Мобильный ZeuS вернулся

24 Фев 2011

мин. на чтение

Авторы

Денис Масленников

21 февраля польский консультант по информационной безопасности и блогер Piotr Konieczny написал (по-польски) о новой волне атак с использованием троянской программы ZeuS. Жертвами злоумышленников стали польские пользователи — клиенты банка ING.

Для атаки были применены образцы троянца, предназначенные для различных платформ: Trojan-Spy.Win32.Zbot.bbmf для Windows, Trojan-Spy.SymbOS.Zbot.b для Symbian и Trojan-Spy.WinCE.Zbot.a для Windows Mobile. На этот раз ZeuS для мобильных устройств, известный как ZeuS in the Mobile (ZitMo), не обошел стороной пользователей смартфонов на базе Windows Mobile.

Эта атака очень похожа на первую атаку ZitMo в конце сентября 2010 года. После заражения компьютера под управлением Windows троянец Zbot точно так же предлагал пользователю ввести название модели смартфона и номер телефона для «обновления сертификата». После этого пользователь зараженного компьютера получал SMS-сообщение со ссылкой на «обновленный сертификат» (на самом деле — на версию троянца ZeuS для соответствующей мобильной платформы). В случае загрузки и установки вредоносного файла все входящие сообщения (в том числе содержащие код mTAN, используемый для аутентификации в системах онлайн-банкинга), незаметно для пользователя пересылались на прописанный в теле троянца мобильный номер.

Новая версия ZeuS для устройств на базе Symbian (детектируемая как Trojan-Spy.SymbOS.Zbot.b) аналогична предыдущей — команды и функции у обеих одинаковые. И у версии ZeuS для Windows Mobile (детектируемой как Trojan-Spy.WinCE.Zbot.a) такие же функции и даже команды. Например, после успешного заражения мобильного устройства обе версии отсылают сообщение на один и тот же (британский) мобильный номер:

Trojan-Spy.WinCE.Zbot.a

Trojan-Spy.SymbOS.Zbot.b

Первая атака с использованием мобильной версии ZeuS показала, что киберпреступники продолжают расширять сферу своей деятельности, осваивая новые платформы и направления (в данном случае, перехват кодов mTAN). Нынешняя атака говорит о том, что злоумышленники не намерены сидеть сложа руки. И то, что их мишенью стала еще одна платформа, лишь подтверждает это.

Мы продолжаем изучать ситуацию и будем держать вас в курсе событий.

Авторы

Денис Масленников

Мобильный ZeuS вернулся

Последние публикации

Отчеты

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

В начале сентября 2022 года мы обнаружили несколько новых образцов феймворка MATA. Кампания с их использованием началась в середине августа и ее целью были организации из стран Восточной Европы.

Мобильный ZeuS вернулся

Развитие информационных угроз во втором квартале 2013 года

Развитие информационных угроз в первом квартале 2013 года

Мобильная вирусология, часть 6

Carberp-in-the-Mobile

Vidro: насколько глубока кроличья нора?

Обзор угроз для IoT-устройств в 2023 году

О состоянии сталкерского ПО в 2022 году

Веб-маяки на сайтах и в электронной почте

Индикаторы компрометации (IOC): как мы их собираем и используем

Фишинг и скам: основные приемы и тренды

Последние публикации

Зловреды для Android на любой вкус

Что в блокноте? Зараженные текстовые редакторы атакуют китайских пользователей

ТОР10 уязвимостей в веб-приложениях в 2021–2023 годах

Спам и фишинг в 2023 году

Отчеты

StripedFly: двуликий и незаметный

Азиатские APT-группировки: тактики, техники и процедуры

Как поймать «Триангуляцию»

Атаки обновленного зловреда MATA на промышленные компании в Восточной Европе

Подпишитесь на еженедельную рассылку