Сегодня онлайн-банкинг для многих стал совершенно обычным делом. Скорость и простота данной операции делают ее одной из самых популярных в Интернете. Однако электронные деньги являются «лакомым кусочком» для кибермошенников, которые научились обходить большинство существующих средств защиты онлайн-транзакций. Об одной из самых изощренных вредоносных программ для онлайн-банкинга, схеме ее атаки, истории появления и эволюции в статье «ZeuS-in-the-Mobile — факты и догадки» рассказывает Денис Масленников, ведущий антивирусный эксперт «Лаборатории Касперского».
Мобильные коды аутентификации банковских транзакций (mTAN, mobile transaction authentication number) присылаются банком в SMS-сообщении, и на сегодняшний день являются одним из самых популярных средств защиты в онлайн-банкинге. Троянец ZeuS для смартфонов (ZeuS-in-the-Mobile, или ZitMo) стал первой вредоносной программой для кражи mTAN. Мобильный ZeuS работает только в паре с «классическим» ZeuS, который создан для кражи логина и пароля аккаунтов онлайн-банкинга. Это позволяет злоумышленникам преодолеть практически все рубежи защиты банковских транзакций.
Схема атаки выглядит следующим образом. С помощью обычного ZeuS злоумышленник крадет данные, необходимые для доступа в онлайн-банкинг, и мобильный номер клиента банка. На мобильное устройство жертвы приходит SMS-сообщение с просьбой установить обновление сертификата безопасности или другое необходимое ПО. На самом деле, пройдя по ссылке в сообщении, клиент банка заражает свое мобильное устройство ZitMo. Далее злоумышленник использует украденные обычным ZeuS логин и пароль для осуществления перевода денег со счета жертвы. Для авторизации необходимо ввести полученный на мобильный телефон код mTAN. Банк отсылает SMS-сообщение с этим кодом на мобильное устройство пользователя. Зараженный ZitMo телефон клиента пересылает это SMS с кодом авторизации на номер злоумышленника, что позволяет ему подтвердить транзакцию и завладеть деньгами жертвы. При этом клиент банка даже не подозревает о происходящем.
Впервые о ZitMo стало известно 25 сентября 2010 года. Тогда по итогам исследования обнаружили версии этого зловреда для двух мобильных платформ — Symbian и Blackberry. На сегодняшний день уже идентифицированы версии ZitMo для четырех ОС: Symbian, Windows Mobile, Blackberry и Android, который был обнаружен самым последним в начале июля 2011 года. Схема распространения для Android осталась прежней, но пересылка входящих сообщений с mTAN для подтверждения финансовых операций происходила на сервер, а не на телефонный номер, как в случае с остальными ОС. Это наглядно показывает кроссплатформенность зловреда и высокие темпы его совершенствования.