Carberp-in-the-Mobile


KasperskyLabsАтака вида Man-in-the-Mobile - это атака, целью которых является кража кодов авторизации банковских операций, передаваемых в SMS-сообщениях.

До недавнего времени было известно о мобильных версиях двух печально известных банковских троянов ZeuS (ZeuS-in-the-Mobile, ZitMo) и SpyEye (SpyEye-in-the-Mobile, SpitMo), которые занимались непосредственно кражей SMS-сообщений с кодами от банка. Трояны ZitMo и SpitMo работают в связке со своими десктопными "братьями", так как без них они превращаются в обычных SMS-шпионов. Стоит отметить, что за 2 с лишним года существования подобные атаки были зафиксированы только в некоторых европейских странах:

  • Испания;
  • Италия;
  • Германия;
  • Польша и другие.


Но с появлением мобильной версии трояна Carberp (Trojan-Spy.AndroidOS.Citmo, то есть Carberp-in-the-Mobile) подобные атаки стали реальностью и в России.

Версия трояна Carberp для Windows работает так же, как и ZeuS. Если пользователь, используя зараженный Carberp'ом компьютер, пытается зайти на страничку своего онлайн-банка для авторизации, то зловред модифицирует ее таким образом, что логин и пароль будут отправлены на удаленный сервер злоумышленника вместо сервера банка.

Однако помимо логина и пароля злоумышленникам по-прежнему необходимы коды подтверждения для осуществления любого перевода со счета жертвы. Именно поэтому одна из модификаций Carberp (Trojan-Spy.Win32.Carberp.ugu) модифицирует страницу онлайн-банкинга, предлагая пользователю скачать и установить программу, якобы необходимую для входа в систему. Причем пользователь может получить ссылку в SMS-сообщении, указав свой номер телефона, либо самостоятельно отсканировать QR-код и получить ссылку.

Avtorizaciya mobilnogo telefona

На скриншоте видно, что под угрозой находились пользователи одного из самых популярных банков в России. "Сбербанк" 12 декабря вывесил уведомление об этой атаке на своем веб-сайте. Ссылка, зашифрованная в QR-коде, ведет на приложение SberSafe (Trojan-Spy.AndroidOS.Citmo), которое как минимум с 30 ноября находилось в магазине приложений Google Play.

Этот же разработчик (SAMSONOV SERGEY) загрузил в Google Play еще два приложения: AlfaSafe и VkSafe. Эти приложения обладают точно таким же функционалом, что и SberSafe, а именно кражей определенных SMS-сообщений.

Приложения были загружены пользователями:

  • SberSafe - 100 раз;
  • AlfaSafe - 1 раз;
  • VkSafe - 50 раз.


Троян CitMo работает фактически по тому же самому принципу, что и ZitMo. Он способен скрывать определенные входящие SMS-сообщения и пересылать их. Различные версии ZitMo пересылали SMS, как на определенные телефонные номера, так и на удаленные серверы. Известные модификации CitMo, а также Windows-модуль Carberp (Trojan-Spy.Win32.Carberp.ugu), работают лишь с одним и тем же удаленным сервером

  • bersta***.com


Потенциальная жертва, запустив вредоносное приложение, увидит на экране предложение ввести телефонный номер. Если пользователь введет номер, то он будет записан в файл

  • auth.txt

и отправлен на указанный выше удаленный сервер. Через некоторое время пользователю придет SMS-сообщение с пятизначным кодом, который необходимо указать в программе. Этот код будет записан в файл

  • authcode.txt

и использован вместе с телефонным номером в качестве идентификатора отправляемых на сервер данных.

Phone number verification

После этого CitMo загружает с этого же сервера данные, записываемые в файлы

  • hide.txt
  • и

  • view.txt


В первый файл записывается информация о номерах, входящие сообщения с которых будут скрываться и впоследствии пересылаться на удаленный сервер, а во второй файл попадают данные о номерах, входящие сообщения с которых будут отображаться. Эти действия вредоносная программа осуществляет для того, чтобы во время попыток перевода средств со счета скомпрометированного аккаунта, у пользователя не возникло подозрений из-за входящих сообщений от системы онлайн-банкинга.

Void loadFilters

Затем программа ожидает входящих сообщений, проверяя отправителя и в случае совпадения с записью из файла

  • hide.txt
  • это сообщение скрывается и записывается в

  • messages.txt

который, в свою очередь, отправляется на удаленный сервер.

Несмотря на все прилагаемые компанией Google усилия, их магазин приложений Google Play по-прежнему страдает от регулярно появляющихся там вредоносных программ. А данная атака не является первой Man-in-the-Mobile атакой, в ходе которой вредоносный мобильный компонент появляется в Google Play. 12 декабря в Google сообщили по повод у наличия троянов в официальном магазине приложений, а 13 декабря зловреды были удалены.

Ничего удивительного в том, что атаки, подобные ZitMo и SpitMo, добрались до России, нет. Ведь чем активнее развиваются подобные сервисы, тем активнее действуют злоумышленники. И маловероятно, что они остановятся в ближайшем будущем. Наоборот, подобные зловреды теперь будут развиваться и досаждать пользователям не только в Европе, но и в России.


Обновлено (13.01.2013 03:05)