Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Zeus in the Mobile powraca

Denis Nazarow
Kaspersky Lab Expert
Dodany 23 lutego 2011, 09:11 CET

Wczoraj polski konsultant ds. bezpieczeństwa i bloger Piotr Konieczny pisał o nowej fali ataków trojana ZeuS. Tym razem ataki miały miejsce w Polsce, a ich celem byli klienci banku ING.

Próbki, które były wykorzystywane w tym ataku, działają na wielu platformach: Trojan-Spy.Win32.Zbot.bbmf for Windows, Trojan-Spy.SymbOS.Zbot.b for Symbian oraz Trojan-Spy.WinCE.Zbot.a for Windows Mobile. Tak, tym razem ZeuS in the Mobile (ZitMo) atakuje również smartfony z systemem Windows Mobile.

Najnowszy atak był bardzo podobny do pierwszego ataku ZitMo, który miał miejsce pod koniec września 2010 roku. Użytkownicy zainfekowani windowsowymi wersjami trojana Zbot byli proszeni o podanie swojego numeru telefonu oraz modelu smartfonu w celu “aktualizacji certyfikatu”. Następnie, wysyłano do “zainfekowanego” klienta SMS zawierający URL z odsyłaczem do aktualizacji certyfikatu (który w rzeczywistości jest trojanem ZeuS dla określonej platformy smartfona). Gdyby użytkownik pobrał i zainstalował ten szkodliwy plik, jego przychodzące wiadomości SMS (łącznie z kodami autentykacji mTAN) byłyby ukradkiem wysyłane na predefiniowany numer telefonu komórkowego.

Nowa wersja trojana ZeuS dla Symbiana (wykrywana jako Trojan-Spy.SymbOS.Zbot.b) przypomina wcześniejszą: te same polecenia i funkcje. Wersja dla systemu Windows Mobile (wykrywana jako Trojan-Spy.WinCE.Zbot.a) posiada tę samą funkcjonalność, a nawet te same polecenia. Na przykład, po udanej infekcji obie wersje raportują na ten sam (brytyjski) numer telefonu centrum C&C:

Trojan-Spy.WinCE.Zbot.a

Trojan-Spy.SymbOS.Zbot.b

Pierwszy atak ZitMo pokazał, że cyberprzestępcy nieustannie rozszerzają swoje działania na nowe platformy i atakują nowe obszary (w tym przypadku mTAN). Drugi atak udowodnił, że cyberprzestępcy nie zamierzają jeszcze przestać. Natomiast atak na nową platformę potwierdził to.

Nadal badamy tę sprawę i jak tylko pojawią się nowe fakty, natychmiast poinformujemy o nich.