Bekeményített a bankoló SpyEye trójai

A SpyEye trójai készítői rendszeresen újabb és újabb technikákkal, funkciókkal vértezik fel a kártékony programjukat, amely ezáltal mind nagyobb valószínűséggel képes kárt okozni a felhasználóknak. A trójai kezdetben elsősorban banki adatok eltulajdonítására specializálódott, később azonban már pénzügyi tranzakciók kezdeményezéséből is kivette a részét. A károkozó nemcsak a helyi számítógépeken található víruskeresőket és védelmi alkalmazásokat igyekszik megkerülni, hanem tavaly nyár óta egyes banki védelmi rendszereket is próbál átejteni.

A legtöbb bank alkalmaz tranzakciómonitorozó megoldásokat, amik többek között azon rendellenességeket, anomáliákat szűrik, amelyek a felhasználók földrajzi pozíciójából, a bejelentkezéskor használt IP-címből, a banki weboldalon eltöltött időből valamint a tranzakciók lebonyolítása során felismerhető viselkedésmintákból szűrhetők le. A SpyEye készítői tavaly egy olyan variánst fejlesztettek, amely a felhasználói szokásokat is figyelembe veszi, és emiatt például - a korábbiaktól eltérően - már nem pár másodperc alatt kezdeményez egy tranzakciót, hanem lassabban, az emberi tényezők figyelembevételével "bankol".

Bankolás gyanakvás nélkül

A SpyEye napokban megjelent legújabb változata ezúttal olyan jellemzőkkel gyarapodott, amelyek nem a banki rendszerek, hanem a felhasználók megtévesztésére teszik alkalmassá. A trójai egy, az eddigieknél kifinomultabb HTML-injection modullal bővült, ami képes manipulálni a felhasználó böngészőjében megjelenő banki weboldalakat. Ezáltal a károkozó képes hamis űrlapokat beszúrni a weblapokra, és el tudja érni, hogy a felhasználó ne az eredeti felhasználónév és jelszó mezőket töltse ki, hanem egy olyan webes űrlapot, amely valójában a trójaihoz tartozik.

A kártékony program esetében a weblapok manipulálása nem merül ki új mezők beszúrásában. A legújabb SpyEye arra is képes, hogy elrejtsen egyes tranzakciókat, illetve meghamisítsa az adott bankszámláknál megjelenített egyenleget. Ezáltal eléri, hogy a csalók által indított tranzakciókat a felhasználó ne láthassa, és ne gyanakodjon. Természetesen a bank rendszerében a tranzakciók és a valódi egyenleg is helyesen szerepel, kizárólag a böngészőben láthatóak manipulált adatok.

"A SpyEye folyamatosan monitorozza a fertőzött számítógépeken megadott hitelkártyaadatokat, majd kiszivárogtatja azokat a csalók számára, akik weben vagy telefonon keresztül tranzakciókat végezhetnek. Amikor a felhasználó bejelentkezik a banki szolgáltatásba, akkor a SpyEye ellenőrzi azon tranzakciókat, amelyeket a terjesztői indítottak, és egész egyszerűen elrejti azokat a felhasználó elől" - nyilatkozta Amit Klein, a Trusteer elnök-vezérigazgatója.

A trójai is specializálódik

A SpyEye a nemkívánatos tevékenységeit természetesen nem minden banki rendszer esetében képes végrehajtani, hiszen a weboldalak tartalma minden pénzügyi szolgáltatás esetében más és más. A trójai terjesztői legtöbbször amerikai, brit, kanadai és német banki ügyfeleknek okoztak eddig károkat. A Trusteer tavalyi felmérése szerint hazánk egyelőre nincs a veszélyeztetett országok között.

Nincs új a nap alatt

A SpyEye által alkalmazott HTML-injection technikák valójában nem új keletűek. A másik hírhedt bankoló trójai, a Zeus már korábban is alkalmazott hasonló módszereket. Évekkel ezelőtt a két trójai fejlesztői még komolyan rivalizáltak egymással, azonban 2010-ben a két csapat egyesült. Miközben a Zeus egyes variánsainak forráskódja kikerült az internetre, aközben a SpyEye egyre több technikát vett át a korábbi riválisától.