Niecały rok temu, podsumowując konferencję Secure, wspomniałem o mobilnym „odłamie” botnetu Zeus, dokładnie zanalizowanym przez kolegów z NASK. Opisywana odmiana złośliwego oprogramowania atakowała telefony z systemami Symbian i Blackberry OS. Nowa wersja, póki co dająca się we znaki Niemcom, Holendrom, Portugalczykom i Hiszpanom, atakuje wyłącznie użytkowników terminali z systemem Android.
Opisywane oprogramowanie działa na zasadzie tzw. MITMO (Man In The MObile, „człowiek w komórce”), po zainstalowaniu przejmując przesyłane na nasz telefon kody SMS autoryzujące transakcję i używając ich do zatwierdzenia przelewów na konto cyber-przestępców. Tyle w tym dobrego – tak, to nie pomyłka – że schemat działania złośliwej aplikacji jest niemal identyczny jak ten, opisywany w ubiegłym roku, co budzi nadzieję, że znaczna część użytkowników nie da się nań złapać. Na początku złodzieje wykorzystują podatności Windowsa i przeglądarek WWW (praktycznie wszystkie ataki, związane z e-bankowością, kierowane są do użytkowników systemu Microsoftu, stąd np. Brian Krebs zaleca, by do operacji bankowych po prostu nie używać Windowsa).
Użytkownik, pewien, że otwiera stronę swojego banku, łączy się z witryną podstawioną przez cyber-złodziei, która przekonuje go, że dla poprawy bezpieczeństwa użytkowników od teraz niezbędne jest zainstalowanie certyfikatu bezpieczeństwa w telefonie. W tym celu należy najpierw wybrać system operacyjny naszego mobilnego terminala. Jeśli będzie to Android – zostaniemy poproszeni o podanie numeru telefonu, na który za chwilę przyjdzie link, prowadzący do owej niezbędnie potrzebnej aplikacji. Wystarczy zainstalować – i cały nasz ruch SMS przechodzi przez kryminalistów, którzy – zakładając, że wcześniej ukradli również nasze hasło i login do banku – mogą błyskawicznie popsuć nam dzień... W przypadku innych systemów operacyjnych dowiemy się, że dodatkowe zabezpieczenie nie jest jednak potrzebne.
Choć polskie banki nie padały jeszcze ofiarą ataków, niestety nie znaczy to, że nie mamy powodu do obaw. Przetłumaczenie złośliwej aplikacji nie stanowi problemu, a z iteracjami „bankerów” Zeus i SpyEye dedykowanymi pod największe polskie banki mieliśmy już do czynienia. Nie wątpię w to, że Czytelnicy Bloga Technologicznego nie dadzą się złapać na wędkę z wyjątkowo śmierdzącym robakiem, tym niemniej nie zaszkodzi ostrzec Waszych mniej uświadomionych znajomych. Dodatkowo ja, jeśli chodzi o wykonywanie operacji bankowych za pośrednictwem komórki, używam po prostu dedykowanej aplikacji mojego banku, pobranej z Google Play.
Rys. Google/Creative Commons