ZeuS mobile

Ponieważ nie wszyscy użytkownicy popełniają ten błąd i łączą się z tego samego telefonu z systemem bankowości elektronicznej, złodzieje postanowili połączyć znane im technologie - wykorzystują moduł ZeuSa, który umożliwia podmianę zawartości serwisu transakcyjnego prezentowanej w przeglądarce. Wtedy za pomocą oszustwa i podmiany strony pobierają od nieświadomych użytkowników numer telefonu, a następnie wysyłają do nich SMS z informacją o pobraniu "ważnego oprogramowania" lub "aktualizacji". Po przedstawieniu właściwej wersji (dostępne są paczki dla systemu Symbian oraz Jar dla BlackBerry), wystarczy zainstalować ten program, by wszystkie wiadomości z hasłem jednorazowym były przekazywane do przestępców. W ten sposób powstał ZeuS Mobile, zwany także SymbOS/Zitmo.A!tr. Aplikacja ta w wersji dla systemu Symbian została podpisana certyfikatem (C=AZ, ST=Baku, L=Baku, O=Mobil Secway, OU=certificate 1.00, OU=Symbian Signed ContentID, CN=Mobil Secway), który został już odwołany, ale nie wszystkie telefony posiadają aktualną bazę odwołanych certyfikatów.

Program po pobraniu i instalacji tworzy w telefonie bazę danych NumbersDB.db, która zawiera trzy tabele (tbl_contact, tbl_phone o tbl_history), gdzie przechowuje skradzione informacje. Tabele te później będą przeszukiwane za pomocą standardowych zapytań SQL. Następnym działaniem jest wysłanie wiadomości SMS o treści "App installed ok" na predefiniowany numer w Wielkiej Brytanii (+44778xxxxxx), by poinformować o udanej infekcji kolejnego telefonu.

Aplikacja dodaje się do autostartu systemowego i monitoruje przychodzące wiadomości SMS. Jeśli numer nadawcy wiadomości figuruje na liście numerów uprawnionych do zarządzania, oprogramowanie akceptuje kilka komend sterujących jego pracą. Komendy te to między innymi:

- wyłączanie i włączanie działania za pomocą BLOCK ON/OFF

- dodawanie i usuwanie interesujących numerów telefonów (SENDER ADD/REM)

- aktualizacja kontaktu (SET SENDER)

- ustawienie nowego numeru zarządzającego (SET ADMIN). Gdy przychodzi wiadomość SMS z serwisu bankowości elektronicznej, zostaje przesłana dalej. Wiadomości te są wysyłane w sposób niewidoczny dla użytkownika.

ZeuS w komputerze i w komórce

Połączenie złośliwego oprogramowania zainstalowanego w komputerze z infekcją telefonu komórkowego umożliwia przejęcie webowej tożsamości i zrealizowanie wielu operacji bankowych. W odróżnieniu od podstępów związanych z tokenami, polegających na zmianie wyświetlanej użytkownikowi strony, w ten sposób można zrealizować przelew na dowolny rachunek bez żadnych późniejszych sztuczek socjotechnicznych. Mechanizm ataku zakłada przechwycenie loginu i hasła do systemu bankowości elektronicznej ofiary, zarażenie telefonu komórkowego wspomnianym wirusem oraz ustanowienie przekazywania haseł jednorazowych na wybrany numer. Przestępcy łączą się za pośrednictwem komputera ofiary, wykorzystując do tego celu moduł pośredniczący (proxy), który od dawna znajduje się w arsenale dodatków do ZeuSa. Po zalogowaniu z użyciem skradzionego loginu i hasła, zlecają przelew na wybrany rachunek. Oprogramowanie zainstalowane w telefonie komórkowym przesyła potwierdzające hasło do złodzieja, który wpisuje je, autoryzując w ten sposób transakcję. Ponieważ wszystkie ślady wskazują na komputer ofiary, ponadto złodziej prawidłowo przepisał hasło, użytkownikowi bardzo trudno będzie udowodnić swoją niewinność.