ZeuS-in-the-Mobile coraz groźniejszy

Przeczytaj także: Trojan SMS dla smartfonów z Android

Symbian

Wersja ZitMo na Symbiana była pierwszą próbką tego zagrożenia zdobytą przez firmy antywirusowe (końcówka września 2010 r.). Inną kwestią wartą wspomnienia jest fakt, że ten szkodliwy program posiada legalny podpis cyfrowy.

Jak więc działa ZitMo przeznaczony na Symbiana?

Natychmiast po zainfekowaniu smartfonu trojan wysyła wiadomość tekstową ,,App installed OK.” (,,Aplikacja została zainstalowana pomyślnie”) na numer centrum kontroli, informując cyberprzestępcę o zainstalowaniu programu i jego gotowości do przyjmowania poleceń. Następnie ZitMo tworzy bazę danych o nazwie NumbersDB.db z trzema tabelami: tbl_contact, tbl_phone i tbl_history.

Po zainfekowaniu ZitMo może otrzymywać wiadomości z numeru centrum kontroli z następującymi poleceniami:

• ADD SENDER
• REM SENDER
• SET SENDER
• SET ADMIN
• BLOCK ON or OFF
• ON or OFF

Polecenie ADD SENDER jest jednym z najbardziej krytycznych, gdyż nakazuje ZitMo przesyłanie wiadomości z określonych numerów telefonów (numerów, których banki używają do wysyłania kodów mTAN w wiadomościach tekstowych) na numer centrum kontroli. Innymi słowy, polecenie to aktywuje opcję przesyłania dalej wiadomości tekstowych zawierających kody autoryzacji niezbędne do przeprowadzania transakcji przez cyberprzestępców.

Polecenie REM SENDERdezaktywuje opcję przesyłania wiadomości tekstowych z numeru określonego w poleceniu na numer centrum kontroli.

Polecenie SET SENDERdaje cyberprzestępcy możliwość aktualizacji numeru telefonu, z którego wiadomości są przesyłane na numer centrum kontroli.

Polecenie SET ADMINumożliwia cyberprzestępcy zmianę numeru centrum kontroli. Jest to jedyne polecenie, które może zostać wysłane na zainfekowane urządzenie mobilne z numeru telefonu innego niż numer centrum kontroli, umożliwiając cyberprzestępcy dokonanie odpowiedniej zmiany.

Polecenie BLOCK ON/BLOCK OFF umożliwia zablokowanie lub odblokowanie wszystkich połączeń przychodzących i wychodzących./p>

Polecenie ON/OFFdaje możliwość włączenia i wyłączenia programu ZitMo.

ZitMo nie zawiera żadnych dodatkowych poleceń i został zaprojektowany tylko w jednym celu: do przesyłania wiadomości tekstowych z kodami mTAN.

Druga wersja ZitMo, wykryta podczas drugiego ataku, różni się nieznacznie od omówionej. Możemy mówić tu o trzech różnicach. Pierwszą z nich jest inny numer centrum kontroli. Jednak kod kraju (Wielka Brytania) w tym numerze pozostaje taki sam. Po drugie, ZitMo zaczął skanować oba kierunki przesyłania wiadomości – wychodzący i przychodzący, co jest trochę dziwne, zważywszy na to, że głównym celem trojana jest wykradanie kodów mTAN. Trzecia różnica dotyczy wiadomości ,,App installed OK.”, która jest wysyłana za każdym razem, gdy polecenie SET ADMIN zostało pomyślnie odebrane i wykonane. Wcześniej wiadomość ta była wysyłana tylko po zainstalowaniu trojana.