Najgroźniejszy trojan? Fakty i teorie na temat ZeuS-a

Denis Maslennikow - autor tekstu i starszy analityk zagrożeń w Kaspersky Lab - omawia przykłady zarejestrowanych ataków, a także mechanizmy wykorzystane w trojanie oraz jego wersje przeznaczone dla różnych platform mobilnych - Symbian, BlackBerry, Windows Mobile oraz Android.

ZeuS pokonał banki

Dotychczas za jeden z najbardziej niezawodnych mechanizmów ochrony bankowości online uważano kody jednorazowe przesyłane użytkownikowi przez bank za pośrednictwem SMS-ów. Niestety, wraz z pojawieniem się trojana ZeuS na smartfony, zwanego ZeuS-in-the-Mobile (w skrócie ZitMo), SMS-owe kody jednorazowe mogą łatwo wpaść w posiadanie cyberprzestępców, dając im pełny dostęp do pieniędzy użytkowników.

Trojan ZitMo, zaprojektowany specjalnie do kradzieży SMS-owych kodów jednorazowych, został po raz pierwszy wykryty we wrześniu 2010 roku i pozostaje jednym z najciekawszych przykładów szkodliwego oprogramowania na telefony mobilne.

- Po pierwsze, jest on wieloplatformowy: wykryliśmy wersje na Symbiana, Windows Mobile, BlackBerry i Androida - wyjaśnia Denis Maslennikow. Jest to trojan z bardzo wąską specjalizacją: jego głównym celem jest przesyłanie przychodzących SMS-ów zawierających kody jednorazowe do cyberprzestępców, co umożliwia im przeprowadzanie transakcji finansowych z użyciem kont bankowych ofiar. Prawdopodobnie jego najbardziej wyróżniającą się funkcją jest współpraca z klasycznym trojanem ZeuS, działającym na komputerach PC. Warto zwrócić uwagę na to, że bez klasycznego ZeuSa, ZitMo jest zwykłym programem szpiegującym, zdolnym do przesyłania SMS-ów. To praca zespołowa tych dwóch trojanów umożliwia cyberprzestępcom omijanie środków bezpieczeństwa, jakimi są kody jednorazowe używane w bankowości internetowej - tłumaczy Maslennikow.

Schemat ataku jest następujący:

- Cyberprzestępcy wykorzystują ZeuSa infekującego komputery do wykradania danych niezbędnych do uzyskania dostępu do internetowych kont bankowych (login i hasło) i numerów telefonów komórkowych;

- Na telefon ofiary przychodzi SMS z żądaniem zainstalowania uaktualnionego certyfikatu bezpieczeństwa lub innego "niezbędnego" oprogramowania. Odnośnik w SMS-ie prowadzi do mobilnej wersji ZeuSa (ZitMo);

- Instalując to oprogramowanie, użytkownik infekuje swój telefon, co umożliwia cyberprzestępcy wykradzenie danych i dokonanie próby przeprowadzenia transakcji finansowej. Mimo tego atakujący wciąż potrzebuje kodu jednorazowego do autoryzacji transakcji;

- Bank wysyła na telefon klienta wiadomość SMS zawierającą kod jednorazowy;

- ZitMo przesyła tę wiadomość na telefon cyberprzestępcy;

- Następnie atakujący używa zdobytego kodu jednorazowego do autoryzacji transakcji.

Niewątpliwie w przyszłości będziemy obserwowali kolejne ataki wykorzystujące trojana ZitMo (lub inny szkodliwy program z podobnymi funkcjami). Dlatego użytkownicy smartfonów powinni pamiętać o kilku ważnych zasadach dotyczących bezpieczeństwa mobilnego:

- Zawsze należy sprawdzić żądania aplikacji w momencie jej instalacji;

- Nie należy modyfikować ani łamać ustawień zabezpieczeń bezpieczeństwa użytkowanego smartfonu;

- Należy unikać pobierania i instalowania aplikacji z nieoficjalnych źródeł;

- W przypadku instalowania aplikacji na system Android ze źródła innego niż Android Market, należy upewnić się, że pochodzi ona z pewnego źródła;

- Nie należy klikać odnośników wysyłanych w SMS-ach, które docierają z nieznanych numerów;

- Należy jak najszybciej instalować wszelkie uaktualnienia systemu operacyjnego i użytkowanych aplikacji;

- Warto zastanowić się nad instalacją pakietu bezpieczeństwa mobilnego, który nie tyko zapewni ochronę przed szkodliwymi programami (takimi jak ZitMo), ale również zabezpieczy dane w przypadku kradzieży lub zgubienia smartfonu.