ZeuS-in-the-Mobile coraz groźniejszy

Przeczytaj także: Trojan SMS dla smartfonów z Android

Bankowość internetowa jest obecnie codziennością dla większości osób. Coraz więcej banków próbuje zwiększyć zakres usług dostępnych dla klientów online. Wydawać by się mogło, że przy wygodzie i szybkości, jaką oferuje bankowość elektroniczna, nie będzie już żadnych minusów. Niestety, gdy w grę wchodzą pieniądze - w jakiejkolwiek postaci - tam zazwyczaj pojawiają się oszuści i przestępcy.

Trudno jest wskazać dokładną datę pierwszego ataku na klientów bankowości internetowej, ale w tej sytuacji jest to mało istotne. Jak do tej pory spotkaliśmy się z dwoma typami ataków: ataki z wykorzystaniem klasycznych metod phishingowych oraz ataki z użyciem różnych szkodliwych programów. Początkowo ataki te miały na celu identyfikację użytkowników systemów bankowości elektronicznej, czyli gromadziły nazwy użytkowników i hasła. Na wzmocnione przez banki mechanizmy bezpieczeństwa cyberprzestępcy odpowiedzieli udoskonaleniem szkodliwych programów. Nauczyli się oni również omijać większość procesów potwierdzania transakcji.

Obecnie najpopularniejszą metodą zabezpieczającą usługi bankowości elektronicznej są kody TAN (Transaction Authentication Number) z podpisami cyfrowymi. W niektórych przypadkach banki wysyłają kody TAN w wiadomościach tekstowych (kody te zwane są mTAN lub kody do mobilnej autoryzacji transakcji). Do września 2010 roku nie zarejestrowano przypadków ataków z wykorzystaniem kodów mTAN. W 2009 roku krążyły plotki, że hakerzy wykupują telefony Nokia 1100s i to tylko te, które zostały wyprodukowane w fabryce w Bochum (Niemcy). Podobno te konkretne telefony miały specjalne funkcje, które umożliwiały przechwytywanie wszystkich wiadomości tekstowych, łącznie z tymi zawierającymi kody mTAN. Nigdy nie zostało to potwierdzone.

Gdy we wrześniu 2010 roku pojawił się trojan ZeuS na platformy mobilne (zwany ZeuS-in-the-Mobile lub ZitMo), stał się on pierwszym szkodliwym programem zaprojektowanym do wykradania kodów mTAN. Niniejszy artykuł szczegółowo opisuje trojana ZitMo.

Sposób działania trojana ZitMo

Mobilny ZeuS (Trojan-Spy.*.Zitmo) został zaprojektowany w jednym konkretnym celu: do szybkiej kradzieży kodów mTAN w sposób niezauważalny dla użytkownika mobilnego. Pierwszą istotną sprawą, o jakiej należy wspomnieć, jest fakt, że ZitMo działa we współpracy z tradycyjnym trojanem ZeuS. Poprzez tradycyjnego trojana ZeuS rozumiemy modyfikację trojana, którego celem jest platforma Win32 i który został sklasyfikowany przez Kaspersky Lab jako Trojan-Spy.Win32.Zbot.

W Sieci od jakiegoś czasu krąży trojan ZeuS atakujący komputery działające pod kontrolą systemu Windows. Jego pierwsza modyfikacja pojawiła się w 2007 roku.

Co się stanie, gdy użytkownik, którego komputer został zainfekowany trojanem ZeuS, chce załogować się do systemu bankowości internetowej? Użytkownik otwiera stronę internetową swojego banku i loguje się do systemu. Komputerowa wersja ZeuSa rejestruje łączenie się użytkownika ze stroną instytucji finansowej i modyfikuje tę stronę w przeglądarce w ten sposób, że wprowadzone dane osobiste służące do autoryzacji nie są wysyłane do banku, ale do centrum zarządzania botnetem ZeuSa.