🔀 🐤 👴🏽 हेस्परबोट बैंकिंग ट्रोजन - विस्तृत विश्लेषण 🏬 🛄 🛷

हमने पहले ही हेस्परबॉट के बारे में लिखा है, यह खतरा एक नया बैंकिंग मैलवेयर है और इसमें एक मॉड्यूलर वास्तुकला है। हमलावरों ने इसका इस्तेमाल तुर्की, चेक गणराज्य, पुर्तगाल और यूके सहित विभिन्न देशों के उपयोगकर्ताओं पर हमले करने के लिए किया। हमलों का मुख्य उद्देश्य उपयोगकर्ताओं के ऑनलाइन बैंकिंग से गोपनीय डेटा चोरी करना और सिम्बियन, एंड्रॉइड, ब्लैकबेरी चलाने वाले उपकरणों पर दुर्भावनापूर्ण कोड के मोबाइल घटक को स्थापित करना था। साइबर क्रिमिनल्स ने उपयोगकर्ताओं को दुर्भावनापूर्ण लिंक का लालच देने के लिए एक ठोस फ़िशिंग योजना का उपयोग किया, जिसने उनके दृष्टिकोण को और भी अधिक व्यावहारिक बना दिया।

दुर्भावनापूर्ण लिंक पर क्लिक करने पर उपयोगकर्ता का समझौता होता है। निम्नलिखित साइबर अपराधियों द्वारा उपयोग किया जाने वाला एक आरेख है।

अंजीर। उपयोगकर्ता समझौता योजना।

ड्रॉपर का मुख्य कार्य पेलोड (पेलोड या कोर) को एक्सप्लोरर के भरोसेमंद प्रक्रिया के संदर्भ में पेश करना है। यह कोड तब नेटवर्क से डाउनलोड होता है और अतिरिक्त मॉड्यूल निष्पादित करता है।

Win32 / Spy.Hesperbot एक क्रॉस-प्लेटफ़ॉर्म खतरा है और सूचीबद्ध विभिन्न मॉड्यूल x86 और x64 वेरिएंट में उपलब्ध हैं। कुछ मॉड्यूल के विभिन्न आंतरिक कार्य वर्चुअल मोडल (वाइबेट) की एक विशेष तालिका के माध्यम से अन्य मॉड्यूल में उपयोग के लिए उपलब्ध हैं। अधिकांश Hesperbot कोड C में लिखा गया है और रन-टाइम लाइब्रेरी का उपयोग किए बिना विजुअल स्टूडियो 2010 का उपयोग करके संकलित किया गया है।

पेलोड

एक ड्रॉपर कोर घटक को explorer.exe एड्रेस स्पेस में इंजेक्ट करने के लिए निम्न विधियों में से एक का उपयोग कर सकता है:

खोजकर्ता । Exe का नया उदाहरण लॉन्च करें और ntdll! NtGetContextThread और ntdll! NtWriteProcessMemory का उपयोग करके इसके प्रवेश बिंदु के बाइट्स को ठीक करें (पैच करें)। उसके बाद, प्रवेश बिंदु मैलवेयर कोड को इंगित करेगा।
Shell_TrayWnd / SetWindowLong / SendNotifyMessage फ़ंक्शन के आधार पर एक विधि का उपयोग करके एक मौजूदा explorer.exe प्रक्रिया में अपना कोड एम्बेड करें। इस पद्धति का उपयोग दुर्भावनापूर्ण पॉवरलॉडर कोड में किया गया था, जिसे पहले अलेक्जेंडर मैट्रसोव [ 1 , 2 , 3 ] द्वारा वर्णित किया गया था।
नियमित CreateRemoteThread फ़ंक्शन का उपयोग करके explorer.exe में कोड एम्बेड करें।

एक सफल कार्यान्वयन के बाद, कोर घटक सिस्टम में अपना काम शुरू करता है: यह प्रबंधन सी एंड सी सर्वर के साथ बातचीत करने, सहायक मॉड्यूल लॉन्च करने और सिस्टम रजिस्ट्री में मैलवेयर स्टार्टअप पैरामीटर लिखने के लिए जिम्मेदार है। C & C के साथ काम करने के लिए, Hesperbot उन URL की एक सूची का उपयोग करता है जो शरीर में हार्ड-वायर्ड होते हैं (जो अलग-अलग देशों और botnets के लिए भिन्न होते हैं) या एक विशेष DGA एल्गोरिथ्म का उपयोग करके नए पतों की एक सूची तैयार करता है। दुर्भावनापूर्ण कोड C & C सर्वर को निम्न जानकारी भेजता है:

