О банковском трояне Qadars стало известно несколько лет назад. Практически с самого момента своего появления он умел обходить механизм двухфакторной аутентификации. Троян делал это при помощи вредоносного мобильного контента.
Специалисты по информационной безопасности утверждают, что это ПО использует различные типы веб-инъекций для проникновения на компьютеры пользователей. Цель у этого трояна одна — похищение у жертвы аутентификационных данных для проведения транзакций в онлайн-банкинге в интересах своего создателя.
Для того, чтобы обойти систему защиты большинства банковских организаций, этот троян старается убедить жертву установить мобильное приложение. Оно помогает обходить необходимость подтверждения банковских операций. Это приложение представляет собой вредоносный код Android/Perkele. Жертва получает его одновременно с веб-инъекцией, используемой для установки кода. Мобильный зловред может перехватывать SMS-сообщения с устройства пользователя (например, авторизационные SMS, отправляемые банком). Как только жертва заходит в свой аккаунт онлайн-банкинга, код, встроенный в веб-страницу, запрашивает установку мобильного приложения для конкретной модели телефона. Пользователю сообщается, что это мобильное приложение его банка.
Схема атаки, которую использует зловред, хорошо известна. Это Man-in-the-Browser, MiB. На первом этапе malware внедряет свой код в любой из популярных браузеров (Internet Explorer, Firefox и другие), эксплуатируя специфическую уязвимость. После внедрения создатель трояна получает возможность проводить транзакции от имени пользователя в интересах своего создателя. Для этого используется JavaScript, который выполняет перевод средств со счета жертвы на счет злоумышленника без ведома владельца счета.
Несмотря на то, что специалисты по информационной безопасности обнаружили троян несколько лет назад, справиться с ним пока не удалось. Более того, создатели трояна усовершенствовали его структуру и обновили некоторые функции. Сейчас основная цель трояна — это банковские структуры Великобритании.
В разные периоды прошлых лет Qadars атаковал банки Нидерландов, Австралии, Канады и США. Сейчас его создатели решили остановиться на Великобритании. Специалисты нашей компании изучили это зловредное ПО, которое уже затронуло работу 18 британских банков.
Среди прочих инструментов этого ПО стоит выделить следующие:
• Перехват различных функций браузера (IE, Firefox);
• Подделка сертификатов и куки;
• Работа с формами;
• Веб-инъекции;
• FIGrabbers;
• Использование клиента Tor на стороне клиента для скрытия своих каналов коммуникации;
• Использование алгоритма DGAдля маскировки удаленных ресурсов злоумышленников.
Троян маскируется под окна обновления известных ОС. Как только пользователь нажимает «обновиться», троян запускает ShellExecuteEx Win32 API
Сейчас, как утверждают наши специалисты, в Сети работает уже третье поколение трояна, Qadars v3. С течением времени его создатели добавили трояну еще больше функций, позволяющих ему избегать обнаружения. Усовершенствовано и проведение веб-инъекций.
Троян обфусцирует все свои Win32 API вызовы. В этом отношении он работает схожим образом с такими зловредами, как URL Zone, Dridex и Neverquest. Приложение содержит зашифрованные CRC32 значения, что позволяет скрывать названия функций, работающих в трояне. Благодаря своим возможностям этот троян является одним из наиболее опасных банковских троянов последнего времени.
Успешная работа Qadars зависит от работы со своими серверами по специальным каналам связи. Также троян предоставляет возможность удаленного управления зараженных машин, что может повысить шансы злоумышленников на успех.