Denis Maslennikow – autor tekstu i starszy analityk zagrożeń, Kaspersky Lab – omawia przykłady zarejestrowanych ataków, a także mechanizmy wykorzystane w trojanie oraz jego wersje przeznaczone dla różnych platform mobilnych – Symbian, BlackBerry, Windows Mobile oraz Android.
Dotychczas za jeden z najbardziej niezawodnych mechanizmów ochrony bankowości online uważano kody jednorazowe przesyłane użytkownikowi przez bank za pośrednictwem SMS-ów. Niestety, wraz z pojawieniem się trojana ZeuS na smartfony, zwanego ZeuS-in-the-Mobile (w skrócie ZitMo), SMS-owe kody jednorazowe mogą łatwo wpaść w posiadanie cyberprzestępców, dając im pełny dostęp do pieniędzy użytkowników.
Trojan ZitMo, zaprojektowany specjalnie do kradzieży SMS-owych kodów jednorazowych, został po raz pierwszy wykryty we wrześniu 2010 roku i pozostaje jednym z najciekawszych przykładów szkodliwego oprogramowania na telefony mobilne. „Po pierwsze, jest on wieloplatformowy: wykryliśmy wersje na Symbiana, Windows Mobile, BlackBerry i Androida” – wyjaśnia Denis Maslennikow, starszy analityk zagrożeń, Kaspersky Lab. „Jest to trojan z bardzo wąską specjalizacją: jego głównym celem jest przesyłanie przychodzących SMS-ów zawierających kody jednorazowe do cyberprzestępców, co umożliwia im przeprowadzanie transakcji finansowych z użyciem kont bankowych ofiar. Prawdopodobnie jego najbardziej wyróżniającą się funkcją jest współpraca z klasycznym trojanem ZeuS działającym na komputerach PC. Warto zwrócić uwagę na to, że bez klasycznego ZeuSa, ZitMo jest zwykłym programem szpiegującym, zdolnym do przesyłania SMS-ów. To praca zespołowa tych dwóch trojanów umożliwia cyberprzestępcom omijanie środków bezpieczeństwa, jakimi są kody jednorazowe używane w bankowości internetowej”.
Schemat ataku jest następujący:
- Cyberprzestępcy wykorzystują ZeuSa infekującego komputery do wykradania danych niezbędnych do uzyskania dostępu do internetowych kont bankowych (login i hasło) i numerów telefonów komórkowych;
- Na telefon ofiary przychodzi SMS z żądaniem zainstalowania uaktualnionego certyfikatu bezpieczeństwa lub innego „niezbędnego” oprogramowania. Odnośnik w SMS-ie prowadzi do mobilnej wersji ZeuSa (ZitMo);
- Instalując to oprogramowanie, użytkownik infekuje swój telefon, co umożliwia cyberprzestępcy wykradzenie danych i dokonanie próby przeprowadzenia transakcji finansowej. Mimo tego atakujący wciąż potrzebuje kodu jednorazowego do autoryzacji transakcji;
- Bank wysyła na telefon klienta wiadomość SMS zawierającą kod jednorazowy;
- ZitMo przesyła tę wiadomość na telefon cyberprzestępcy;
- Następnie atakujący używa zdobytego kodu jednorazowego do autoryzacji transakcji.
Niewątpliwie w przyszłości będziemy obserwowali kolejne ataki wykorzystujące trojana ZitMo (lub inny szkodliwy program z podobnymi funkcjami). Dlatego użytkownicy smartfonów powinni pamiętać o kilku ważnych zasadach dotyczących bezpieczeństwa mobilnego:
- Zawsze należy sprawdzić żądania aplikacji w momencie jej instalacji;
- Nie należy modyfikować ani łamać ustawień zabezpieczeń bezpieczeństwa użytkowanego smartfonu;
- Należy unikać pobierania i instalowania aplikacji z nieoficjalnych źródeł;
- W przypadku instalowania aplikacji na system Android ze źródła innego niż Android Market, należy upewnić się, że pochodzi ona z pewnego źródła;
- Nie należy klikać odnośników wysyłanych w SMS-ach, które docierają z nieznanych numerów;
- Należy jak najszybciej instalować wszelkie uaktualnienia systemu operacyjnego i użytkowanych aplikacji;
- Warto zastanowić się nad instalacją pakietu bezpieczeństwa mobilnego, który nie tyko zapewni ochronę przed szkodliwymi programami (takimi jak ZitMo), ale również zabezpieczy dane w przypadku kradzieży lub zgubienia smartfonu.
Więcej szczegółowych informacji o trojanie ZitMo oraz jego działaniu na różnych platformach mobilnych można znaleźć w artykule Denisa Maslennikowa „ZeuS-in-the-Mobile – Fakty i teorie”, opublikowanym w Encyklopedii Wirusów VirusList.pl prowadzonej przez Kaspersky Lab: http://www.viruslist.pl/analysis.html?newsid=678.
Informację oraz artykuł można wykorzystać dowolnie z zastrzeżeniem podania firmy Kaspersky Lab jako źródła.
