Nagyon bedurvult a legkisebb banki trójai

A banki adatokat lopkodó Tinba trójai egyre több országban üti fel a fejét, és mind több banki ügyfél megkárosítására törekszik.
 

A Tinba vagy más néven Tinybanker trójai először 2012-ben hívta fel magára a figyelmet elsősorban azzal, hogy a kis mérete ellenére komoly károkat volt képes előidézni. Az akkor mindössze 20 KB méretű károkozó azzal a céllal terjedt, hogy a számítógépekről minél több banki adatot, kártyainformációt szivárogtasson ki. Az áldozatául eső rendszereken különféle folyamatokat fertőzött meg, és azok mögül, észrevétlenül végezte a tevékenységét. A kártevő kezdetben leginkább Törökországban fertőzte a PC-ket, míg idén elsősorban Csehországban okozott gondot. A helyzetet súlyosbította, hogy időközben a Tinba forráskódja, valamint a teljes dokumentációja kikerült az internetre, így már korábban sejteni lehetett, hogy a kis méretű, jól optimalizált kártékony kódra ráharap a kiberbűnözés. Így is történt.
 
Az Avast a Tinba legújabb variánsát vette nagyon részletesen szemügyre, és megállapította, hogy a kis károkozó egyre mohóbb. A Tinba kódját a készítői titkosítással és tömörítéssel is ellátták, igaz a dekódolást nem volt nehéz elvégezni, mert a jelszót a vírusírók bent hagyták a kódban. Amikor sikerült kibogozni a Tinba állományát, akkor kiderült, hogy ahhoz tartozik egy konfigurációs fájl is, amely egyebek mellett tartalmazza a célkeresztbe állított bankok nevét, webcímét. E lista alapján kijelenthető, hogy a trójai a cseh bankok mellett már olyan nevesebb pénzintézetek ellen is harcba szállt, mint amilyen például a Bank of America, a HSBC vagy az ING Direct. Arról egyelőre nem érkeztek hírek, hogy Magyarországon működő bank is szerepelne a célpontok között. 
Testre szabott támadások

A Tinba esetében azért van nagy jelentősége annak, hogy mely bankok ügyfeleinek adatára pályázik, mert úgynevezett web injection technikákat használ. Ezek pedig csak akkor működnek, ha a trójai terjesztői előzőleg felkészítik a szerzeményüket az adott pénzintézet weboldalának - helyi számítógépeken történő - kompromittálására.
 
A kártékony program elsősorban ártalmas weblapokról juthat fel a PC-kre. A vírusterjesztők különféle exploitok révén széles körben használt alkalmazások (Adobe Flash Player, Microsoft Silverlight stb.) sebezhetőségeit igyekeznek kihasználni ahhoz, hogy a trójait felhasználói közreműködés nélkül le tudják tölteni, majd el tudják indítani a PC-ken. Ha ez sikerül nekik, akkor a Tinba a háttérben folyamatosan figyelemmel kíséri a webböngészést, és ha olyan banki oldal letöltését észleli, amellyel kompatibilis, akkor rögtön aktivizálódik. Az amúgy teljesen legális banki weblap kódjába beszúr egy űrlapot, amelyen a felhasználót arra kéri, hogy adja meg a legfontosabb személyes adatait, illetve a hitelkártyájával kapcsolatos információkat. Amennyiben a banki ügyfél ezt megteszi - amire az esély megvan, hiszen látszólag mindent a saját bankja kér tőle -, akkor az értékes adatok rögtön a Tinba terjesztőinek kezébe kerülnek.
 
Védekezés

Az Avast a Tinba kapcsán arra hívta fel a figyelmet, hogy a naprakészen tartott víruskeresők használata mellett nélkülözhetetlen az operációs rendszerek, illetve a szoftverek rendszeres frissítése. A fenti Tinba támadások legtöbbje egyszerűen kivédhető lenne, ha a Flash Player, a Silverlight és az egyéb sokszor célkeresztbe állított szoftverek biztonsági javításai időben felkerülnének a PC-kre.