बॉट का नाम, जो कंप्यूटर के नाम पर आधारित है।
बॉटनेट का नाम, जो उस देश के आधार पर बना है, जिस पर हमलावरों द्वारा खतरे को लक्षित किया गया था। उदाहरण के लिए, cz-botnet, tr-botnet, pt-botnet, uk-botnet, और super-botnet (उत्तरार्द्ध का उपयोग शुरुआती बीटा संस्करणों में किया गया था)।
नेटवर्क एडेप्टर के आईपी पते।
स्थापित स्मार्ट कार्ड के नाम।
स्थापित Hesperbot प्लगइन्स के बारे में जानकारी।

अंजीर। चेक बॉटनेट के पहचानकर्ता।

सर्वर प्रतिक्रिया में निम्नलिखित जानकारी या फाइलें हो सकती हैं:

कॉन्फ़िगरेशन फ़ाइल।
प्लगइन फ़ाइलें
बाद के प्रक्षेपण के लिए एक मनमानी निष्पादन योग्य फ़ाइल।
Hesperbot का नया संस्करण।

दुर्भावनापूर्ण कोड निम्न APIs का उपयोग करके सिस्टम में सक्रिय स्मार्ट कार्ड की एक सूची प्राप्त करता है: SCardEstablishContext , SCardListReaders, और SCardConnect । अन्य के विपरीत, खतरों के अधिक जटिल मामले [ 1 , 2 ], Win32 / Spy.Hesperbot केवल स्मार्ट कार्ड के नाम एकत्र करता है और उनके साथ बातचीत करने में सक्षम नहीं है।

डाउनलोड की गई फ़ाइलें (कॉन्फ़िगरेशन फ़ाइलें और प्लग-इन निष्पादनयोग्य) को Twofish एल्गोरिथ्म का उपयोग करके एन्क्रिप्ट किया गया है , जिसका 256-बिट हैश डेटा पर आधारित है:

कंप्यूटर का नाम
रजिस्ट्री कुंजी [HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion] का "इंस्टॉल करें" पैरामीटर।
ओएस संस्करण।
प्रोसेसर आर्किटेक्चर (x86, x64, IA64)।
रजिस्ट्री कुंजी [HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Cryptography] का "मशीनगाइड" पैरामीटर।
रजिस्ट्री कुंजी [HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion] का "DigitalProductId" पैरामीटर।

C & C और अन्य सहायक फ़ाइलों (उदाहरण के लिए, कीलॉगर लॉग फ़ाइल) से डाउनलोड किए गए डेटा को संग्रहीत करने के लिए, Hesperbot% APPDATA% फ़ोल्डर में एक मनमाना नाम के साथ एक निर्देशिका बनाता है।

कोर मॉड्यूल में अपने कोड को न केवल explorer.exe में एम्बेड करने की क्षमता है, बल्कि अन्य चलने वाली प्रक्रियाओं में भी है। दुर्भावनापूर्ण कोड csrss.exe के अंदर UserNotifyProcessCreate इंटरसेप्शन के साथ एक अनिर्धारित चाल का उपयोग करता है ताकि यह सुनिश्चित हो सके कि इसका कोड हर चलने की प्रक्रिया में सक्रिय है।

Keylogger घटक GetMessage और TranslateMessage फ़ंक्शन के माध्यम से कीस्ट्रोक्स को इंटरप्ट करता है। अगला, वर्ण प्रक्रिया और उस विंडो के नाम के बारे में जानकारी के साथ एक लॉग फ़ाइल में सहेजे जाते हैं जिसमें वे दर्ज किए गए थे। जिसके बाद फाइल को हमलावर सर्वर को भेज दिया जाता है।

स्क्रीनशॉट और डेस्कटॉप कैप्चर मॉड्यूल को httpi कहा जाता है। वीडियो कैप्चर का इस्तेमाल ज़ीउस बैंकिंग ट्रोजन प्रोग्राम में भी किया गया था। यह सुविधा हमलावरों को सिस्टम में उपयोगकर्ता के साथ हो रही एक और पूरी तस्वीर को देखने की अनुमति देती है। अवसर एपीआई AVIFileCreateStream , AVIFileMakeCompressedStream , AVIStreamWrite का उपयोग करके Avifil32.dll लाइब्रेरी से लागू किया गया है।

