Банковские трояны, как наиболее актуальные угрозы безопасности


К категории банковских троянов относятся вредоносные программы, предназначенные для похищения конфиденциальной информации и обеспечения несанкционированного доступа к системам дистанционного банковского обслуживания (ДБО). Многие банковские трояны сочетают в себе функции бэкдора и шпионских программ.


Пути и методы проникновения
Наиболее распространенный метод проникновения банковских троянов в операционную систему, является их загрузка другими вредоносными программами - троянами-загрузчиками. Также большую опасность представляет возможность заражения при просмотре инфицированных веб-страниц — с использованием различных уязвимостей прикладного ПО. Помимо этого, банковские трояны могут проникнуть на компьютер жертвы в виде вложений в сообщения, массово рассылаемые по каналам электронной почты, на инфицированных съемных носителях, с использованием методов социальной инженерии.


Типичные представители
Типичными представителями семейства банковских троянов являются:

  • Trojan.Carberp;
  • Trojan.PWS.Ibank;
  • Trojan.PWS.Panda (также известен как Zeus и Zbot);
  • Trojan.PWS.SpySweep (также известен как SpyEye).


Для мобильной платформы Android банковским трояном является Android.SpyEye.1.


Причины актуальности угрозы

  • Вредоносные программы перед выпуском тестируются на актуальных антивирусах — и некоторое время после релиза не обнаруживаются ими. А для перевода денег криминальной структурой, имеющей четкую организацию, требуется от одной до трех минут.

  • Огромное количество новейших вирусов появляется ежедневно. Системы защиты вредоносных программ постоянно совершенствуются. Злоумышленники нередко используют различные файловые упаковщики для избежания обнаружения антивирусными программами. Таким образом, одновременно может существовать до нескольких сотен образцов одного и того же опасного приложения, отличающихся только способом упаковки исполняемого файла. В результате троян может проникнуть в операционную систему, если в вирусных базах пока еще отсутствует сигнатурная запись для какой-либо отдельной модификации вредоносной программы.

  • Злоумышленники изобретают все более изощренные пути распространения вредоносных программ, в том числе с применением методов социальной инженерии, а также с использованием уязвимостей прикладного ПО (например, пакета уязвимостей BlackHole Exploit Kit различных версий). При отсутствии достаточных мер для обеспечения защиты компьютера, момент заражения может остаться для пользователя незамеченным.

  • Для противодействия современным угрозам необходимо принимать не только технические, но и организационные меры, закупать дополнительное программное обеспечение — к чему большинство потенциальных жертв не готово.


Цель проникновения

  • похищение сертификатов систем защищенного документооборота и паролей от программ с целью обеспечения несанкционированного доступа к системам дистанционного банковского обслуживания и торговым платформам (Trojan.Carberp, Trojan.PWS.Panda);
  • перевод денежных средств на счета злоумышленников через системы ДБО;
  • похищение конфиденциальной информации (Trojan.PWS.SpySweep, Android.SpyEye.1);
  • перехват нажатий клавиш, данных, вводимых с использованием экранной клавиатуры, создание снимков экрана, иные способы шпионажа;
  • включение зараженных машин в управляемые ботнеты, координируемые из одного (или нескольких) командных центров (Trojan.Carberp);
  • запуск и удаление различных программ на инфицированном компьютере (Trojan.Carberp, Trojan.PWS.SpySweep, Trojan.PWS.Panda);
  • возможность выполнения на инфицированном компьютере поступающих из удаленного центра команд, в том числе команды на удаление операционной системы.


Банковские трояны обладают весьма развитым вредоносным функционалом. Например, трояны семейства Trojan.Carberp имеют функционал по приему команд от управляющего центра, способны служить прокси-сервером, с помощью которого злоумышленники могут анонимно работать в Интернете.

Методы перехвата информации

  • Веб-инжекты. Встраивание трояном в отображаемую в браузере веб-страницу постороннего содержимого, в частности полей форм.
  • Похищение файлов cookies.
  • Установка в инфицированную систему поддельных цифровых сертификатов.
  • Запись нажатий пользователем клавиш.
  • Перехват и анализ сетевого трафика.
  • Создание и передача злоумышленникам снимков экрана.
  • Перехват и передача злоумышленникам изображения с подключенной к компьютеру веб-камеры.
  • Перехват и передача злоумышленникам аудиопотока с подключенного к ПК микрофона.
  • Перехват сохраненных в системе паролей.
  • Встраивание в процессы программ системы "Банк-Клиент" (Trojan.Carberp).


Методы маскировки от средств контроля и наблюдения

  • Отслеживание запущенных в инфицируемой системе приложений-отладчиков, средств виртуализации, брандмауэров и антивирусных программ.
  • Попытка завершения процессов антивирусных программ и брандмауэров.
  • Противодействие попыткам запуска процессов антивирусных программ в инфицированной системе.
  • Блокировка доступа пользователей к веб-сайтам компаний-производителей антивирусного ПО и сайтам, распространяющим обновления систем безопасности.
  • Шифрование вирусными упаковщиками.


Обязательные средства защиты

  • Система ограничения доступа:
    • Позволяет ограничить количество посещаемых ресурсов до необходимого минимума, что минимизирует риск заражения с сайтов, содержащих вредоносные объекты.
    • Позволяет исключить возможность отключения пользователями средств защиты.

  • Система проверки интернет-трафика. Позволяет исключить использование уязвимостей клиентского ПО за счет проверки трафика до его поступления в приложения.

  • Система поверки интернет-ссылок. Позволяет исключить возможность перехода на зараженные и мошеннические ресурсы.

  • Антивирусный монитор. Позволяет исключить заражение с помощью вредоносных объектов, проникших на машину пользователя без проверки — в том числе в запароленных архивах или с помощью специальных протоколов передачи данных.

  • Антивирусный сканер. Периодическая проверка дает возможность обнаружения ранее неизвестных вирусов, находящихся в неактивированном виде.

  • Персональный брандмауэр. Исключение возможности проникновения через открытые порты.


Для обеспечения защищенности и целостности системы при работе в сети Интернет рекомендуется:

  • своевременно устанавливать все обновления системы безопасности и актуальные версии браузеров по мере их появления;
  • использовать стойкие пароли;
  • ограничить права пользователей;
  • не работать в системе с правами администратора;
  • разрешить выход в Интернет только с отдельных компьютеров сети, не содержащих конфиденциальной информации;
  • использовать операционные системы, для которых создано меньшее количество вредоносных программ.


Внимание! Перечисленные меры защиты должны быть приняты на всех компьютерах, на которых производится работа с финансовыми средствами. А также на компьютерах и мобильных устройствах, функционирующих на ОС Windows и Android и на всех смартфонах.