Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

ZeuS-in-the-Mobile dla Androida

Denis Nazarow
Kaspersky Lab Expert
Dodany 13 lipca 2011, 12:11 CEST
Tagi:

Pierwsza wersja ZitMo (ZeuS-in-the-Mobile), szkodliwego oprogramowania, którego celem są mTAN-y, została wykryta pod koniec września 2010 roku. Wersja ta została stworzona dla smartfonów z Symbianem. Następnie zidentyfikowane zostały wersje dla systemów Windows Mobile oraz Blackberry. Nie ma nic dziwnego w tym, że cyberprzestępcy tworzą nowe i zaawansowane szkodliwe programy mobilne dla Symbiana i Windowsa Mobile; o wiele bardziej zaskakujący jest fakt, że celem ataków stały się również urządzenia z Blackberry; jeszcze bardziej dziwi to, że do lipca 2011 roku nie było śladu istnienia ZitMo dla Androida.

Na początek należy wspomnieć, że ZitMo dla Androida znacznie różni się od wersji dla Symbiana, Windowsa Mobile oraz Blackberry. Funkcjonalność i logika ZitMo dla Symbiana, Windowsa Mobile oraz Blackberry jest taka sama: numer telefonu komórkowego centrum kontroli, polecenia SMS oraz możliwość wysyłania wiadomości SMS z określonego numeru i zmiany centrum kontroli.

O wiele prymitywniejsza jest funkcjonalność i logika ZitMo dla Androida. Sam plik APK ma rozmiar 19k. Podszywa się pod narzędzie bezpieczeństwa firmy Trusteer. Jeżeli użytkownik zainstaluje szkodliwą aplikację, w menu głównym pojawi się następująca ikonka ‘Trusteer Rapport’:

Po kliknięciu odsyłacza aplikacji na ekranie pojawi się następujący komunikat:

Jak już wcześniej pisałem, ZitMo dla Androida jest bardzo prymitywny. Jego funkcjonalność obejmuje jedynie możliwość wysłania wszystkich przychodzących wiadomości SMS (łącznie z tymi zawierającymi mTAN-y) na zdalny serwer sieciowy http://******rifty.com/security.jsp w następującym formacie:

f0={ SMS_sender_number}&b0={ SMS_text}&pid={ infected_device_ID}

Pierwsze ataki z użyciem ZeuS-in-the-Mobile dla Androida miały miejsce prawdopodobnie na początku czerwca. Powstaje pytanie: w jaki sposób ZitMo dla Androida infekuje urządzenia? Jednak pod tym względem nic się nie zmieniło.

Znaleźliśmy jeden z plików konfiguracyjnych Win32 ZeuS zawierający następującą “sugestię”:

Jeżeli użytkownik zaznaczy “Android” i kliknie “Continue”, zostanie przekierowany na poniższą stronę, na której zostanie poproszony o pobranie “narzędzia bezpieczeństwa”:

Jeżeli wybierze inną opcję (‘iOS (iPhone)’, ‘BlackBerry’, ‘Symbian (Nokia)’ lub ‘Other’), nie dostanie nic!

Innymi słowy, celem tego ataku są wyłącznie urządzenia z Androidem.

Jednak oprócz strony http://*************.com/tr.apk ZitMo dla Androida został również umieszczony w Android Markecie. Aplikacja została już usunięta, jednak – tak jak w poprzednich przypadkach szkodliwego oprogramowania w Android Markecie – istnieją strony duplikaty, które zawierają informacje o wszystkich programach zatwierdzonych przez Google. W przypadku ZitMo dla Androida, aplikacja ta została umieszczona z nazwą ‘TrustMobile’ 18 czerwca.

Podliczając, jak na razie ZitMo potrafi atakować 4 platformy: Symbian, Windows Mobile, Blackberry oraz Android. Jak pisaliśmy w poprzednim blogu na temat ZeuS-in-the-Mobile – „cyberprzestępcy są dalecy od zaprzestania swojej aktywności”.