Για ένα νέο, ενεργό και επικίνδυνο banking Trojan προειδοποιεί η ESET, κατόπιν σχετικών αναλύσεων του κέντρου ερευνών malware της ESET Canada. Το Qadars, όπως ονομάζεται, στοχεύει κυρίως χρήστες στην Ολλανδία (το 75% των ανιχνευμένων μολύνσεων εντοπίζεται εκεί), ενώ κρούσματα έχουν σημειωθεί σε Γαλλία, Ιταλία, Καναδά, Ινδία και Αυστραλία. Το Qadars χρησιμοποιεί μία σειρά διαφορετικών webinjects, πολλά από τα οποία περιλαμβάνουν στοιχεία της πλατφόρμας Android, που είναι ικανά να παρακάμψουν τα συστήματα πιστοποίησης δύο επιπέδων (2-factor authentication) του χρήστη στις online τραπεζικές υπηρεσίες, ώστε να αποκτήσουν πρόσβαση στον τραπεζικό του λογαριασμό. Το trojan εντοπίζει χρήστες σε συγκεκριμένες περιοχές και χρησιμοποιεί αρχεία ρυθμίσεων webinject, όμοια με αυτά των γνωστότερων τραπεζών, εξαπατώντας έτσι πολύ πιο αποτελεσματικά τα θύματα. Η ESET έχει εντοπίσει το malware εδώ και έξι μήνες και προειδοποιεί ότι συνεχώς ανανεώνεται.
Το κακόβουλο λογισμικό, που ανιχνεύεται ως Win32/Qadars, στοχεύει σε οικονομική εξαπάτηση μέσω επιθέσεων τύπου «Man-in-the-Browser». Ο ιός παρεισφρέει στον browser (Firefox ή Internet Explorer) και μπορεί κατόπιν να εισάγει περιεχόμενο σε σελίδες που βλέπει ο χρήστης. Μερικά από τα webinjects είναι τόσο εξειδικευμένα που μπορούν να πραγματοποιήσουν αυτόματα συναλλαγές και να παρακάμψουν τα συστήματα πιστοποίησης δύο επιπέδων των τραπεζών.
«Αυτό το περιεχόμενο μπορεί να είναι οτιδήποτε, συνήθως όμως έχει μορφή τέτοια ώστε να κλέψει τα προσωπικά στοιχεία του χρήστη ή σχεδιασμό JavaScript για αυτόματες μεταφορές χρημάτων χωρίς τη γνώση ή την συναίνεση του χρήστη», όπως σημειώνει ο Jean-Ian Boutin, ερευνητής του ESET lab στο Μόντρεαλ του Καναδά, και συμπληρώνει: «Το αρχείο ρυθμίσεων webinject του Qadars αλλάζει συχνά και επιτίθεται σε συγκεκριμένους οργανισμούς. Για να μεγιστοποιήσουν την αποτελεσματικότητα αυτών των webinjects, οι δημιουργοί του malware προσπαθούν να μολύνουν χρήστες σε συγκεκριμένες περιοχές ανά τον κόσμο».
Αναλυτικότερη παρουσίαση του malware διατίθεται στο blogpost «Qadars – A Banking Trojan with Netherlands in its sight» στο WeLiveSecurity.com, την πλατφόρμα της ESET με τις πιο πρόσφατες πληροφορίες από τον τομέα της ασφάλειας, αναλύσεις για κυβερνοαπειλές και χρήσιμες συμβουλές.