Par Pierre Guillaume le 17/12/2012
Après une pause de pratiquement deux ans, Carberp est de nouveau disponible sur le marché noir des malwares à plus de 40000 $ le kit.
Carberp est un Trojan bancaire similaire à Zeus et SpyEye. C’est un malware très évolué qui agit maintenant en association avec Caberp-in-the-Mobile (Citmo) pour contourner l’authentification en deux étapes mises en place par les banques comme mesure de sécurité supplémentaire.
La machine d’un utilisateur est infectée par Carberp, en général grâce au Black Hole exploit kit ou par drive-by-download, fournissant ainsi les identifiants de connexion bancaire de la victime.
Ensuite, lorsque celle-ci visite la page web de sa banque, le malware la modifie en invitant l’utilisateur à télécharger une application. Carberp subtilise les identifiant et mot de passe pour accéder aux services bancaires en ligne.
L’application est « nécessaire » pour se connecter au système. L’utilisateur peut télécharger l’application par un lien qu’il recevra par SMS après avoir fourni son numéro ou en scannant un code-QR.
L’expansion bancaire russe a conduit les banques à promouvoir activement leur système en ligne. C’est pourquoi bien que ce type d’attaque se déroule en général en Espagne, Italie, Allemagne et d’autres pays, des problèmes ont aussi été signalés en Russie.
Kaspersky a notifié Google
Sur Google Play on retrouve des applications mobiles malveillantes pour les trois banques les plus populaires : Sberbank, AlfaSafe, Vkontakte. Kaspersky indique avoir notifié Google au sujet de ces applications mobiles le 12 décembre entraînant leur suppression par Google le 13. Elle seront restées actives environ 2 semaines.
Ensuite CitMo fonctionne de la même manière que Zitmo ( Zeus-in-the-Mobile). En effet, après que Carberp ait obtenu les identifiants de connexion bancaire, les cybercriminels ont encore besoin du mTAN (mobile Transaction authentification number) afin de confirmer des virements bancaires d’un compte qu’ils ont volé.
CitMo est capable de cacher les SMS contenant le TAN que reçoit la victime pour confirmer un achat/virement bancaire et de les renvoyer vers un serveur à distance.
Malgré de nombreux efforts de la part de Google, Google Play, le marché officiel d’applications, continue de souffrir de nombreux types de malwares. Et cela sans parler des marchés parallèles où les malwares et virus ne sont pas contrôlés.