Zeus do niedawna kojarzony był z kradzieżą danych podczas logowania się do serwisów bankowych na zainfekowanych komputerach. Jego ofiarą padały maszyny działające pod kontrolą systemu Windows. Jak wynika z opublikowanej w styczniu analizy CERT, szkodnikowi udało się zawładnąć kilkunastoma milionami komputerów, z czego 3,6 milionów znajduje się w Stanach Zjednoczonych. Co ciekawe, w przeciwieństwie do takich zagrożeń, jak Conficker czy Storm, Zeus nie posiada własnego mechanizmu dalszej propagacji. Do infekcji dochodzi w wyniku działania technik typu drive-by-download i kampanii spamersko-phishingowych, a nie poprzez automatyczne wyszukiwanie innych podatnych systemów.

Programy antywirusowe całkiem dobrze sobie radzą z wykrywaniem kolejnych mutacji Zeusa. Brak spójnego nazewnictwa powoduje, że jest on znany także jako Zbot, PRG, Wsnpoem, Gorhax, Panda czy Kneber. Pod koniec września 2010 roku odnotowano w Hiszpanii pierwsze ataki z wykorzystaniem mobilnej wersji szkodnika, którą zaczęto nazywać ZitMo (zob. Trojan Zeus przechwytuje SMS-y z banków). W lutym przed atakami typu man-in-the-mobile zaczęły ostrzegać także polskie banki.

Z informacji pozyskanych przez „Dziennik Gazetę Prawną” wynika, że w ubiegłym roku twórcy Zeusa zwrócili swoją uwagę m.in. na serwisy transakcyjne takich banków, jak PKO BP (ipko.pl), ING Bank Śląski (bska.com.pl), Pekao SA (pekao24.pl i pekaobiznes24.pl), Millenium (millenet.pl) oraz mBank (mbank.com.pl). Specjaliści potwierdzili dotychczas ataki z użyciem ZitMo na klientów ING Banku Śląskiego i mBanku. W przyszłości mogą być zagrożeni także klienci innych banków wykorzystujących do autoryzowania transakcji wiadomości SMS z jednorazowym kodem. Przyjrzyjmy się dokładnie, jak dochodzi do infekcji.

W pierwszej kolejności cyberprzestępca musi zwabić ofiarę na podrobioną stronę bankową. Może posłużyć się w tym celu pocztą elektroniczną (phishing) lub złośliwym oprogramowaniem, które przekieruje internautę na sfałszowaną witrynę bez jego wiedzy (pharming). Po zalogowaniu się na tej stronie użytkownik zostanie poinformowany o konieczności zainstalowania na jego telefonie komórkowym specjalnego certyfikatu. Jak to wygląda w praktyce, można zobaczyć poniżej:

Źródło: ING Bank Śląski

Następnie pojawia się monit o podanie producenta, modelu i numeru telefonu. ZitMo atakuje smartfony działające pod kontrolą trzech systemów operacyjnych: Symbian, BlackBerry i Windows Mobile. Specjaliści z CERT przygotowali listę podatnych na atak modeli.

Źródło: ING Bank Śląski

Po uzyskaniu tych danych cyberprzestępca wysyła wiadomość SMS z linkiem do złośliwego oprogramowania, przeznaczonego na konkretny model telefonu. Jeżeli nieświadomy zagrożenia użytkownik zdecyduje się zainstalować rzekomy certyfikat, atakujący uzyska pełną kontrolę nad jego telefonem i będzie mógł m.in. przekierować wszystkie przychodzące SMS-y na swój numer (wiadomości te nie będą widoczne na telefonie ofiary).

Jak się bronić?

Przede wszystkim należy zachować czujność podczas uwierzytelniania w serwisie transakcyjnym, przestrzegając wszystkich zasad wymienionych w artykule pt. Jak bezpiecznie logować się na konta bankowe. Niepokój powinna wzbudzić prośba o podanie nietypowych danych, m.in. modelu i numeru komórki. Banki nigdy nie wysyłają do swoich klientów wiadomości z linkami do plików instalacyjnych. Należy pamiętać, że do autoryzowania transakcji za pomocą kodów SMS nie jest potrzebne dodatkowe oprogramowanie.

Warto też włączyć w telefonie sprawdzanie certyfikatu online (funkcja ta bywa domyślnie wyłączona, ale można ją łatwo aktywować w ustawieniach aparatu). Nieaktualny certyfikat programu wyklucza możliwość jego instalacji, a większość wariantów Zeusa jest podpisana wycofanymi już certyfikatami – tłumaczą specjaliści firmy F-Secure.

Jak usunąć ZitMo z telefonu?

Skuteczną, lecz drastyczną metodą na pozbycie się szkodnika z pamięci telefonu jest zresetowanie urządzenia. Na stronie www.factory-reset.com dostępne są szczegółowe instrukcje, jak tego dokonać, warto jednak pamiętać, że w ten sposób pozbędziemy się także innych danych zapisanych w telefonie. Dlatego zespół CERT Polska opracował mniej inwazyjny sposób usuwania mobilnego Zeusa.

Najłatwiej pozbędą się go posiadacze BlackBerry. Wysyłany do nich link kończy się ciągiem znaków cert.jad, wskutek instalacji tworzony jest plik sertificate.jar lub sertificate.cod. W menu Opcje > Aplikacje zobaczymy wówczas program o nazwie sertificate, który można bezproblemowo usunąć po wyświetleniu okna ze szczegółowymi informacjami na jego temat.

Więcej problemów będą mieć użytkownicy telefonów działających pod kontrolą Symbiana. Im cyberprzestępca wysyła link zakończony ciągiem znaków cert.sis. Podczas instalacji w pamięci zapisywane są pliki firststart.dat, NumbersDB.db oraz settings2.dat. Program o nazwie Certificate można usunąć przy użyciu menadżera aplikacji. Konieczne będzie przy tym podanie odpowiedniego hasła zakodowanego w jednym ze wspomnianych wyżej plików. W przypadku infekcji z lutego br. jest to 45930.

Do posiadaczy telefonów z systemem Windows Mobile atakujący wysyła link do pliku instalacyjnego cert.cab. Po jego uruchomieniu w pamięci telefonu tworzonych jest pięć plików: settings.xml, senders.xml, listnumbers.xml, messages.xml i najważniejszy MailService.exe. Aplikacja ta jest niestety niewidoczna na liście zadań w standardowym menadżerze procesów. Dopiero zainstalowanie dodatkowego oprogramowania umożliwia wyśledzenie i usunięcie szkodnika.