Częstochowa, 12 października 2011 r. – Kaspersky Lab informuje o opublikowaniu nowego artykułu poświęconego jednemu z najniebezpieczniejszych zagrożeń ostatnich czasów – trojanowi ZeuS, który jako pierwszy w historii pozwolił cyberprzestępcom na całkowite ominięcie zabezpieczeń stosowanych przez banki online. Denis Maslennikow – autor tekstu i starszy analityk zagrożeń, Kaspersky Lab – omawia przykłady zarejestrowanych ataków, a także mechanizmy wykorzystane w trojanie oraz jego wersje przeznaczone dla różnych platform mobilnych – Symbian, BlackBerry, Windows Mobile oraz Android.

Dotychczas za jeden z najbardziej niezawodnych mechanizmów ochrony bankowości online uważano kody jednorazowe przesyłane użytkownikowi przez bank za pośrednictwem SMS-ów. Niestety, wraz z pojawieniem się trojana ZeuS na smartfony, zwanego ZeuS-in-the-Mobile (w skrócie ZitMo), SMS-owe kody jednorazowe mogą łatwo wpaść w posiadanie cyberprzestępców, dając im pełny dostęp do pieniędzy użytkowników.

Trojan ZitMo, zaprojektowany specjalnie do kradzieży SMS-owych kodów jednorazowych, został po raz pierwszy wykryty we wrześniu 2010 roku i pozostaje jednym z najciekawszych przykładów szkodliwego oprogramowania na telefony mobilne. „Po pierwsze, jest on wieloplatformowy: wykryliśmy wersje na Symbiana, Windows Mobile, BlackBerry i Androida” – wyjaśnia Denis Maslennikow, starszy analityk zagrożeń, Kaspersky Lab. „Jest to trojan z bardzo wąską specjalizacją: jego głównym celem jest przesyłanie przychodzących SMS-ów zawierających kody jednorazowe do cyberprzestępców, co umożliwia im przeprowadzanie transakcji finansowych z użyciem kont bankowych ofiar. Prawdopodobnie jego najbardziej wyróżniającą się funkcją jest współpraca z klasycznym trojanem ZeuS działającym na komputerach PC. Warto zwrócić uwagę na to, że bez klasycznego ZeuSa, ZitMo jest zwykłym programem szpiegującym, zdolnym do przesyłania SMS-ów. To praca zespołowa tych dwóch trojanów umożliwia cyberprzestępcom omijanie środków bezpieczeństwa, jakimi są kody jednorazowe używane w bankowości internetowej”.

Schemat ataku jest następujący:

• Cyberprzestępcy wykorzystują ZeuSa infekującego komputery do wykradania danych niezbędnych do uzyskania dostępu do internetowych kont bankowych (login i hasło) i numerów telefonów komórkowych;
• Na telefon ofiary przychodzi SMS z żądaniem zainstalowania uaktualnionego certyfikatu bezpieczeństwa lub innego „niezbędnego” oprogramowania. Odnośnik w SMS-ie prowadzi do mobilnej wersji ZeuSa (ZitMo);
• Instalując to oprogramowanie, użytkownik infekuje swój telefon, co umożliwia cyberprzestępcy wykradzenie danych i dokonanie próby przeprowadzenia transakcji finansowej. Mimo tego atakujący wciąż potrzebuje kodu jednorazowego do autoryzacji transakcji;
• Bank wysyła na telefon klienta wiadomość SMS zawierającą kod jednorazowy;
• ZitMo przesyła tę wiadomość na telefon cyberprzestępcy;
• Następnie atakujący używa zdobytego kodu jednorazowego do autoryzacji transakcji.

Niewątpliwie w przyszłości będziemy obserwowali kolejne ataki wykorzystujące trojana ZitMo (lub inny szkodliwy program z podobnymi funkcjami). Dlatego użytkownicy smartfonów powinni pamiętać o kilku ważnych zasadach dotyczących bezpieczeństwa mobilnego:

• Zawsze należy sprawdzić żądania aplikacji w momencie jej instalacji;
• Nie należy modyfikować ani łamać ustawień zabezpieczeń bezpieczeństwa użytkowanego smartfonu;
• Należy unikać pobierania i instalowania aplikacji z nieoficjalnych źródeł;
• W przypadku instalowania aplikacji na system Android ze źródła innego niż Android Market, należy upewnić się, że pochodzi ona z pewnego źródła;
• Nie należy klikać odnośników wysyłanych w SMS-ach, które docierają z nieznanych numerów;
• Należy jak najszybciej instalować wszelkie uaktualnienia systemu operacyjnego i użytkowanych aplikacji;
• Warto zastanowić się nad instalacją pakietu bezpieczeństwa mobilnego, który nie tyko zapewni ochronę przed szkodliwymi programami (takimi jak ZitMo), ale również zabezpieczy dane w przypadku kradzieży lub zgubienia smartfonu.