Ο πηγαίος κώδικας της πρώτης έκδοσης του Tinba, του μικρότερου τραπεζικού Trojan που αναπτύχθηκε ποτέ, κυκλοφορεί online.
Το κακόβουλο λογισμικό είναι γνωστό και σαν Tinybanker ή zusy, και είναι μόνο 20KB. Ανακαλύφθηκε για πρώτη φορά στα μέσα του 2012, όταν είχε στοχοποιήσει συγκεκριμένα πρόσωπα στην Τουρκία. Τότε εντοπίστηκαν περισσότερες από 60.000 μοναδικές λοιμώξεις.
Αυτό που τράβηξε αμέσως την προσοχή των ερευνητών ασφάλειας που το ανακάλυψαν ήταν το μικρό του μέγεθος και η μεγάλη του λειτουργικότητά που συναγωνίζεται πολύ μεγαλύτερα Trojans.
Ερευνητές από το CSIS Security Group, στη Δανία, ανακάλυψαν μια δημοσίευση σε ένα κλειστό υπόγειο forum. Μετά από προσεκτική ανάλυση, διαπίστωσαν ότι ο πηγαίος κώδικας που υπήρχε στη δημοσίευση ήταν για την πρώτη έκδοση του κακόβουλου λογισμικού που κυκλοφόρησε το 2011-2012.
Διαβάστε περισσότερα για το Tinba από το paper (PDF) της Τrend Μicro.
Το Tinba έχει δημιουργηθεί για να κατασκοπεύει το πρόγραμμα περιήγησης και να συλλέγει τα στοιχεία σύνδεσης. Παρά το γεγονός ότι το μέγεθος του είναι μόνο 20KB, το κακόβουλο λογισμικό χρησιμοποιεί τεχνικές man-in-the-browser (MitB) αλλά και τεχνικές web-injection για να υποκλέψει και να αποστείλει τα δεδομένα στον δημιουργό του. Αυτή η δραστηριότητα συνήθως πραγματοποιείτε από ειδικά και πολύπλοκα malware.
Η κυκλοφορία του πηγαίου κώδικα στο διαδίκτυο αυξάνει τον κίνδυνο εμφάνισης νέων trojans που βασίζονται κοινό εν μέρει στον πηγαίο κώδικα του Tinba.
Ο κώδικας συνοδεύεται από πλήρη τεκμηρίωση και μοιάζει ότι είναι δημοσιευμένος όλος από τους developers του. Οι ερευνητές της CSIS σημειώνουν ότι τα πάντα είναι πολύ όμορφα δομημένα και ότι κατά τη διάρκεια της ανάλυσης τους, μπόρεσαν να μεταγλωττίσουν τον κώδικα χωρίς κανένα πρόβλημα.
Μόλις εγκατασταθεί το κακόβουλο λογισμικό, αναπτύσσει μια ασαφή injection routine που του επιτρέπει να αποφύγει τον εντοπισμό από τα antivirus.
Οι ερευνητές αναφέρουν ότι μεταξύ των δυνατοτήτων του ήταν η απενεργοποίηση του συναγερμού ψεύτικων ιστοσελίδων στο Mozilla Firefox, έτσι ώστε ο χρήστης να μην υποψιαστεί τίποτα αν σερφάρει σε μολυσμένες ιστοσελίδες.
Η επικοινωνία με το διακομιστή διοίκησης και ελέγχου είναι κρυπτογραφημένη με RC4 και χρησιμοποιεί σε μια σειρά από τέσσερα domains. Σε αυτά προσπαθεί να επικοινωνήσει για να αποστείλει πληροφορίες και κάνει ping μέχρι να λάβει απάντηση.
