Mobilny ZeuS udaje antywirusa dla Androida. Czym to grozi?

21-06-2012, 19:00

Pod nazwą Android Security Suite Premium ukrywa się nowa wersja trojana ZitMo (inaczej ZeuS in the Mobile), która przechwytuje SMS-y zawierające kody jednorazowe wysyłane przez banki do klientów, aby umożliwić im potwierdzenie operacji finansowych wykonywanych online.

W pierwszej połowie czerwca 2012 r. analitycy z Kaspersky Lab zidentyfikowali 6 plików APK (tj. plików instalujących aplikacje w systemie Android), które podszywają się pod aplikację Android Security Suite Premium, a w rzeczywistości służą do wykradania SMS-ów. Przechwycone wiadomości są następnie wysyłane na zdalny serwer, którego adres jest zaszyfrowany i przechowywany wewnątrz kodu trojana.

Jeżeli popatrzymy na ZitMo, nie uwzględniając jego związku z klasycznym trojanem bankowym, atakującym systemy z rodziny Windows, zobaczymy zwykły program szpiegujący, zdolny do przesyłania wiadomości tekstowych - w sieci grasuje wiele podobnych. Warto jednak pamiętać, że nowa wersja (wykrywana jako Trojan-Spy.AndroidOS.Zitmo.a), tak jak poprzednie, aktywnie współpracuje ze swoim desktopowym odpowiednikiem, co pozwala cyberprzestępcom pokonać ostatnią barierę procesu autoryzacji w systemie bankowości internetowej.

Jak rozpoznać infekcję? Gdy użytkownik zainstaluje trojana, w menu smartfona pojawia się ikona niebieskiej tarczy z podpisem Android Security Suite Premium:

Android Security Suite Premium - fałszywy antywirus dla Androida

Jeżeli aplikacja zostanie uruchomiona, na ekranie wyświetli się wygenerowany przez nią „kod aktywacyjny”:

Kod wygenerowany przez aplikację Android Security Suite Premium

Dalsze działania aplikacji są już niewidoczne dla użytkownika. Jak podkreślają eksperci, jej „funkcjonalność” została znacznie rozszerzona w stosunku do wersji z zeszłego roku. Nowy ZitMo dla Androida może otrzymywać zdalne polecenia kradzieży informacji o systemie, usuwania się z zainfekowanego smartfona oraz włączania/wyłączania innych niebezpiecznych programów.

Uważni czytelnicy DI zapewne pamiętają, że istnieją też wersje ZitMo atakujące inne platformy mobilne, takie jak Symbian, Windows Mobile i BlackBerry. O działaniu tych trojanów i możliwości pozbycia się ich z zainfekowanych telefonów można przeczytać w linkowanym niżej artykule.

Czytaj więcej: Zeus ciska piorunami w klientów polskich banków

Przy okazji warto też wspomnieć o SpitMo, mobilnym „rozszerzeniu” trojana SpyEye, który w odróżnieniu od ZeuSa, ukierunkowanego raczej na państwa zachodnie, dość mocno upodobał sobie Polaków. Nie stworzył wprawdzie wielkiej sieci komputerów zombie, ale uwagę ekspertów do siebie przyciągnął. Dopatrzyli się oni podobieństw w kodzie źródłowym obu zagrożeń, co pozwoliło im wyciągnąć wniosek, że SpyEye może być ulepszoną wersją ZeuSa - zob. SpyEye (ponownie) atakuje polskich internautów.


Źródło: Kaspersky Lab, Dziennik Internautów
  
znajdź w serwisie

RSS  
RSS - Wywiad
Wywiad  
RSS - Interwencje
RSS - Porady
Porady  
RSS - Listy
Listy  
« Listopad 2019»
PoWtŚrCzwPtSbNd
 123
45678910
11121314151617
18192021222324
252627282930