Najpierw pojawił się ZeuS-in-the-Mobile, w skrócie ZitMo, który współpracował ze swoją klasyczną wersją atakującą systemy z rodziny Windows, infekując różne platformy mobilne (zob. ZeuS ciska piorunami w klientów polskich banków). Kilka miesięcy później analitycy zagrożeń odkryli SpitMo, czyli SpyEye-in-the-Mobile, mobilne „rozszerzenie” trojana o nazwie SpyEye, który szczególnie mocno upodobał sobie Polaków.

Teraz z kolei specjaliści poinformowali o wykryciu mobilnej wersji trojana Carberp, nazwanej CitMo, co jest skrótem od Carberp-in-the-Mobile. Działa ona podobnie, jak wymienione wcześniej zagrożenia. „Stacjonarna” wersja szkodnika zmienia w locie stronę internetową banku, zachęcając ofiarę do pobrania i zainstalowania aplikacji, która jest rzekomo potrzebna, by zalogować się do systemu (zob. zrzut ekranu poniżej).

Zachęta do zainstalowania aplikacji SberSafe, w rzeczywistości CitMo, fot. SecureList

Na razie celem CitMo są klienci jednego z najpopularniejszych rosyjskich banków - Sberbanku. W sklepie Google Play analitycy odkryli także aplikacje: AlfaSafe (prawdopodobnie dla użytkowników AlfaBanku) i VkSafe (dla VKontakte). Wszystkie zostały usunięte 13 grudnia, wcześniej były jednak pobierane przez nieuświadomionych użytkowników.

Jak działa CitMo

Jeżeli nie uwzględnimy jego związku z wersją desktopową, zobaczymy zwykły program szpiegujący z umiejętnością przesyłania wiadomości tekstowych. Jego celem jest jednak pokonanie ostatniej bariery procesu autoryzacji w systemie bankowości internetowej, którą stanowią wysyłane przez bank kody jednorazowe (mTAN). CitMo- podobnie jak ZitMo i SpitMo - potrafi je przechwytywać i przekazywać do zdalnego serwera, ukrywając przed użytkownikiem swoją aktywność.

Chociaż Google podejmuje działania, by wyeliminować szkodliwe aplikacje ze swego sklepu, przypomina to niekiedy walkę z wiatrakami. Dlatego warto pamiętać o jednej ważnej zasadzie: aplikacje mobilne związane z bankowością online należy pobierać tylko i wyłącznie ze strony banku, w którym mamy konto. Zabezpieczanie się przed mobilnymi trojanami należy zacząć od zainstalowania na komputerze/laptopie sprawdzonego rozwiązania antywirusowego, ponieważ - jak już wspomniałam - przestępcy używają ich w połączeniu z desktopowymi odpowiednikami.

Bardziej szczegółowy opis nowego szkodnika można znaleźć w serwisie Viruslist.pl prowadzonym przez Kaspersky Lab. Dowiedz się także, jak ustrzec się przed trojanem Boxer.AA, który bez wiedzy i zgody użytkownika rozsyła wiadomości SMS na numery o podwyższonej opłacie.