ZeuS-in-the-Mobile, теперь для Android

Первая версия ZeuS-in-the-Mobile (ZitMo), зловреда, ориентированного на кражу mTAN’ов, была обнаружена в конце сентября прошлого года. Она была опасна лишь для владельцев смартфонов на базе Symbian. Позднее были обнаружены также версии ZitMo для платформ Windows Mobile и Blackberry. Если появление подобных «продвинутых» зловредов для устройств на базе Symbian и Windows Mobile было ожидаемо, то выбор Blackberry в качестве мишени явился до некоторой степени сюрпризом. Еще более удивительно, что до июля 2011 года не было ни намека на существование ZitMo для Android. Но теперь все изменилось.

Первое, что непременно надо отметить, ― это существенная разница между ZitMo для Android и его предыдущими версиями. ZitMo для Symbian, Windows Mobile и Blackberry схожи по логике и функционалу: мобильный C&C номер, одинаковый набор SMS-команд, а также возможность пересылать хозяину SMS-сообщения с определенного номера и сменять центр управления. Логика ZitMo для Android намного примитивнее. Размер apk-файла составляет лишь 19 КБ. Этот зловред выдает себя за компонент безопасности от компании Trusteer. После установки вредоносного приложения в главное меню будет добавлена иконка «Trusteer Rapport»:

А вот что появится на экране, если кликнуть по этой иконке:

Как было отмечено выше, новая версия ZitMo весьма примитивна. Она лишь пересылает все входящие SMS-сообщения на удаленный сервер http://******rifty.com/security.jsp в следующем формате:

f0={SMS_sender_number}&b0={SMS_text}&pid={infected_device_ID}

Первые атаки с использованием ZeuS-in-the-Mobile для Android начались, по всей видимости, в первых числах июня. Но как ZitMo попадал на устройство? Ничего нового злоумышленники не изобрели. В одном из конфигурационных файлов Trojan-Spy.Win32.Zbot нам попалось вот такое «предложение»:

Уважаемый пользователь!

Trusteer рада сообщить вам о выпуске нового приложения для мобильных устройств, которое защищает телефон во время работы с системой онлайн-банкинга, при обмене SMS-сообщениями и звонками.

Более 22 миллионов потребителей, банков и финансовых институтов используют наше программное ПО, чтобы обезопасить платежи, переводы и другие операции. Если вы работаете с нашим ПО, вашу безопасность защищают профессионалы.

Пожалуйста, выберите операционную систему, которая у вас установлена…

(в переводе сохранены стилистические особенности оригинала)

Выбрав «Android» и нажав «Continue» («Продолжить»), пользователь будет перенаправлен на следующую страницу, где его попросят загрузить «утилиту для безопасности»:

В связи со становлением более частыми случаев обмана посредством текстовых сообщений настоятельно рекомендуется, чтобы клиенты, владеющие мобильными телефонами с ОС Android, установили специализированное ПО, которое поможет защитить вас от фрода.

Для инсталляции ПО откройте интернет-браузер на мобильном и введите следующий URL-адрес…

По завершении инсталляции вы увидите новую программу под именем «Trusteer Rapport» в папке Application на вашем мобильном. Вам нужно запустить эту программу, затем введите код активации, который там указан, в поле, приведенное ниже, и нажмите «Activate».

Если пользователь выберет любую другую опцию («iOS (iPhone)», «BlackBerry», «Symbian (Nokia)» или «Other» ― «Другие»), то, фактически, ничего не произойдет!

Операционная система на вашем мобильном устройстве не нуждается в дополнительной защите.