Nowe zagrożenie: ZITMO atakuje!

Data publikacji: 23/02/2011, CERT Polska

zitmo1

ZeuS jest „popularnym” oprogramowaniem szpiegującym. Jego szczegółową analizę można znaleźć w artykule Analiza bota Zeus na naszej stronie. ZITMO, czyli Zeus In The Mobile jest nowym zagrożeniem, które w ciągu ostatnich tygodni pojawiło się w Polsce. Jest to nowa odmiana ZeuSa przeznaczona na telefony komórkowe. Główne niebezpieczeństwo związane jest z możliwościami jakie daje zainfekowanie telefonu. Atakujący może czytać oraz modyfikować informacje zawarte w SMS – np: kody autoryzacji transakcji czy wiadomości potwierdzające wykonane operacje bankowe. Pierwsze informacje dotyczące nowego ataku pojawiły się na stronie banku ING.

W jaki sposób infekowane są telefony komórkowe?

  1. Atakujący infekuje komputer instalując złośliwe oprogramowanie.

    STEP1

  2. Złośliwe oprogramowanie podmienia (na komputerze ofiary) treść zaufanej strony.
    Np: po zalogowaniu do banku otrzymujemy monit o podanie numeru telefonu.

    STEP2

  3. Atakujący po zdobyciu numeru telefonu wysyła SMS z linkiem do złośliwego
    oprogramowania (przeznaczonego na konkretny model telefonu).

    STEP3

  4. Nieświadomy zagrożenia użytkownik próbuje otworzyć otrzymany link. W konsekwencji na
    telefonie zostaje zainstalowana aplikacja (złośliwe oprogramowanie).

    STEP4

  5. Zainfekowany telefon wysyła atakującemu SMS z informacją o poprawnym zainstalowaniu złośliwego oprogramowania. Atakujący od teraz ma pełną kontrolę nad komputerem oraz telefonem ofiary.

    STEP5

Kto może zostać ofiarą ZITMO?

Pod tym linkiem znajduje się lista modeli telefonów, które mogą stać się celem ataku (na nich może zostać zainstalowane złośliwe oprogramowanie). Są to telefony pracujące pod kontrolą trzech systemów operacyjnych : BlackBerry, Symbian oraz Windows Mobile. Wysyłany do ofiary SMS zawiera informację o cyfrowym certyfikacie oraz link kończący się ciągiem znaków „cert.jad”, „cert.sis” lub „cert.cab” (patrz zdjęcie).

FOTO1

FOTO2

Jak wystrzegać się infekcji oraz zapobiec kradzieży danych (i pieniędzy)?

Należy być czujnym podczas logowania do banku. Ostrzegawcze światło powinno zapalić się, jeżeli zauważymy jakąś nową informację lub funkcjonalność o której bank nie informował wcześniej. Może być to pytanie o model oraz numer telefonu, czy też monit o podanie jednocześnie więcej niż jednego kodu jednorazowego (TAN). W takiej sytuacji najlepiej zgłosić taki incydent do obsługi banku.

Wstępna analiza ataku

Po zainstalowaniu na telefonie, aplikacja wysyła SMS o treści „App Installed OK” na zdefiniowany numer telefonu zarządcy. We wszystkich próbkach, którymi dysponuje CERT Polska występuje ten sam numer telefonu. Zaczyna się on od +4477 (Wielka Brytania). Od numeru związanego z wrześniowymi atakami w Hiszpanii (patrz link) różni się jedynie paroma cyframi. Warto zaznaczyć, iż oprogramowanie infekujące komputer jak i jego pliki konfiguracyjne sygnowane są wersją 3.1. (Patrz rysunek poniżej). Może sugerować to pojawienie się nowej wersji ZeuSa na podziemnym rynku. Obecnie CERT Polska prowadzi dalsze analizy zarówno komputerowej jak i komórkowej odmiany nowej wersji ZeuSa.

wersja1

wersja2

Skala zagrożenia

CERT Polska cały czas kontaktuje się z operatorami telekomunikacyjnymi oraz bankami w celu monitorowania nowego zagrożenia. Aktualnie liczbę telefonów zainfekowanych ZITMO (w Polsce) szacuje się na około 100.