Conturile românilor în pericol. Ce virus a descoperit IBM

Noul program are potențialul de a deveni cel mai prolific troian care atacă bănci în România, detronând Dridex, responsabil de peste 80% din atacurile din acest an, avertizează specialistul IBM.

Cercetătorii IBM Security X-Force au analizat la sfârșitul lunii iulie o nouă variantă a Tinba v3 Trojan, iar aceasta este, potrivit datelor companiei americane, prima de acest fel dedicată băncilor din România, scrie pe blogul securityintelligence Limor Kessem, unul dintre experții IBM.

România este recunoscută ca fiind o sursă de atacuri și este rareori o țintă, afirmă Kessem.

„Precedentele versiuni ale acestui program malware au atacat o serie de țări europene, dar România nu a fost printre ele și este rareori o țintă importantă. Analiza noastră arată că dezvoltatorii Tinba v3 au extins capacitatea și anvergura programului malware actualizând webinjections (metode prin care modifică site-urile băncilor, n.r.) pentru a se potrivi noilor bănci vizate din țara est-europeană”, notează expertul IBM.

Tinba Trojan (cunoscut și ca TinyBanker sau Zusy) a fost descoperit la mijlocul anului 2012. Programul a fost numit Tiny (mic) din cauza dimensiunii reduse a fișierului, de numai 20 KB, care include configurația și kit-ul de webinjections.

Programul malware a funcționat inițial ca un troian bancar clasic, care viza obținerea datelor de identificare (nume de utilizator și parola) ale clienților băncilor.

Deși la început a fost folosit exclusiv de cei care l-au creat și gruparea din care făceau parte, codul sursă a fost obținut și de alte persoane la mijlocul anului 2014, iar proiectul a început să evolueze în direcții diferite. Astfel au apărut variantele Tinba v2 și Tinba v3. Fiecare este un troian independent, dezvoltat și actualizat de persoane diferite.

Cea mai recentă variantă a Tinba este a patra, însă dintre toate Tinba v3 pare să fie cea mai activă și posibil cea mai viabilă din punct de vedere comercial.

Versiunea care vizează băncile din România în prezent este legată de Tinba v3. Chiar de la prima lansare, această variantă a arătat că programatorul a muncit destul de mult la noi funcții pentru a îmbunătăți tehnicile programului de a evita sistemele de securitate și de a contacta gruparea care l-a lansat.

În ce privește proliferarea malware în acest an, potrivit datelor IBM Security, Tinba se află pe poziția a șasea.

Tinba v3 atacă online clienți ai băncilor în toată Europa, dar mai ales în Polonia, Italia, Germania și Olanda. Aceasta este, conform datelor IBM Security X-Force, prima situație în care o variantă a acestui program a fost descoperită atacând în România.

„Ținând cont de campaniile Tinba v3 cunoscute de IBM Security, ne așteptăm să vedem mai multe atacuri Tinba în România în perioada următoare. România ar putea să înceapă abia acum să se confrunte cu Tinba, dar are deja probleme cu variante ale Dridex, Dyre, Neverquest și Zeus v2. Datele IBM Security arată că de la începutul anului cel mai activ troian în România este Dridex, însă această situație s-ar putea schimba dacă activitatea Tinba se accelerează”, notează expertul IBM.

Potrivit IBM, 81% din atacurile înregistrate în acest an asupra băncilor din România au venit din partea unor variante Dridex, de 18% a fost responsabil programul Dyre, urmat de Neverquest și Zeus v2, cu aproximativ 1% fiecare.

Având în vedere că Tinba v3 este proiectat să strângă cantități mari de informații personale precum și coduri de autentificare în timpul sesiunilor de utilizare a serviciilor bancare prin internet, IBM Security recomandă băncilor să-și atenționeze clienții despre această amenințare și să actualizeze secțiunile site-urilor de informare în privința securității utilizării online a serviciilor bancare.

Totodată, băncile din România ar trebui să ceară clienților să raporteze email-urile suspecte. Instituțiile financiare ar trebui, de asemenea, să lucreze îndeaproape cu furnizorul de servicii antifraudă pentru a reduce riscuriel cât mai mult posibil.