Deskribapena
Banku-malwarea programa gaizto bat da, eta erabiltzaileen finantzen informazioa lapurtzea du helburu; esate baterako, haien bankuko online plataformarako sarbidearen datuak. Era horretako malwareen sortzaileek aplikazio iruzurtien bidez egin ohi dituzte erasoak.
Nori zuzenduta dago?
Nagusiki, era horretako malwarea enpresa eta erabiltzaileei zuzenduta dago. Banku-malwareak goranzko joera du, Interneten erabilera, mugikorretarako banku-aplikazioak, edozein finantza-jarduera burutzeko finantza-teknologiako aplikazioak, dirua mugitzeko eta merkataritza-transakzioak egiteko aplikazioak, ondarea kudeatzeko aplikazioak eta diru-zorro birtualak gero eta hedatuago baitaude.
Banku-malware motak
Banku-malwareen barruan, badira eraso zibernetikoetarako erabili ohi diren hainbat taxonomia ezberdin; banku-troiarrak, urruneko sarbideko troiarrak edo kutxazain automatikoetarako malwareak. Urtez urte malware familia berriak sortzen dira, Android mugikorretarako nahiz Windows sistema eragilerako bereziki diseinatuak. Horiek guztiek helburu bera dute, baina datuak lapurtzeko erabiltzen duten metodoa ezberdina izan daiteke.
Funtzioak
Hona hemen programa gaizto horiek izan ditzaketen zenbait gaitasun: pantaila ikustea eta mugikorretako datuak grabatzea; teklen erregistroa, kutsatutako gailuetako informazio idatzia (esate baterako, pasahitzak) biltzeko; edota erabiltzaileak informazioa lapurtzen dituzten gaizkileek kontrolatutako webgune iruzurtietara bideratzea.
Kutsatze-metodo nagusiak
Hauek dira banku-malwarearen kutsatze-metodo ohikoenak:
- Malwareak gorde dituzten erantsitako artxibo gaiztoak (PDF, Word, etab.) dituzten mezu elektronikoak bidaltzea;
- Software gaiztoen deskarga, kode gaiztoak instalatu eta gailuak kutsatzen dituena;
- Webgune iruzurtiak, besteak beste.
Banku-malwarearen barruan, Android gailuetarako mehatxu berriak sortu dira, Ghimob edo Vultur adibidez, baina dagoeneko aski ezagunak diren beste batzuk, Cerberus eta Anubis Bankbot, Mekotio edo Mispadu esaterako, arruntenak eta aktiboenak dira oraindik ere.
Jardueraren analisia
Jarraian, banku-malware familietako batzuk zerrendatu ditugu:
- Mekotio: Posta elektronikoa erabiltzen du banaketa-metodo gisa. Mezu elektroniko faltsuen bidez, isunak kobratzen edo banku-transakzioak egiten saiatzen dira, Excel artxibo bat erantsita edo Windowserako VBScript motatako script-ak erabilita. Dokumentuak makro gaiztoak gorde ditu, eta malwarea deskargatu eta gauzatzen du. Mekotiok keylogging teknika erabiltzen du, erabiltzaileak sakatutako teklak erregistratuz eta haien pasahitzak lapurtuz. Troiar hau 2016an agertu zen Hego Amerikan, eta gerora Espainiako bankuetako erabiltzaileei ere eraso egin die.
- Bizarro: Banku-troiarra, bereziki Latinoamerikara, Portugalera eta Espainiara zuzendua. Troiar honek inork hautematea eta aztertzea eragozten duten hainbat metodo eta teknika aplikatzen ditu, baita biktimak engainatzeko eta haien datuak lapurtzeko gizarte ingeniaritzako trukoak ere. Spam kanpaina masiboek artxibo erantsi bat edo esteka bat dute barnean, troiarraren deskargara bideratua. Artxiboa .msi formatukoa da, eta Windowseko instalazio-pakete baten modukoa. Biktimak Bizarroren deskarga-atarira bideratzen ditu. Malware honek WordPress, Amazon edo Azure zerbitzarien plataformetako web zerbitzuak kutsatzen ditu.
- Mispadu: Malware honek Latinoamerikan eta Europako hegoaldeko herrialdeetan (Italia, Espainia eta Portugal) du jarduera handien. Nagusiki phishing metodoaren bidez zabaltzen da, erantsitako artxibo gaiztoak erabiliz. Deskontu-kupoiak eta Amazon edo McDonald’s bezalako enpresa ezagunak erabiltzen ditu amu gisa. Soilik Windows sistema eragileetan funtzionatzen du. Troiarrak posta elektronikoaren eta nabigatzailearen datuak biltze ditu, eta gai da webguneen eremuak eskaneatzeko eta saio-hasiera bat faltsutzeko, biktimak beren datuak idatz ditzan.
- Janeleiro: .NET hizkuntzan idatzita dago, eta phishing motatako mezu elektronikoen bidez zabaltzen da, ordaindu gabeko fakturei buruzkoak. URL gaiztoen bidez, biktimak beren zerbitzarietara bideratzen dituzte, hodeian dagoen .zip artxiboa deskarga dezaten. Biktimak artxiboa deskonprimatzen duenean, Windowsen oinarritutako MSI instalatzaile batek troiarraren DLL nagusia kargatzen du. 2021. urtearen hasieratik, Janeleriok Brasil eta Mexikoko erabiltzaileei eraso egin die, esteka gaiztoak bidaltzen dituen phishing kanpaina aktibo baten bidez. Kanpaina hori bankuetako bezeroei eta kriptodiruaren jabeei zuzenduta dago.
- Vadokrist: Latinoamerikako bankuei zuzenduta dago. Software gaizto honek Brasilgo beste banku-troiar batzuekin bat dator zenbait alderditan. Honek, ordea, backdoor ahalmenak ditu: biktimen sagua erabiltzea, sakatutako teklak erregistratzea eta haien pantaila ikustea ahalbidetzen die gaizkileei. Sarbide nagusia .zip artxiboak erantsita dituzten mezu gaiztoak dira; haietako bat MSI artxibo bat da, eta hura exekutatzean, CAB motatako beste artxibo bat aurkitu eta haren edukia ateratzen du (MSI loader bat da); gero, JavaScript abiatzen du, MSI artxiboa sisteman exekuta dadin. Azkenean, MSI loaderrak Vadokrist troiarraren DLLa exekutatzen du.
Segurtasun-neurriak eta jardunbide egokiak
Denok izan gaitezke era honetako erasoen biktima, erabiltzaile zein enpresa gisa, beraz, gomendagarria da malwareen aurkako sistema bat izatea, softwarea eguneratua izatea, iturri ezezaguneko softwarea ez instalatzea eta posta elektroniko bidez jasotzen ditugun fitxategi eta estekei adi egotea.
Erreferentziak
https://www.zdnet.com/article/bizarro-banking-trojan-surges-across-europe/
https://www.bankinfosecurity.com/researchers-uncover-new-android-banking-malware-a-17194
