Zagrożenia internetowe III kw. 2011

Przeczytaj także: Zagrożenia internetowe I kw. 2011

Bankowość online i trojany mobilne

Przewidywaliśmy, że cyberprzestępcy będą szukali nowych sposobów zarabiania pieniędzy na szkodliwym oprogramowaniu dla Androida i nie upłynęło wiele czasu, zanim stało się to rzeczywistością. W lipcu wykryto trojana dla Androida z rodziny Zitmo (zeus-in-the-mobile), który współpracuje ze swoim desktopowym odpowiednikiem, trojanem Trojan-Spy.Win32.Zeus, dzięki czemu cyberprzestępcy mogą obejść dwuskładnikowe uwierzytelnienie wykorzystywane przez wiele systemów bankowości online.

Jeżeli wykorzystywane jest uwierzytelnienie dwuskładnikowe, klient musi potwierdzić każdą transakcję oraz zalogowanie się do systemu poprzez wysłanie kodu, który bank wysyła na jego telefon komórkowy. Bez takich kodów cyberprzestępcy nie mogą ukraść pieniędzy z zabezpieczonych kont użytkowników, nawet po uzyskaniu do nich dostępu przy pomocy trojanów kradnących dane uwierzytelniające, takich jak ZeuS oraz SpyEye.

Cały system uwierzytelniania dwukierunkowego opiera się na założeniu, że cyberprzestępcy nie mogą uzyskać kodów, które banki wysyłają na telefony komórkowe swoich klientów. Założenie to będzie jednak błędne, w przypadku gdy ZeuS i Zitmo będą współpracować ze sobą.

We współpracy z Zitmo ZeuS infekuje komputer PC, kradnie poufne dane użytkowników i podstępnie nakłania ich do zainstalowania na swoich telefonach komórkowych trojana mobilnego. Po tym, jak użytkownik zaloguje się do systemu bankowości online, powita go wiadomość zachęcająca do zainstalowania mobilnej aplikacji, która rzekomo umożliwia korzystanie z bankowości online w trybie chronionym. Pod przykrywką legalnego programu o nazwie Trusteer Rapport, Trojan.AndroidOS.Zitmo przenika do telefonu użytkownika.

Po zagnieżdżeniu się na telefonie komórkowym użytkownika Zitmo zaczyna wysyłać kopie wszystkich przychodzących SMS-ów do szkodliwego serwera, łącznie z wiadomościami od banku zawierającymi dane uwierzytelniające oraz logowania się. Są to indywidualne kody, na których szczególnie zależy cyberprzestępcom. W połączeniu z danymi logowania i hasłami przekazanymi przez ZeuSa takie kody SMS mogą być wykorzystywane do przeprowadzania transakcji i przelewania pieniędzy na ich własne konta.

Należy zauważyć, że Zitmo był dystrybuowany między innymi za pośrednictwem oficjalnego Android Marketu, z którego został pobrany mniej niż 50 razy. Tak niewielka liczba pobrań sugeruje, że na razie cyberprzestępcy bardziej testują swoją nową technologię niż wykorzystują ją do przeprowadzania oszustw na dużą skalę. Oprócz opisanej wyżej istnieją również inne metody obejścia uwierzytelnienia transakcji online za pomocą telefonu komórkowego, takie jak zmiana wskazanego przez klienta numeru telefonu. Również ta metoda jest testowana przez cyberprzestępców, którzy chcą dowiedzieć się, który sposób obchodzenia procesu uwierzytelniania jest najbardziej skuteczny; wyniki tych eksperymentów będą miały wpływ na przyszłą ewolucję mobilnych trojanów, takich jak Zitmo.

Kody QR

Na koniec tego rodzaju warto wspomnieć o wykryciu przez ekspertów z Kaspersky Lab programu partnerskiego rozprzestrzeniającego szkodliwe oprogramowanie za pośrednictwem kodu QR.

Kod QR to zasadniczo kod kreskowy, który w porównaniu z nim może pomieścić więcej danych. Tego rodzaju kody są powszechnie wykorzystywane do przesyłania informacji do urządzeń mobilnych. Użytkownik musi tylko przeskanować obraz przy pomocy wbudowanego do urządzenia aparatu, a zawarte w kodzie dane pojawią się w urządzeniu w łatwej do odczytania postaci. Wiele osób wykorzystuje swoje komputery osobiste, aby znaleźć i zainstalować oprogramowania na swoim urządzeniu mobilnym. Dlatego aby użytkownicy nie musieli wprowadzać adres URL oprogramowania na urządzeniu mobilnym, wiele stron oferuje odsyłacze zakodowane w kodach QR, które mogą być przeskanowane przy pomocy smartfonu.