Запутанная мошенническая схема была недавно разоблачена специалистами Check Point. Хакерам удалось преодолеть защиту антивирусной программы производства китайской компании Qihoo 360. Киберпреступники для достижения своих целей пользовались подкупом и стеганографией, и в результате начали похищать средства со счетов принадлежащей Alibaba Group платежной платформы Alipay.
Бесплатные антивирусы от Qihoo 360 очень популярны в Китае и представляют большую проблему для киберпреступников. Таким образом, нет ничего удивительного в том, что хакеры сконцентрировали свои усилия на обходе данных программ.
Как сообщают эксперты Check Point, хакерам удалось подкупить сотрудников некоей компании, занимающейся разработкой мобильных игровых приложений. Поскольку эта компания была основана уже давно и всегда находилась на хорошем счету у Qihoo 360, ее продукция попадала в списки доверенных программ практически автоматически. Данная особенность была использована хакерами, которые внедрили свой код в легитимную программу.
Распространение вредоносной программы осуществлялось с помощью сторонних магазинов приложений. Программа была замаскирована под доверенное игровое приложение, не привлекая таким образом срабатывания антивирусной программы. После проникновения на устройства вредоносная программа, однако, не атаковала пользователей, поскольку злоумышленники в качестве своих целей выбрали продавцов интернет-магазина Taobao.com.
На Taobao применяется своеобразная схема покупки товаров. Для заказа понравившейся вещи покупатель должен отправить продавцу картинку лота, используя специальный сервис для обмена сообщениями AliWangwang. Получив изображение, продавец одобряет сделку, после чего пользователь оплачивает товар с помощью платежной системы Alipay.
Вредоносная программа осуществляла рассылку внешне безобидных изображений товаров, взятых из настоящих магазинов. На данном этапе киберпреступники пользовались стеганографией: внедряли вредоносный код в изображения. Если продавец открывал такое изображение, то происходил запуск вредоносной программы, которая устанавливала кейлоггер на устройство жертвы. Поскольку вредоносная программа все еще оставалась частью доверенного приложения, антивирусы Qihoo 360 не обращали внимания на кейлоггер, спрятанный в коде изображений.
Чтобы заставить продавца авторизоваться в Alipay, злоумышленники вскоре после того, как кейлоггер был установлен, запускали процесс возврата денег. Учетная информация аккаунта жертвы в Alipay перехватывалась кейлоггером и попадала в распоряжение киберпреступников. После хакеры похищали со взломанного счета все деньги.
По словам специалистов из Check Point, данный случай является яркой иллюстрацией того, что как самая примитивная вредоносная программа может преодолеть надежную защиту, если киберпреступники заплатили нужному человеку.