अंजीर। वीडियो निर्माण कोड।

डेस्कटॉप के स्क्रीनशॉट बनाना Gdi32.dll लाइब्रेरी के कार्यों का उपयोग करके किया जाता है।

वीएनसी कनेक्टिविटी को पहले प्रसिद्ध कार्बर ट्रोजन में देखा गया था। यह आपको एक संक्रमित कंप्यूटर के किनारे पर एक वीएनसी सर्वर बनाने की अनुमति देता है, जिसमें एक हमलावर की पहुंच होगी। चूंकि, आरडीपी के विपरीत, वीएनसी उपयोगकर्ता लॉग ऑफ ऑपरेशन नहीं करता है, इसलिए हमलावर अपने ऑपरेशन के दौरान पीड़ित से जुड़ सकता है। यह एक सहायक डेस्कटॉप ( CreateDesktop ) बनाकर प्राप्त किया जाता है, जो उपयोगकर्ता के लिए अदृश्य है। यह मॉड्यूल सिस्टम पर स्थापित ब्राउज़र प्रक्रिया को लॉन्च करने की क्षमता के साथ एक हमलावर प्रदान करता है। इस मामले में, हमलावर अपने संग्रहीत डेटा (कुकीज़, सत्र, आदि) तक पहुंच प्राप्त करता है।

नेटवर्किंग और वेब इंजेक्शन

Hesperbot पहली बैंकिंग मैलवेयर नहीं है जो उपयोगकर्ता के HTTP / HTTPS नेटवर्क ट्रैफ़िक पर पूर्ण नियंत्रण प्राप्त करने के लिए WinSock लाइब्रेरी ( सेंड , WSASend और अन्य) और WinInet लाइब्रेरी ( HttpSendRequest , InternetReadFile और अन्य) के हुक का उपयोग करता है। प्रसिद्ध ट्रोजन्स ज़ीउस और स्पाईइये में इसी तरह के तंत्र का उपयोग किया गया था। इस दृष्टिकोण का उपयोग हमलावरों को वेब-इंजेक्शन बाहर ले जाने, फॉर्म-हथियाने के डेटा प्राप्त करने और हमलावरों के लिए आवश्यक जानकारी चुराने के लिए अन्य ऑपरेशन करने के लिए एक वेब ब्राउज़र में खोले गए पन्नों में दर्ज करने में सक्षम बनाता है। इन तरीकों को "मैन-इन-द-ब्राउज़र" हमला कहा जाता है। Win32 / Spy.Hesperbot एक उपयोगकर्ता पर एक हमले का आयोजन करते समय थोड़ा अलग दृष्टिकोण लेता है, जिसे हमने पहले से ही एक अन्य Win32 / गटक बैंकिंग ट्रोजन में देखा था।

एचटीएमएल-कोड के ट्रैफ़िक अवरोधन और कार्यान्वयन को नीथक, रेंटफेक और httpi मॉड्यूल द्वारा किया जाता है, जिनका उल्लेख घटक तालिका में किया गया था।

अंजीर। विभिन्न Hesperbot मॉड्यूल की सहभागिता।

nethk - एक स्थानीय प्रॉक्सी को तैनात करने के लिए उपयोग किया जाता है, कनेक्शन की निगरानी करते समय सॉकेट्स के साथ काम करने के लिए कार्यों को स्वीकार करता है; ब्राउज़र में एसएसएल प्रमाणपत्रों की जांच के कार्यों के लिए हुक हैं।
HTTPph ट्रैफ़िक पार्स करते समय कैनफ़क - का उपयोग किया जाता है।
httpi - स्क्रीनशॉट लेने, वीडियो कैप्चर करने, फॉर्म डेटा लेने और HTML कोड (वेब-इंजेक्शन) एम्बेड करने के लिए उपयोग किया जाता है।

नीथक मॉड्यूल पहला डाउनलोड करने योग्य दुर्भावनापूर्ण कोड प्लगइन है। यह कोर घटक द्वारा डाउनलोड किया गया है। Win32 / Spy.Hesperbot एक स्थानीय प्रॉक्सी बनाकर एक आदमी के बीच-बीच में हमला करता है जिसके माध्यम से वह ब्राउज़र प्रक्रिया द्वारा शुरू किए गए सभी कनेक्शनों को नियंत्रित कर सकता है।

अंजीर। प्रॉक्सी क्रिएशन कोड।

अंजीर। एक स्थापित Hesperbot प्रॉक्सी के माध्यम से इंटरनेट एक्सप्लोरर नेटवर्क कनेक्शन।

