Corkow : Bankarski Trojanac koji je zainteresovan i za vlasnike Bitcoina i programere Android aplikacija

Opisi virusa, 12.02.2014, 07:15 AM

Stručnjaci kompanije ESET već izvesno vreme prate aktivnosti malo poznatog bankarskog Trojanca Corkow, koji je poreklom iz Rusije, i koji je do sada inficirao hiljade računara uglavnom korisnika iz Rusije i Ukrajine.

U ESET-u kažu da se dnevno zabeleži nekoliko stotina infekcija Trojancem Corkow ali da ovaj bankarski Trojanac još uvek nije uspeo da privuče pažnju stručnjaka i medija kao što je to uspeo njegov poznatiji rođak Carberp.

Prema rečima stručnjaka, Corkow je modularan što znači da njegovi autori mogu da proširuju kapacitete malvera različitim dodacima.

Corkow može da beleži kucanje na tastaturi i tako krade lozinke, da pravi snimke ekrana, i da po ugledu na najpoznatijeg bankarskog Trojanca Zeus, a verovatno i oslanjajući se na njegov procureli izvorni kod, ubacuje stranice i formulare sa ciljem da prevari korisnike da predaju svoje lične podatke sajber kriminalcima.

Osim ovoga, Corkow sadrži i module koji omogućavaju hakerima daljinski pristup i instalaciju univerzalnog programa za krađu lozinki “Pony” koga ESET antivirus detektuje kao Win32/PSW.Fareit.

Oko 73% infekcija Trojancem Corkow ESET je zabeležio u Rusiji, a po broju infekcija na drugom mestu je Ukrajina, posle koje slede Italija, Belorusija i Kazahstan.

To što je Rusija na pravom mestu na listi zemalja sa najvećim brojem infekcija ne čudi s obzirom da Corkow ima modul koji cilja na iBank2 sistem koga koriste mnoge ruske banke i preduzeća koja su klijenti ovih banaka.

Poseban modul malvera cilja na aplikacije najveće ruske banke Sberbank.

Corkow može da prikuplja i različite informacije sa nekoliko mesta na zaraženom računaru, kao što je istorija pretrage, informacije o instaliranim programima, o tome kada su programi poslednji put korišćeni i listu aktivnih procesa.

Zanimljivo je i da je Corkow zainteresovan za web sajtove i softver koji je povezan sa digitalnom valutom Bitcoin, ali i računare koji pripadaju programerima Android aplikacija koji svoje aplikacije objavljuju na Google Play. Jasno je šta je ideja autora malvera kada je reč o pristupanju Bitcoin nalozima žrtava, ali je jasno i kakve posledice mogu biti ako malver uspe da ukrade podatke za prijavljivanje na naloge programera Android aplikacija i preda ih kriminalcima.

Kriminalci koji stoje iza malvera koji im donose profit ne žele da njihovi maliciozni programi privuku pažnju stručnjaka. Zato mnogi savremeni malveri pokušavaju da provere da li se nalaze u kontrolisanim, laboratorijskim uslovima pre nego što krenu u akciju.

Corkow se i u tom pogledu izdvaja od srodnih malvera. Kada se instalira, payload malvera se šifruje pomoću Volume Serial Number na C disku i ponaša se bezazleno ako radi na posebnom računaru, dakle, ne na onom koga je prvobitno zarazio.

To otežava analizu istraživača i automatizovanih sistema, što je verovatno razlog zbog čega je malver do sada izbegao da njegov maliciozni kod bude detaljno ispitan.

Slučaj Trojanca Corkow je zanimljiv i zbog toga što je malver bio neaktivan mesecima, nakon što je prvi put uočen u oktobru 2011. godine, da bi se iznenada aktivirao prošle godine.

ESET će naredne nedelje objaviti detaljnu analizu malvera koja će biti dopunjena novim saznanjima stručnjaka kompanije.