Создатели банковских троянов сотрудничают для атак на пользователей

Компания Eset выявила признаки сотрудничества между киберпреступниками, которые распространяют семейства банковских троянов в Латинской Америке. Из-за большого количества похожих функций эти банковские трояны часто рассматривают как одну группу угроз. На самом деле среди них обнаружено по крайней мере 11 различных семейств вредоносных программ. В частности, в течение прошлого года были зафиксированы такие банковские трояны – Amavaldo, Casbaneiro, Mispadu, Guildma, Grandoreiro и Mekotio.

Исследователи Eset обнаружили большое количество признаков, которые свидетельствуют о сотрудничестве авторов вредоносного ПО. Несмотря на латиноамериканское происхождение троянов, с конца прошлого года целями киберпреступников были также пользователи Испании и Португалии.

Первым общим признаком, выявленным исследователями Eset, была идентичная реализация функционала и методов атак с помощью поддельных всплывающих окон, которые подталкивают жертв предоставить конфиденциальную информацию. Кроме того, эти семейства вредоносов используют сторонние библиотеки, как правило, неизвестные алгоритмы шифрования строк, а также различные методы обфускации (запутывания).

Похожими также являются техники распространения вредоносного ПО. Трояны обычно проверяют наличие маркера, который указывает на заражение устройства, и загружают данные в ZIP-архивы. Кроме этого, исследователи Eset обнаружили идентичные цепи распространения, которые использовали различные компоненты и одинаковые методы выполнения.

Также разные семейства банковских троянов используют похожие шаблоны спама в своих последних кампаниях. Поскольку сходство такого количества идей в отдельных авторов вредоносного ПО маловероятна, можно сделать вывод, что несколько групп киберпреступников сотрудничают между собой.