नीथक मॉड्यूल का उपयोग करने वाला ट्रोजन प्रोग्राम 127.0.1.1 पते के साथ एक मनमाना बंदरगाह पर एक प्रॉक्सी बनाता है और mswsock.dll लाइब्रेरी के निम्नलिखित कार्यों को स्वीकार करता है: WSPSocket , WSPIoctl, WSPConnect , WSPCloseSocket । इन फ़ंक्शन के पॉइंट्स तालिका WSPPROC_TABLE में संशोधित किए गए हैं। यह समझने के लिए कि यह रीडायरेक्ट कैसे काम करता है, WSPConnect का दुर्भावनापूर्ण संस्करण नीचे प्रस्तुत किया गया है।

अंजीर। WSPConnect एपीआई का दुर्भावनापूर्ण संस्करण।

उदाहरण के लिए, यदि कोई उपयोगकर्ता ऑनलाइन बैंकिंग प्रणाली में प्रवेश करना चाहता है और ब्राउज़र बैंक की वेबसाइट पर एक सुरक्षित कनेक्शन स्थापित करने का प्रयास करता है, तो स्थानीय प्रॉक्सी बनाने के लिए कनेक्शन अनुरोध को हेसपर्ट कोड द्वारा इंटरसेप्ट किया जाएगा, जिसके बाद ऑनलाइन बैंकिंग प्रणाली हमलावरों के सॉकेट से निपटेगी।

अंजीर। दुर्भावनापूर्ण प्रॉक्सी के संचालन की योजना।

हर बार प्रॉक्सी सर्वर के कॉलबैक फ़ंक्शन को कॉल किया जाता है, जबकि वास्तविक सर्वर पर भेजने से पहले प्रॉक्सी ब्राउज़र से अनुरोध को स्वीकार करता है। इसके अलावा, हर बार प्रॉक्सी को कहा जाता है कि एक प्रॉक्सी एक वास्तविक सर्वर से अनुरोध को प्रतिक्रिया देने से पहले उसे ब्राउज़र में प्रसारित करता है। अगला, ट्रैफ़िक के साथ काम करने के लिए नेफ़्फ़क जारी है।

HTTP और HTTPS ट्रैफिक की हैंडलिंग में अंतर हैं। एक साधारण HTTP कनेक्शन के मामले में, रिक्वेस्ट / रिस्पॉन्स मोड में डेटा बस कैंपेन से भेजा जा सकता है। एक सुरक्षित HTTPS कनेक्शन के मामले में, दुर्भावनापूर्ण कोड "एन्क्रिप्शन से छुटकारा पाने के लिए" नेथक मॉड्यूल की क्षमताओं का उपयोग करता है। जब ब्राउज़र द्वारा शुरू किया गया एक HTTPS अनुरोध इंटरसेप्ट किया जाता है (अनुरोध डेटा पहले से ही एक नकली प्रमाण पत्र का उपयोग करके एन्क्रिप्ट किया गया है, तो नीचे देखें), इसे डिक्रिप्ट किया गया है और कॉलबैक फ़ंक्शन के माध्यम से इस डेटा को नेक्स्ट मॉड्यूल में भेजा जाता है और फिर वास्तविक सर्वर प्रमाणपत्र (अर्थात) का उपयोग करके एन्क्रिप्ट किया जाता है बैंक की वेबसाइट का प्रमाण पत्र), जिसके बाद उन्हें इरादा के अनुसार भेजा जाता है। जब सर्वर रिस्पांस आता है, यानी HTTPS प्रतिक्रिया, तो प्रॉक्सी इस सर्टिफिकेट का उपयोग करके इसे डिक्रिप्ट करता है और ब्राउजर में भेजने से पहले इस डाटा को फर्जी सर्टिफिकेट के साथ एन्क्रिप्शन के लिए कैंपेन में ट्रांसफर करता है।

इस प्रकार, "मैन-इन-द-मिडिल" प्रॉक्सी का उपयोग करके, Win32 / Spy.Hesperbot इस प्रमाणपत्र के साथ एन्क्रिप्ट किए जाने से पहले पीड़ित के आउटगोइंग HTTPS ट्रैफ़िक तक पहुँच सकता है। ज़ीउस और स्पाईएई एक समान दृष्टिकोण का उपयोग करते हैं, लेकिन मिटब के उनके कार्यान्वयन से अलग होता है जो हेस्परबॉट में उपयोग किया जाता है।

