Corkow : Bankarski Trojanac koji je zainteresovan i za vlasnike Bitcoina i programere Android aplikacija

Opisi virusa, 12.02.2014, 07:15 AM

Corkow : Bankarski Trojanac koji je zainteresovan i za vlasnike Bitcoina i programere Android aplikacija

Stručnjaci kompanije ESET već izvesno vreme prate aktivnosti malo poznatog bankarskog Trojanca Corkow, koji je poreklom iz Rusije, i koji je do sada inficirao hiljade računara uglavnom korisnika iz Rusije i Ukrajine.

U ESET-u kažu da se dnevno zabeleži nekoliko stotina infekcija Trojancem Corkow ali da ovaj bankarski Trojanac još uvek nije uspeo da privuče pažnju stručnjaka i medija kao što je to uspeo njegov poznatiji rođak Carberp.

Prema rečima stručnjaka, Corkow je modularan što znači da njegovi autori mogu da proširuju kapacitete malvera različitim dodacima.

Corkow može da beleži kucanje na tastaturi i tako krade lozinke, da pravi snimke ekrana, i da po ugledu na najpoznatijeg bankarskog Trojanca Zeus, a verovatno i oslanjajući se na njegov procureli izvorni kod, ubacuje stranice i formulare sa ciljem da prevari korisnike da predaju svoje lične podatke sajber kriminalcima.

Osim ovoga, Corkow sadrži i module koji omogućavaju hakerima daljinski pristup i instalaciju univerzalnog programa za krađu lozinki “Pony” koga ESET antivirus detektuje kao Win32/PSW.Fareit.

Oko 73% infekcija Trojancem Corkow ESET je zabeležio u Rusiji, a po broju infekcija na drugom mestu je Ukrajina, posle koje slede Italija, Belorusija i Kazahstan.

To što je Rusija na pravom mestu na listi zemalja sa najvećim brojem infekcija ne čudi s obzirom da Corkow ima modul koji cilja na iBank2 sistem koga koriste mnoge ruske banke i preduzeća koja su klijenti ovih banaka.

Poseban modul malvera cilja na aplikacije najveće ruske banke Sberbank.

Corkow može da prikuplja i različite informacije sa nekoliko mesta na zaraženom računaru, kao što je istorija pretrage, informacije o instaliranim programima, o tome kada su programi poslednji put korišćeni i listu aktivnih procesa.

Zanimljivo je i da je Corkow zainteresovan za web sajtove i softver koji je povezan sa digitalnom valutom Bitcoin, ali i računare koji pripadaju programerima Android aplikacija koji svoje aplikacije objavljuju na Google Play. Jasno je šta je ideja autora malvera kada je reč o pristupanju Bitcoin nalozima žrtava, ali je jasno i kakve posledice mogu biti ako malver uspe da ukrade podatke za prijavljivanje na naloge programera Android aplikacija i preda ih kriminalcima.

Kriminalci koji stoje iza malvera koji im donose profit ne žele da njihovi maliciozni programi privuku pažnju stručnjaka. Zato mnogi savremeni malveri pokušavaju da provere da li se nalaze u kontrolisanim, laboratorijskim uslovima pre nego što krenu u akciju.

Corkow se i u tom pogledu izdvaja od srodnih malvera. Kada se instalira, payload malvera se šifruje pomoću Volume Serial Number na C disku i ponaša se bezazleno ako radi na posebnom računaru, dakle, ne na onom koga je prvobitno zarazio.

To otežava analizu istraživača i automatizovanih sistema, što je verovatno razlog zbog čega je malver do sada izbegao da njegov maliciozni kod bude detaljno ispitan.

Slučaj Trojanca Corkow je zanimljiv i zbog toga što je malver bio neaktivan mesecima, nakon što je prvi put uočen u oktobru 2011. godine, da bi se iznenada aktivirao prošle godine.

ESET će naredne nedelje objaviti detaljnu analizu malvera koja će biti dopunjena novim saznanjima stručnjaka kompanije.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Ransomware Dharma koristi legitimini antivirusni alat da žrtve ne primete šifrovanje fajlova

Ransomware Dharma koristi legitimini antivirusni alat da žrtve ne primete šifrovanje fajlova

Novi Dharma ransomware koristi instalaciju programa ESET AV Remover da bi sakrio od žrtava ono što se dešava u pozadini - šifrovanje njihovih fajl... Dalje

Malver PirateMatryoshka (''Babuška'') inficira računare posetilaca sajta Pirate Bay

Malver PirateMatryoshka (''Babuška'') inficira računare posetilaca sajta Pirate Bay

Istraživači kompanije Kaspersky Lab otkrili su novi malver koji se širi preko sajta Pirate Bay, jednog od najpopularnijih sajtova za preuzimanje to... Dalje

Ransomware GarrantyDecrypt se pretvara da štiti vaše fajlove

Ransomware GarrantyDecrypt se pretvara da štiti vaše fajlove

Pojavila se najnovija verzija ransomwarea GarrantyDecrypt, ransomwarea koga je otkrio istraživač Majkl Gilespi u oktobru 2018. godine. Iako nikada n... Dalje

Malver Rietspoof se širi preko Skypea i Facebook Messengera

Malver Rietspoof se širi preko Skypea i Facebook Messengera

Do avgusta prošle godine malver Rietspoof cirkulisao je internetom neprimećen. Onda su ga otkrili istraživači Avasta koji sada upozoravaju na eksp... Dalje

Linux malver uklanja druge malvere sa sistema, a evo zbog čega to radi

Linux malver uklanja druge malvere sa sistema, a evo zbog čega to radi

Majneri kripto-valuta postali su novi standard u svetu malvera, a nove verzije postaju sve složenije, jer su u mogućnosti da efikasnije sakriju svo... Dalje