Корпорация Eset сообщила об обнаружении очередной разновидности троянского приложения Carberp. Теперь вирус способен обходить защиту с применением двухфакторной аутентификации (с одноразовыми паролями) и использовать легальные приложения для кражи денежных средств.
Анализ новой модификации Carberp показал, что вредоносное приложение начало использовать новую Java-библиотеку. Она позволяет вирусу модифицировать банковские клиенты, основанные на Java.
Эксперты, длительное время наблюдавшие за Carberp, зафиксировали два основных периода активности: рост до середины 2012 года и спад после. Снижение активности вируса связывают, прежде всего, с задержанием группы распространителей. При этом код вредоносной утилиты продолжал совершенствоваться. Это может свидетельствовать о том, что созданием и распространением занимаются разные люди.
Функционал новой версии троянской утилиты направлен на модификацию приложения iBank 2 (разработчик – компания "Бифит"), которое широко используется для удаленного банковского обслуживания на территории России и Украины. Для этого Carberp использует java-модуль, занесенный в антивирусные базы как Java/Spy.Banker.AB. Вредоносный модуль позволяет обойти двухфакторную защиту аутентификации, основанную на одноразовых паролях. Другая любопытная особенность модуля Java/Spy.Banker – вирус использует легитимную библиотеку для внесения изменений в код банковского ПО. Это позволяет вирусу Carberp надежнее скрываться от антивирусных программ.
Создатели Carberp одними из первых начали формировать целенаправленные атаки на популярные в России и Украине системы ДБО. Предварительная сумма ущерба составляет миллиарды рублей.
После инфицирования персонального компьютера и внедрения в код клиента ДБО, злоумышленники получают контроль над платежами пользователя. Программный комплекс iBank2 не фиксирует целостность своего кода – денежные транзакции продолжаются даже после модификации программы.