Pages Menu
Categories Menu

Опубликовано | Нет комментариев

Банковский троян Qadars

Банковский троян Qadars, созданный для банковской сферы, стал известным около двух лент назад. С самого начала он без проблем обходил механизмы двух этапной верификации (технология, при которой аутентификация пользователя проходит с применением двух разных технологий). Вирус использовал для этого мобильный контент.

Банковский троян Qadars

Банковский троян Qadars

 

Эксперты в области ИБ считают, это программное обеспечение применяет различные WEB-инъекции для попадания на ПК пользователей. Цель у Qadars одна – проникнуть на компьютер пользователя, похитить логин и пароль от Клиент-Банка и совершить перевод средств в пользу заинтересованного лица.

Для выполнения этих действий необходимо обойти банковскую систему защиты, поэтому вирус пытается склонить пользователя к установке специального ПО. Эта программа (мобильное приложение) является вирусом Android_Perkele. Пользователь получает данное приложение вместе с WEB-инъекцией, которая устанавливает вредоносный код. В дальнейшем, приложение перехватывает необходимые СМС (например, СМС с логином и паролем от Клиент-Банка). Как только пользователь заходит в Клиент-Банк, вирус предлагает установить приложение на мобильный телефон клиента. Выглядит это всё, как рекомендованное банком ПО.

Эта схема известна уже давным-давно, называется она Men_In_The_Browser. Сначала код внедряется в браузер (IE, Mozilla, Opera и т.д.). Когда это сделано, создатель вируса может самостоятельно проводить операции в Интернет-Банке. Для реализации перевода используется скрипт написанный на JavaScript. Перевод проходит незаметно для клиента банка.

Казалось бы, информация о вирусе появилась уже достаточно давно, прошло уже несколько лет, но специалисты так и не могут с ним справится. А хуже всего-то, что создатели Qadars постоянно занимаются его доработкой и обновлением. Сейчас, вирус особенно популярен в Объединенном Королевстве Великобритании (UK).

Помимо Британии, в разные годы вирус атаковал банковские организации Голландии, Соединенных штатов Америки и Канады.

Данный вирус был достаточно хорошо изучен. Вот несколько основных инструментариев которые он использует:

Возможность брать под свой контроль некоторые функции браузеров (Mozilla, IE); Подделка Cookies; Заполнение форм; WEB-инъекции; Full Information Grabber;

Вирус может использовать Tor (The Onion Route, система прокси-серверов, позволяющая устанавливать анонимное сетевое соединение) на клиентском устройстве.

Помимо этого, в его арсенале присутствует возможность выявления доменных имен, сгенерированных с использованием Domain Generation Algorithm. Данная технология помогает создателям скрывать свои ресурсы.

Зачастую, установка вируса выглядит как установка обычного обновления для OS. Как только нажимается кнопка «Обновить», начинается запуск ShellExecuteEx_Win32_API.

На сегодняшний день это уже третья версия вируса, Qadars_v3. Вирус хорошо развивается, получает новый функционал и найти его становится всё сложнее.

Оставить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Лимит времени истёк. Пожалуйста, перезагрузите CAPTCHA.

↓