мониторинг заполнения фальшивых форм и вывод содержимого осуществляются с помощью JavaScript-сценария. Украденная информация направляется прямиком в Firebase и, как оказалось, хранится там в незашифрованном виде в общедоступной базе данных.

Для управления резидентным зловредом используются возможности Firebase Cloud Messaging: команды подаются в виде пуш-уведомлений.

Когда устройство жертвы заблокировано, GhostGrab может загрузить со стороннего сервера зашифрованный криптомайнер (libmine-arm64.so). Этот модуль тоже работает в фоне, используя монеро-кошелек, адрес которого жестко прописан в коде дроппера.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru