Trojanac Eurograbber prošao autentifikaciju sa dva faktora i ukrao 40 miliona evra iz evropskih banaka

Sofisticirani, višeslojni trojanac pod nazivom “Eurograbber” odgovoran je za krađu oko 40 miliona eura sa bankarskih računa širom Evropske Unije. Eurograbber je nova i veoma uspešna varijanta ZITMO ili Zeus-In-Mobile-Trojan. Treba reći da je napad ovim trojancem registrovan samo na banke u zemljama Evrozone, ali njegova varijacija bi mogla potencijalno uticati i na banke u zemljama van Evropske Unije.

Ova varijacija zloglasnog Zeus trojanca sposobna je za praćenje online bankarskih sesija i probijanje dva faktora autentifikacije sa onim što se naziva pametnim programiranjem i društvenim inženjeringom.

Da bi korisnik postao žrtva Eurograbber-a, on mora prvo da koristi računar zaražen sa ovim trojancem. Plan obično podrazumeva da se namami korisnik na zlonamerni Web sajt. Kada inficira računar korisnika, trojanac će pratiti dešavanja na pretraživaču s ciljem praćenja bankarskih sesija. Kada korisnik poseti sajt banke, Eurograbber će ubrizgati JavaScript i HTML oznaku u njegov pretraživač, što će rezultirati sa prozorom koji će od korisnika zatražiti njihov broj telefona pod izgovorom “nadogradnje bezbednosti bankinog softvera”. To je ustvari ključ sa kojim Eurograbber prolazi autentifikaciju sa dva faktora.

Pošto se ovaj zahtev za brojem telefona pojavljuje kada korisnik otvori sajt banke, on će bez mnogo razmišljanja i sumnje upisati svoj broj telefona. Sledeće, korisnici pametnih telefona dobiće lažnu SMS poruku sa kojom se od njih traži da instaliraju aplikaciju koja je navodno “besplatni softver za šifrovanje”. Nažalost, .APK (Android) ili .JAD (BlackBerry) datoteka na koju poruka linkuje je ustvari aplikacija koja ima sposobnost da presretne SMS poruke koje šalju banke a koje sadrže transakcijske autorizacijske brojeve (TAN). TAN su jednokratni autorizacijski kodovi koje koriste neke banke za odobravanje finansijskih transakcija i zbog (ironično) povećanja bezbednosti.

Dalje, korisniku će biti predstavljeno uputstvo za završetak procesa, čime se osigurava da su njihov računar i mobilni telefon kompromitovani.

Sledeći put kada se korisnik prijavi na sajt svoje banke, trojanac će automatski pokrenuti transfer novca pod krinkom njihove bankarske sesije. Ove transakcije bi obično se kreću u rasponu od 500 do 250.000 evra. U normalnoj situaciji korisnik bi dobio SMS obaveštenje koje sadrži jednokratni TAN za odobravanje transakcije, međutim trojanac na pametnom telefonu će tiho presresti SMS, pokupiti TAN i odobriti transakciju. Vlasnik će tek kasnije primetiti da na njegovom računu nedostaje određeni iznos novca.

Svi oni koje interesuje više pojedinosti o Eurograbber trojancu mogu pročitati detaljan izveštaj koji su obavili Versafe i Check Point Software Technologies u kojem se otkriva kako ovaj trojanac radi.