Kaspersky Lab: szkodliwe programy IX 2011

Przeczytaj także: Kaspersky Lab: szkodliwe programy VIII 2011

Mobilne zagrożenia

We wrześniu wykryliśmy 680 nowych wariantów szkodliwych programów dla różnych platform mobilnych – 559 z nich było przeznaczonych do atakowania Androida. W ostatnich miesiącach odnotowaliśmy znaczący wzrost całkowitej liczby szkodliwych programów na Androida, a w szczególności backdoorów: spośród 559 zagrożeń wykrytych na system Google, 182 (32,5%) to modyfikacje z funkcjami backdoora (w lipcu liczba ta wynosiła 46, a w sierpniu 54).

Oczywistym było, że wcześniej czy później większość szkodliwych programów przeznaczonych na urządzenia mobilne zacznie rozlegle korzystać z Internetu w celu, na przykład, łączenia się ze zdalnymi serwerami do odbierania poleceń.

SpitMo + SpyEye = skradzione kody mTAN

Aktualnie znane są dwa mobilne trojany ZitMo i SpitMo które zostały zaprojektowane do przechwytywania wiadomości tekstowych zawierających kody mTAN (kody jednorazowe służące do autoryzowania transakcji bankowych, wysyłane przez banki w postaci SMS-ów). ZitMo współpracuje z trojanem ZeuS, natomiast SpitMo jest połączony z innym niebezpiecznym szkodnikiem SpyEye. ZitMo prowadzi pod względem liczby platform, które może infekować (Symbian, Windows Mobile, Android oraz BlackBerry), chociaż we wrześniu wykryto wersję SpitMo działającą na Androidzie.

SpitMo i SpyEye działają praktycznie w ten sam sposób, co duet ZitMo-Zeus. Pliki konfiguracyjne trojana SpyEye sugerują, że jego celem byli klienci kilku hiszpańskich banków. Użytkownicy komputerów zainfekowanych szkodnikiem SpyEye otrzymują wiadomości o stronie zmodyfikowanej przez szkodliwy program, z której należy zainstalować ważną aplikację przeznaczoną na smartfon. Aplikacja ta ma chronić wiadomości tekstowe zawierające kody mTAN. W rzeczywistości jednak instalowany jest szkodliwy program SpitMo, który wysyła wszystkie przychodzące SMS-y na zdalny serwer należący do cyberprzestępcy. SpitMo zawiera plik konfiguracyjny XML, który określa sposób wysyłania przechwyconej wiadomości tekstowej: poprzez HTTP lub SMS. Ten rodzaj funkcji jest nowy i bez wątpienia możemy się spodziewać modyfikacji tego typu szkodliwych programów.