Zeus w mobilnym świecie, czyli Zitmo i jego ewolucja w czasie

Zeus jest dobrze znanym zestawem typu crimeware. Jego celem jest oszukiwanie użytkowników, którzy wykonują transakcje bankowości online z poziomu zainfekowanego komputera. Zitmo (Zeus In The Mobile) - to mobilny element pakietu Zeus, który przechwytuje SMS-y wysyłane przez banki do klientów, dokonujących transakcji finansowych online, bezpośrednio z telefonów komórkowych ofiar.

We wrześniu 2010 roku pojawiła się pierwsza wersja trojana Zitmo dla systemu Symbian, która podszywała się pod aktualizacje do telefonów Nokia i wymuszała na użytkownikach pobranie fałszywego "certyfikatu", niezbędnego do zainstalowania aktualizacji. Trojan mógł przechwytywać przychodzące wiadomości SMS i przekazywać je na numer telefonu komórkowego w Wielkiej Brytanii. Mógł również odbierać komendy SMS z serwera C & C, a także blokować wszystkie połączenia przychodzące i wychodzące.

Drugi atak Zitmo w lutym 2011 roku skierowany był na znacznie szerszy zestaw urządzeń mobilnych, pracujących pod kontrolą systemu Symbian, Windows Mobile i BlackBerry. Do trojana dodano nowe funkcje takie, jak: przesyłanie dalej SMS-ów wychodzących z zainfekowanego telefonu (Wielka Brytania), czy odinstalowanie Zitmo za pośrednictwem komend C&C (dostępne tylko w wariancie SymbOS). Trojan stworzony dla WinCE niewiele różni się od wersji zaprojektowanej do ataku na urządzenia z systemem Symbian. Jego dodatkową funkcją jest możliwość przesyłania dalej zarówno przychodzących, jak i wychodzących SMS-ów. Trojan Zitmo dla systemu BlackBerry jest również bardzo podobny do wersji atakującej telefony z SymbOS, ale wyposażony został w dodatkowe funkcje. Liczba serwerów C&C jest inna, ale również znajdują się one w Wielkiej Brytanii. Ponadto, trojan potrafi przesyłać dalej zarówno przychodzące, jak i wychodzące SMS-y.

W maju 2011 pojawiły się trzy warianty koni trojańskich Zitmo atakujących telefony z systemem operacyjnym Android. Wersje te jednak były znaczniej bardziej prymitywne niż ich "stacjonarne" odpowiedniki. Stworzony w lipcu 2011 roku Zitmo dla Androida tylko przechwytuje (i usuwa) przychodzące wiadomości SMS, ale nie jest w stanie odbierać poleceń z serwera C & C. Kolejne wersje trojana Zitmo dla systemu Android, które pojawiły się w sierpniu 2011 roku, są o wiele bardziej wyrafinowane. Nowy wariant nie tylko przechwytuje przychodzące SMS-y, ale może też pobierać komendy z serwera C & C. Trojan podszywa się pod niemiecki certyfikat i w ten sposób skłania użytkowników do pobrania fałszywej aplikacji na telefon. W czerwcu 2012 roku pojawiła się kolejna wersja trojana dla Androida, która nie tylko przechwytuje przychodzące wiadomości SMS, ale może odbierać polecenia C & C za pośrednictwem SMS-ów. Trojan podszywa się pod pakiet antywirusowy Android Security Suite wyświetlając na ekranie telefonu fałszywy kod aktywacyjny. Kolejne warianty trojana dla BlackBerry wypuszczony w lipcu i sierpniu 2012 roku niewiele różnią się od swojego poprzednika. Komendy "block on/off" zostały zamienione na ""block/unblock".

Ewolucję Zitmo w czasie przedstawia załączona infografika. Więcej informacji można znaleźć na blogu laboratoriów badawczych FortiGuard firmy Fortinet http://blog.fortiguard.com/

Zeus w mobilnym świecie, czyli Zitmo i jego ewolucja w czasie
Zeus w mobilnym świecie, czyli Zitmo i jego ewolucja w czasie

Źródło: Fortinet