दुर्भावनापूर्ण कोड ब्राउज़र को HTTPS कनेक्शन का अनुकरण करने के लिए अपना प्रमाणपत्र देता है। नीथक मॉड्यूल का बोर्ड पर अपना स्वयं का हस्ताक्षरित एसएसएल प्रमाणपत्र है।

अंजीर। Nethk के अंदर एसएसएल प्रमाणपत्र।

अंजीर। एक नकली हेस्परबोट प्रमाण पत्र का उपयोग करने का एक उदाहरण। एक नियमित प्रणाली पर, आप एक नकली के बजाय एक वास्तविक Google प्रमाणपत्र देख सकते हैं।

ब्राउज़र प्रमाणपत्र सत्यापन घटक को छल करने के लिए, दुर्भावनापूर्ण कोड संबंधित प्रमाणपत्र सत्यापन कार्यों को स्वीकार करता है। इस तरह के अवरोधन का कार्यान्वयन पीड़ित के ब्राउज़र पर निर्भर करता है। नीचे दी गई तालिका Win32 / Spy.Hesperbot द्वारा समर्थित ब्राउज़र और इंटरसेप्ट किए गए फ़ंक्शंस को दिखाती है।

दुर्भावनापूर्ण कोड के लेखकों ने विश्लेषण को जटिल करने के लिए स्ट्रिंग-आधारित तुलना के बजाय प्रक्रिया के नामों की हैश का उपयोग किया।

नीचे दिया गया स्क्रीनशॉट CertVerifyCertificateChainPolicy इंटरसेप्शन कोड दिखाता है।

HTTPph प्रोटोकॉल डेटा का विश्लेषण करने के लिए राइटफेक मॉड्यूल जिम्मेदार है। जब इस मॉड्यूल का कॉलबैक फ़ंक्शन कहा जाता है, तो यह HTTP हेडर, डेटा को पार्स करता है और इसकी आंतरिक डेटा संरचनाओं को भरता है। भविष्य में, यह संरचना httpi मॉड्यूल के माध्यम से उपलब्ध होगी। httpph: httpi_request_callback और httpi_response_callback पर कॉल करने के लिए कैनफ़िक दो कॉलबैक फ़ंक्शन प्रदान करता है।

Httpi मॉड्यूल कॉन्फ़िगरेशन फ़ाइल सेटिंग्स के अनुसार HTTP प्रोटोकॉल डेटा को संशोधित करता है । जब यह httpi_request_callback कहता है, तो निम्न क्रियाएं की जाती हैं।

डेस्कटॉप के वीडियो और स्क्रीनशॉट कैप्चर करें। दुर्भावनापूर्ण कोड कॉन्फ़िगरेशन फ़ाइल डेटा पढ़ता है और अनुरोधित URL की जांच करता है। मैच के मामले में, एक वीडियो कैप्चर किया जाता है या स्क्रीनशॉट लिया जाता है।
प्रपत्र डेटा निकालना (फ़ॉर्म हथियाना)। दुर्भावनापूर्ण कोड "एप्लिकेशन / x-www-form-urlencoded" या "टेक्स्ट / प्लेन" के साथ मिलान के लिए HTTPS प्रोटोकॉल POST अनुरोध के हेडर में सामग्री-प्रकार के पैरामीटर की जांच करता है। एक मैच के मामले में, यह माना जाता है कि डेटा लॉगिन फ़ॉर्म के लिए स्थानांतरित किया जा रहा है। यदि यह URL कॉन्फ़िगरेशन फ़ाइल में निर्दिष्ट है, तो डेटा लॉग फ़ाइल में लिखा जाता है।

जब httpi_response_callback कहा जाता है, ट्रोजन 200 (ओके) के मूल्य के लिए HTTP प्रतिक्रिया कोड की जांच करता है। उसके बाद, कॉन्फ़िगरेशन फ़ाइल पढ़ी जाती है और यदि वेब इंजेक्शन साइट के लिए सेट किए जाते हैं, तो उन्हें वेब पेज में डाला जाता है।

नीचे दिया गया आंकड़ा पुर्तगाली बॉटनेट में उपयोग की जाने वाली डिक्रिप्टेड कॉन्फ़िगरेशन फ़ाइल दिखाता है। आप देख सकते हैं कि httpi मॉड्यूल द्वारा डोमेन के पहले समूह को नजरअंदाज कर दिया जाएगा। इससे पता चलता है कि फेसबुक और Google खातों के डेटा को साइबर अपराधियों के लिए मूल्यवान माना जाता है जो ऑनलाइन बैंकिंग सिस्टम के खाता डेटा के रूप में मूल्यवान नहीं हैं, जो इस प्रकार है।

