RSS-каналы
Уровень опасности: 1
Главная→Блог→Virus Watch→24 фев 2011→Мобильный ZeuS вернулся
Мобильный ZeuS вернулся
Эксперт «Лаборатории Касперского»
опубликовано 24 фев 2011, 17:24 MSK
Сюжеты: Угрозы для мобильных устройств, Онлайн-банкинг, ZeuS
21 февраля польский консультант по информационной безопасности и блогер Piotr Konieczny написал (по-польски) о новой волне атак с использованием троянской программы ZeuS. Жертвами злоумышленников стали польские пользователи — клиенты банка ING.
Для атаки были применены образцы троянца, предназначенные для различных платформ: Trojan-Spy.Win32.Zbot.bbmf для Windows, Trojan-Spy.SymbOS.Zbot.b для Symbian и Trojan-Spy.WinCE.Zbot.a для Windows Mobile. На этот раз ZeuS для мобильных устройств, известный как ZeuS in the Mobile (ZitMo), не обошел стороной пользователей смартфонов на базе Windows Mobile.
Эта атака очень похожа на первую атаку ZitMo в конце сентября 2010 года. После заражения компьютера под управлением Windows троянец Zbot точно так же предлагал пользователю ввести название модели смартфона и номер телефона для «обновления сертификата». После этого пользователь зараженного компьютера получал SMS-сообщение со ссылкой на «обновленный сертификат» (на самом деле — на версию троянца ZeuS для соответствующей мобильной платформы). В случае загрузки и установки вредоносного файла все входящие сообщения (в том числе содержащие код mTAN, используемый для аутентификации в системах онлайн-банкинга), незаметно для пользователя пересылались на прописанный в теле троянца мобильный номер.
Новая версия ZeuS для устройств на базе Symbian (детектируемая как Trojan-Spy.SymbOS.Zbot.b) аналогична предыдущей — команды и функции у обеих одинаковые. И у версии ZeuS для Windows Mobile (детектируемой как Trojan-Spy.WinCE.Zbot.a) такие же функции и даже команды. Например, после успешного заражения мобильного устройства обе версии отсылают сообщение на один и тот же (британский) мобильный номер:
Trojan-Spy.WinCE.Zbot.a
Trojan-Spy.SymbOS.Zbot.b
Первая атака с использованием мобильной версии ZeuS показала, что киберпреступники продолжают расширять сферу своей деятельности, осваивая новые платформы и направления (в данном случае, перехват кодов mTAN). Нынешняя атака говорит о том, что злоумышленники не намерены сидеть сложа руки. И то, что их мишенью стала еще одна платформа, лишь подтверждает это.
Мы продолжаем изучать ситуацию и будем держать вас в курсе событий.
24 фев 2011, 19:50
Познавательно, как и все что есть в блоге, что хочется добавить, как говорил один сатирик, |
|
1 |
Re:
Если бы в мирных целях обеспечивали бы такой же доход - никто бы не связывался с вирусами.
|
25 фев 2011, 14:34
Вопрос к автору статьи А каким образом был сделан вывод, что авторство зловредов для различных платформ было сделано одной группой киберпреступников, что послужило поводом их все причислить к одному семейству ZBot? |
|
2 |
Re: Вопрос к автору статьи
Вредоносный объект остался прежним, просто теперь сделан ещё и для других платформ, зачем кому - то переделывать чужой зловред, лучше уж создать свой.
|
1 |
Re: Re: Вопрос к автору статьи
Вопрос не в том. Славик ушёл от дел, следовательно, переделкой занимается либо Грибодемон (который точно возится со своим комбо-SpyEye и вроде бы не замечен в производстве поделок под Симбиан), либо кто-то ещё.
|
2 |
Re: Re: Re: Вопрос к автору статьи
Вероятно Грибодемон, от него сейчас и вправду чего угодно можно ожидать, но быть уверенным на все 100 % невозможно, сейчас многие взялись за вирусы для Симбы, на мою Нокию что - то постоянно пытается пробраться, стоит только зайти с него в сеть и Трои - СМС сразу 'налетают', для этого всего лишь нужно открыть какой - нибудь сайт без сертификата, даже ничего не скачивать, достаточно просто зайти, если б не КМС и не его свежие базы, я бы тогда словил сразу три таких экземпляра, причём сайт не содержит что - либо пикантное или нецензурное.
|
1 |
Re: Re: Re: Re: Вопрос к автору статьи
Никита, Вы - сотрудник ЛК? Просто интересно, что на мой вопрос никто - ни Денис Масленников, ни кто-либо ещё из официалов ответ не дал. Общаемся мы друг с другом.
Создаётся какое-то ощущение высосанности из пальца и Филькиной грамоты.
|
2 |
Re: Re: Re: Вопрос к автору статьи
Эээ, а кто и где сказал, что в настоящий момент все Зевсы могут быть только мейд бай Грибодемон или вообще кого-то исключительно одного ?
|
1 |
Re: Re: Re: Re: Вопрос к автору статьи
Никто. А разве код был продан кому-то ещё?
Просто имхо покупать довольно раскрученный и дорогой код под Windows, чтобы потом переписать его под Symbian - как-то странно.
Я вообще не специалист по зловредам в Symbian, но что-то подсказывает, что там несколько по-другому, чем в Windows. Я прав? Если да - то может тогда ответите на мой первый вопрос?
|
3 |
Re: Re: Re: Re: Re: Вопрос к автору статьи
Вы не понимаете очевидных вещей ?
Троянец под Симбиан (а также WinMobile и BlackBerry) не имеет никакого отношения к Windows коду.
Попробуйте прочитать вот этот абзац еще раз, я не знаю как еще обьяснить вам смысл написанного -
"После заражения компьютера под управлением Windows троянец Zbot точно так же предлагал пользователю ввести название модели смартфона и номер телефона для 'обновления сертификата'. После этого пользователь зараженного компьютера получал SMS-сообщение со ссылкой на 'обновленный сертификат' (на самом деле - на версию троянца ZeuS для соответствующей мобильной платформы). В случае загрузки и установки вредоносного файла все входящие сообщения (в том числе содержащие код mTAN, используемый для аутентификации в системах онлайн-банкинга), незаметно для пользователя пересылались на прописанный в теле троянца мобильный номер."
Весь функционал мобильного кода - описан и в этом блогпосте, и в предыдущих и по ссылкам и в десятках статей по всему Интернету.
|
2 |
Re: Re: Re: Re: Re: Re: Вопрос к автору статьи
Теперь понятно. Интересное расширение функционала.
Также в аналитике
В блоге
© ЗАО «Лаборатория Касперского», 1997-2012
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей