ZitMo – mobilais partneris uzbrukumiem internetbankām

Tagad ļoti daudzi ikdienā izmanto internetbanku. Tās darbības ātrums un vienkāršība padara to par vienu no populārākajiem pakalpojumiem internetā. Tomēr elektroniskā nauda ir «kārdinošs kumosiņš» kiberblēžiem, kuri ir iemācījušies apiet lielāko daļu pašreizējo tiešsaistes darījumu aizsardzības līdzekļu. Par vienu no visrafinētākajām internetbanku kaitīgajām programmatūrām, tās uzbrukuma shēmu, rašanās vēsturi un attīstību rakstā «ZeuS-in-the-Mobile – fakti un pieņēmumi» stāsta Kaspersky Lab vadošais antivīrusu eksperts Deniss Masļeņņikovs.

Bankas darījumu mobilos autentifikācijas kodus (mTAN, mobilā darījuma autentiskuma numurs) banka atsūta īsziņā – tas pašlaik ir viens no populārākajiem internetbanku aizsardzības līdzekļiem. Viedtālruņiem domātais trojietis ZeuS (ZeuS-in-the-Mobile jeb ZitMo) ir pirmā kaitīgā programmatūra, kas paredzēta mTAN zagšanai. Mobilais ZeuS darbojas tikai kopā ar «klasisko» ZeuS, kas ir izveidots internetbanku kontu pieteikumvārda un paroles zagšanai. Tas ļauj uzbrucējiem pārvarēt gandrīz visas banku darījumu aizsardzības līnijas.

Uzbrukuma shēma ir šāda. Ar parasto ZeuS ļaundaris nozog datus, kas ir vajadzīgi, lai piekļūtu internetbankai, un bankas klienta mobilā tālruņa numuru. Uz upura mobilo ierīci pienāk īsziņa ar lūgumu instalēt drošības sertifikāta atjauninājumu vai kādu citu vajadzīgu programmatūru. Patiesībā, sekojot īsziņā dotajai saitei, bankas klients inficē savu mobilo ierīci ar ZitMo. Pēc tam uzbrucējs izmanto ar parasto ZeuS nozagtos pieteikumvārdu un paroli, lai pārskaitītu naudu no upura konta. Lai veiktu autentifikāciju, ir jāievada mobilajā tālrunī saņemtais mTAN kods. Banka nosūta īsziņu ar šo kodu uz lietotāja mobilo tālruni. Ar ZitMo inficētais klienta tālrunis pārsūta īsziņu ar autentifikācijas kodu uz ļaundara numuru, tādējādi dodot viņam iespēju apstiprināt darījumu un iegūt upura naudu. Turklāt bankas klients pat nenojauš par notiekošo.

Pirmās ziņas par ZitMo parādījās 2010. gada 25. septembrī. Pamatojoties uz pētījumiem, toreiz tika atklātas šīs kaitīgās programmatūras versijas divām mobilajām platformām – Symbian un Blackberry. Tagad jau ir identificētas ZitMo versijas četrām operētājsistēmām: Symbian, Windows Mobile, Blackberry un Android, kuram domātā versija tika atklāta pavisam nesen – 2011. gada jūlija sākumā. Android versijas izplatīšanas shēma ir tāda pati kā pārējām versijām, taču ienākošais paziņojums ar mTAN finanšu darījumu apstiprināšanai tiek nosūtīts uz serveri, nevis uz tālruņa numuru, kā tas ir citām operētājsistēmām, uzskatāmi parādot kaitīgās programmatūras vairākplatformu iespējas un tās uzlabošanas straujos tempus.

«Nākotnē turpināsies uzbrukumi ar ZitMo, kas kaut kādā veidā ir paredzēti mTAN (un, iespējams, arī citas slepenas informācijas, kas tiek nodota īsziņās) zagšanai,» uzskata Deniss Masļeņņikovs. «Tomēr, visticamāk, tie būs mērķtiecīgi uzbrukumi ar mazu upuru skaitu.»

Svarīgākais