ऐसा लगता है कि वेब-इंजेक्ट स्क्रिप्ट कोड लिखने वाले लोग रूसी बोलते हैं, जैसा कि टिप्पणी के साथ स्पष्ट है। हालांकि, यह ध्यान दिया जाना चाहिए कि स्क्रिप्ट पूरी तरह से अलग-अलग लोगों द्वारा लिखी जा सकती थी, जो Win32 / Spy.Hesperbot के लेखकों से अलग है। वेब-इंजेक्शन स्क्रिप्ट मैलवेयर के विभिन्न परिवारों में काफी समान हैं और साइबर अपराधियों के बीच उनका उपयोग काफी आम है।

मोबाइल घटक

एसएमएस ट्रांसमिशन प्रमाणीकरण संख्या प्रमाणीकरण प्रणाली को बायपास करने के लिए मोबाइल घटकों (ZitMo या SpitMo) का उपयोग करने वाला Hesperbot पहला ऐसा मैलवेयर नहीं है। बैंकिंग लेनदेन की पुष्टि की एक समान प्रणाली व्यापक रूप से यूरोप के कई देशों और रूस में उपयोग की जाती है।

Hesperbot वेब पृष्ठों में विशेष JS स्क्रिप्ट्स को लागू करता है जिसके माध्यम से उपयोगकर्ता को मोबाइल फोन के लिए एप्लिकेशन इंस्टॉल करने के लिए प्रेरित किया जाता है। समझौता किए गए उपयोगकर्ता को फोन मॉडल की एक विशेष सूची पेश की जाती है, और फोन नंबर दर्ज करने के बाद, उसे दुर्भावनापूर्ण मोबाइल एप्लिकेशन डाउनलोड करने के लिए एक लिंक दिया जाता है। आवेदन सिम्बियन, एंड्रॉइड और ब्लैकबेरी के संस्करणों में मौजूद है।

हम सिम्बियन और एंड्रॉइड प्लेटफ़ॉर्म के लिए दुर्भावनापूर्ण घटकों का विश्लेषण करने में सक्षम थे। उनके पास समान क्षमताएं हैं। सबसे पहले, यह एक "सक्रियण प्रक्रिया" है। संक्रमित कंप्यूटर पर एक विशेष वेब इंजेक्शन एक यादृच्छिक "सक्रियण संख्या" उत्पन्न करता है, जिसे उपयोगकर्ता को प्रदर्शित किया जाता है। इसके बाद, उसे अपने डिवाइस पर इस नंबर को डुप्लिकेट करने की आवश्यकता होगी जब मोबाइल एप्लिकेशन द्वारा ऐसी कार्रवाई की पेशकश की जाती है। मोबाइल एप्लिकेशन एक "प्रतिक्रिया कोड" प्रदर्शित करता है, जिसकी गणना सक्रियण कोड के माध्यम से की जाती है। पुष्टि करने के लिए उपयोगकर्ता को इस कोड को वापस वेब पेज में दर्ज करना होगा। दुर्भावनापूर्ण स्क्रिप्ट में मोबाइल के रूप में कोड की गणना के लिए एक ही एल्गोरिदम है। इस प्रकार, उपयोगकर्ता के मोबाइल डिवाइस पर एक विश्वसनीय एप्लिकेशन का अनुकरण करके और अपने कंप्यूटर पर एक नकली वेब पेज का उपयोग करके, हमलावर ऑनलाइन बैंकिंग से संबंधित संचालन करने के लिए कोड पुष्टि प्रणाली को बायपास कर सकते हैं।

अंजीर। Android [ Android / Spy.Hesperbot.A ] के लिए एक दुर्भावनापूर्ण घटक का स्क्रीनशॉट।

यह दुर्भावनापूर्ण मोबाइल एप्लिकेशन एक विशेष सेवा को पंजीकृत करता है जो आने वाले एसएमएस संदेशों की प्रतीक्षा करता है और उन्हें हमलावर की संख्या में भेजता है। इस प्रकार, हमलावर को लेनदेन या अन्य बैंकिंग ऑपरेशन करने के लिए यह कोड प्राप्त होगा।

ESET एंटीवायरस एप्लिकेशन Android / Spy.Hesperbot.A और SymbOS9 / Spy.Hesperbot.A जैसे मोबाइल दुर्भावनापूर्ण कोड का पता लगाते हैं ।

हेस्परबोट बैंकिंग ट्रोजन - विस्तृत विश्लेषण

More articles: