Bankoló trójai programok emberi vonásokkal

Az elmúlt években a banki adatokat és a felhasználók bankszámláit veszélyeztető kártékony programok száma az egekbe szökött. Azonban e számítógépes károkozók közül kiemelkedik két ártalmas kód, amelyek nem egy esetben igencsak kifinomult technikákkal próbálják megkerülni a védelmi megoldásokat. Az egyik a Zeus, a másik pedig a SpyEye trójai. Ráadásul e két kártevő készítői - a SpyEye 1.0-ás változatának 2009 év végi megjelenése óta - folyamatosan rivalizálnak egymással. Kezdetben a SpyEye 500 dolláros árral tört be az internetes feketepiacra, aminek eredményeként egy meglehetősen kiélezett alvilági versengés vette kezdetét. Azóta mindkét károkozó sokat fejlődött csakúgy, mint a hozzájuk tartozó, egyszerűen használható eszközkészletek. A legnagyobb problémát azonban az jelenti, hogy a Zeus és a SpyEye is jelentős kiterjedésű botnetet alakított ki a fertőzött rendszerekből.

Emberi viselkedést utánoz a SpyEye

A bankbiztonsági megoldásokkal foglalkozó Trusteer szerint a SpyEye elleni védekezés egyre nehezebbé válik, ugyanis a vírusírók mind kifinomultabb trükköket vetnek be, amik jelentősen megnehezítik a károkozó felismerését. Egyes pénzintézetek a webes szolgáltatásaik esetében olyan védelmi rendszereket is alkalmaznak, amelyek a felhasználók viselkedésének és a szolgáltatások igénybevételének körülményeit is vizsgálják a gyanús tranzakciók kiszűrése érdekében. Ezeknek a rendszereknek feltűnik például, ha valaki egyik percről a másikra egy külföldi országból akar pénzt utalni, vagy ha egy tranzakció néhány másodperc alatt lezajlik. Ez utóbbi különösen fontos azon műveletek esetében, amelyeket olyan kártékony programok kezdeményeznek, mint például a SpyEye. Egy trójai által indított tranzakció ugyanis jóval gyorsabban létrejön, mintha azt a számla valódi tulajdonosa indítaná. Az ilyen anomáliák szűrésével a SpyEye készítői is tisztában vannak, ezért a trójai legújabb variánsát már úgy alakították ki, hogy az a lehető legjobban próbálja utánozni a fertőzött számítógép felhasználójának viselkedését. Emellett a károkozó már arra is ügyel, hogy a banki oldalakon úgy és olyan sorrendben töltsön le weblapokat, ahogy azt az áldozatául esett banki ügyfél is nagy valószínűséggel tenné.

A SpyEye grafikus felülete - Forrás: Symantec

"A SpyEye legújabb variánsába olyan kód került, amely a fejlett banki rendszereken is képes átjutni annak érdekében, hogy a hamis tranzakciók blokkolását elkerülje. Míg korábban ezek a kódok kevesebb figyelmet fordítottak arra, hogy egy banki műveletet miként hajtanak végre, addig napjainkban már teljesen szokványos, emberi viselkedésformák alapján működnek" - mondta Mickey Boodai, a Trusteer elnök-vezérigazgatója. A szakember hozzátette, hogy a trójai egyre több országban bukkan fel, és mind több banki rendszerre specializálódik, ami azt jelzi, hogy egyre több kiberbűnözői csoport vásárolja meg a SpyEye eszközkészletet. Szerencsére Magyarországon eddig nem volt jelentős számban kimutatható e trójai, annak ellenére, hogy már a 2010-ben megjelent első variánsa is lehetőséget adott arra, hogy magyar banki ügyfeleket is meg lehessen károsítani.

Bebetonozta magát a SpyEye

Noha a hatóságok és a biztonsági cégek az elmúlt hónapokban több jelentős botnetet is megbénítottak, a SpyEye kapcsán egyelőre nem értek el kimagasló sikereket. Áprilisban ugyan letartóztattak egy 26 éves litván és egy 45 éves lett férfit, akiket a trójai terjesztésével gyanúsítottak, de ez csak a jéghegy csúcsa volt. Roman Hüssy, a SpyEye Tracker weboldal üzemeltetője szerint, míg májusban körülbelül húsz vezérlőszerver szolgálta ki a SpyEye botnetet, addig e kiszolgálók száma mostanra megközelítette az ötvenet.