Новый вариант Zeus атакует клиентов банков через перехват SMS-сообщений
Нашумевший банковский троян Zeus возвращается к пользователям в новом обличье - Mitmo. Новая версия Zeus нацелена на пользовательские сотовые телефоны, перехватывая SMS-сообщения от банковских сервисов и пользователей и надеясь перехватить банковские реквизиты или логины/пароли для систем доступа к онлайн-банкингу. Очевидно, что данный шаг хакеров направлен на обход систем двухфакторной аутентификации, которые за последнее время банки начали активно разворачивать.
Первая вспышка данного вредоносного кода была обнаружена 21 февраля и нацелена она была на пользователей польского подразделения банка ING, перехватывая одноразовые пароли, высылаемые клиентам банка по сотовым телефонам.
По словам экспертов, для работы нового вредоносного кода пользователям систем онлайн-банкинга вначале требуется скачать приложение, которое злоумышленники зачастую маскируют под банковское приложение. По информации антивирусного эксперта "Лаборатории Каспеского" Дениса Масленникова, работает новый код в среде операционных систем Windows Mobile, а также Symbian и BlackBerry. Данных о работе Mitmo под Android или iOS пока нет. Вероятно, это происходит из-за того, что под данные ОС код может заработать только в том случае, если сам телефон был взломан и инсталлирует программное обеспечение мимо официальных интернет-магазинов.
Напомним, что оригинальная версия Zeus была предназначена для кражи банковских реквизитов посредством встроенного кейлоггера. Однако данный вариант червя не работал, если банки разворачивали систему двухфакторной аутентификации. Новая же версия мобильного варианта Zeus перехватывает одноразовые пароли еще до того, как они были использованы легитимными клиентами.
Распространяется червь различными способами: через спам-ссылки, посредством Drive-By закачек или иными способами. Петр Конечны говорит, что им были обнаружены варианты распространения червя в виде обновления безопасности для различных программ и операционных систем.
Масленников говорит, что новая версия кода передает перехватываемые данные на командный сервер, который на момент публикации был расположен в Великобритании, но хакеры, скорее всего, будут постоянно переносить командные серверы в разные страны.
В банке ING Poland говорят, что им известно об атаке нового червя, однако заявляют, что ни один из аккаунтов клиентов пока не был взломан.
www.securitylab.ru