Corkow : Bankarski Trojanac koji je zainteresovan i za vlasnike Bitcoina i programere Android aplikacija

Opisi virusa, 12.02.2014, 07:15 AM

Corkow : Bankarski Trojanac koji je zainteresovan i za vlasnike Bitcoina i programere Android aplikacija

Stručnjaci kompanije ESET već izvesno vreme prate aktivnosti malo poznatog bankarskog Trojanca Corkow, koji je poreklom iz Rusije, i koji je do sada inficirao hiljade računara uglavnom korisnika iz Rusije i Ukrajine.

U ESET-u kažu da se dnevno zabeleži nekoliko stotina infekcija Trojancem Corkow ali da ovaj bankarski Trojanac još uvek nije uspeo da privuče pažnju stručnjaka i medija kao što je to uspeo njegov poznatiji rođak Carberp.

Prema rečima stručnjaka, Corkow je modularan što znači da njegovi autori mogu da proširuju kapacitete malvera različitim dodacima.

Corkow može da beleži kucanje na tastaturi i tako krade lozinke, da pravi snimke ekrana, i da po ugledu na najpoznatijeg bankarskog Trojanca Zeus, a verovatno i oslanjajući se na njegov procureli izvorni kod, ubacuje stranice i formulare sa ciljem da prevari korisnike da predaju svoje lične podatke sajber kriminalcima.

Osim ovoga, Corkow sadrži i module koji omogućavaju hakerima daljinski pristup i instalaciju univerzalnog programa za krađu lozinki “Pony” koga ESET antivirus detektuje kao Win32/PSW.Fareit.

Oko 73% infekcija Trojancem Corkow ESET je zabeležio u Rusiji, a po broju infekcija na drugom mestu je Ukrajina, posle koje slede Italija, Belorusija i Kazahstan.

To što je Rusija na pravom mestu na listi zemalja sa najvećim brojem infekcija ne čudi s obzirom da Corkow ima modul koji cilja na iBank2 sistem koga koriste mnoge ruske banke i preduzeća koja su klijenti ovih banaka.

Poseban modul malvera cilja na aplikacije najveće ruske banke Sberbank.

Corkow može da prikuplja i različite informacije sa nekoliko mesta na zaraženom računaru, kao što je istorija pretrage, informacije o instaliranim programima, o tome kada su programi poslednji put korišćeni i listu aktivnih procesa.

Zanimljivo je i da je Corkow zainteresovan za web sajtove i softver koji je povezan sa digitalnom valutom Bitcoin, ali i računare koji pripadaju programerima Android aplikacija koji svoje aplikacije objavljuju na Google Play. Jasno je šta je ideja autora malvera kada je reč o pristupanju Bitcoin nalozima žrtava, ali je jasno i kakve posledice mogu biti ako malver uspe da ukrade podatke za prijavljivanje na naloge programera Android aplikacija i preda ih kriminalcima.

Kriminalci koji stoje iza malvera koji im donose profit ne žele da njihovi maliciozni programi privuku pažnju stručnjaka. Zato mnogi savremeni malveri pokušavaju da provere da li se nalaze u kontrolisanim, laboratorijskim uslovima pre nego što krenu u akciju.

Corkow se i u tom pogledu izdvaja od srodnih malvera. Kada se instalira, payload malvera se šifruje pomoću Volume Serial Number na C disku i ponaša se bezazleno ako radi na posebnom računaru, dakle, ne na onom koga je prvobitno zarazio.

To otežava analizu istraživača i automatizovanih sistema, što je verovatno razlog zbog čega je malver do sada izbegao da njegov maliciozni kod bude detaljno ispitan.

Slučaj Trojanca Corkow je zanimljiv i zbog toga što je malver bio neaktivan mesecima, nakon što je prvi put uočen u oktobru 2011. godine, da bi se iznenada aktivirao prošle godine.

ESET će naredne nedelje objaviti detaljnu analizu malvera koja će biti dopunjena novim saznanjima stručnjaka kompanije.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Novi trojanac BloodyStealer krade Epic Games i Steam naloge

Novi trojanac BloodyStealer krade Epic Games i Steam naloge

Novi trojanac koji se prodaje na ruskim hakerskim forumima onima koji ga kupe nudi mogućnost krađe korisničkih naloga na popularnim servisima kao ... Dalje

Opasni bankarski trojanac u Google oglasima u rezultatima pretrage

Opasni bankarski trojanac u Google oglasima u rezultatima pretrage

Ako na pretraživačima poput Googlea tražite softver TeamViewer mogli biste naleteti na linkove koji bi vas mogli odvesti do lažnih sajtova na koji... Dalje

Nova varijanta malvera AdLoad prolazi neprimećena Appleovu XProtect odbranu od malvera

Nova varijanta malvera AdLoad prolazi neprimećena Appleovu XProtect odbranu od malvera

Nova varijanta malvera AdLoad provlači se kroz Appleovu ugrađenu antivirusnu tehnologiju XProtect i inficira Mac računare u okviru više kampanja k... Dalje

Novi trojanac FatalRAT širi se preko Telegrama

Novi trojanac FatalRAT širi se preko Telegrama

Sajber kriminalci koriste Telegram kanale da bi širili novog trojanca koji im omogućava daljinski pristup inficiranim uređajima (RAT). Istraživač... Dalje

Microsoft upozorio na malver LemonDuck koji inficira i Windows i Linux

Microsoft upozorio na malver LemonDuck koji inficira i Windows i Linux

LemonDuck je prvi put otkriven u Kini 2019. godine kao botnet koji je inficirane sisteme koristio za rudarenje kriptovalute Monero. Međutim, on je u ... Dalje