Win32/Spy.Ranbyus нацелен на модификацию Java-кода систем удаленного банкинга Украины

    Недавно мы обнаружили новую модификацию банковского трояна Win32/Spy.Ranbyus, который уже был предметом исследования наших аналитиков. Одна из его модификаций упоминалась Александром Матросовым в посте, посвященном эксплуатированию смарт-карт в банковских троянах. Описываемая там модификация обладает интересным функционалом, так как показывает возможность обхода операций аутентификации при осуществлении платежных транзакций с помощью устройств смарт-карт. В той же модификации был обнаружен код поиска активных смарт-карт или их ридеров, после нахождения которых бот отсылал информацию о них в командный центр C&C с описанием типа найденных устройств.

    Аналитики ESET внимательно отслеживали последние модификации семейства этого трояна и выяснили, что Ranbyus начал специализироваться на модификации Java-кода в одной из самых популярных систем удаленного банкинга (remote banking systems) на Украине, а именно, BIFIT iBank 2. На момент нашего анализа, статистика ESET Virus Radar показывала, что на Украине зафиксировано наибольшее количество инфекций Ranbyus.



    Отличительной особенностью этого банковского трояна является то, что он не обладает механизмом web-инжектов, обычно применяемых в угрозах подобного рода (как, например, известный Zeus), и вместо этого реализует атаку на специфическое банковское/платежное ПО, т. е. ПО, используемое при осуществлении различного рода платежей и других банковских операций. Win32/Spy.Ranbyus собирает информацию о зараженной системе (активные процессы, версию ОС и т. д.) и отправляет ее на командный сервер (C&C). Основной функционал по краже денег основан на наборе различных форм-грабберов, нацеленных на специальное платежное ПО. Например, грабберы для ПО, разработанного под Java-платформу выглядят так:


    Код внедрения Java-граббера.

    Наш коллега Александр Матросов уже описывал схожий функционал о Java-патчинге в другом семействе банковских вредоносных программ — Carberp. Carberp обладает специальным функционалом по модификации виртуальной Java-машины (Java Virtual Machine, JVM) и отслеживания активности ПО для осуществления платежей. Ranbyus использует другой подход, он модифицирует Java-код только для определенного приложения, не прибегая к модификации JVM. Например, Ranbyus может модифицировать расположение форм, чтобы скрыть информацию о поддельных транзакциях, реализованных через троян.


    Методы Java, отслеживаемые Ranbyus.

    В дополнении к этому, Win32/Spy.Ranbyus может блокировать действия ПО системы удаленного банкинга и показывать такое сообщение на русском языке.



    Ranbyus нацелен только на Украинские и Российские банки и мы не наблюдали подобные атаки в других регионах. Панель управляющего центра ботнета выглядит таким образом:



    Киберпреступная группа Carberp является лидером на преступном рынке в России и уже обеспечила себе безопасное присутствие в 20-ке наиболее активных угроз в России за весь год. В то же время, Ranbyus занимает лидирующую позицию среди других банковских вредоносных программ на Украине.
    ESET NOD32
    0.00
    Company
    Share post

    Comments 11

      +12
      Вот за кем надо охотиться правительству, а не за «пиратами» распространяющими mp3 и фильмы.
        0
        Думаю, целесообразно дополнить статью списком банков, использующих продукты Bifit http://www.bifit.ua/company/clients/index.html

        «В настоящее время система «iBank 2 UA» внедрена и успешно эксплуатируется в 34 банках и их филиалах по всей Украине. Среди пользователей электронного банкинга «iBank 2 UA» более 300 000 корпоративных клиентов и более 170 000 частных клиентов.»
        +3
        Откуда у вас скрин админки ботнета?
        0
        У меня в просмотре событий на одном из ЭВМ постоянно пишет, что служба смарт-карт падает после старта. Значит ли это, что компьютер инфицирован, и вирус роняет службу, не найдя подключенных устройств чтения?
          0
          Недавно обновлял ПО этого банка по причине внедрения СМС авторизаций. Общался с начальником отделения, сказал что за последнее время только в их отделении вывели около 100к денег такие «уроды». А самая большая транзакция которую он слышал от СБУшников была в 3-и ляма. гривен ( это примерно 400 тысяч долларов)

          Only users with full accounts can post comments. Log in, please.