ZeuS mobilny

Walka ze złodziejami

Pod koniec września ukraińska policja SBU aresztowała cztery osoby podejrzane o zarządzanie międzynarodowym gangiem prania pieniędzy, który ukradł 50 mln USD z kont bankowych za pomocą trojana ZeuS. Schwytanie przestępców było wynikiem bezprecedensowej współpracy między służbami śledczymi z USA, Wielkiej Brytanii, Holandii oraz Ukrainy. Operacja o nazwie "Trident Beach" umożliwiła schwytanie około 60 osób odpowiedzialnych za kradzież i pranie brudnych pieniędzy, z czego większość stanowiła grupa tak zwanych "mułów". Za pomocą ZeuSa cyberprzestępcy próbowali przechwycić i przetransferować 220 mln USD. Całą siecią kierowało pięciu ludzi, którzy zostali schwytani na Ukrainie.

Ponieważ w Internecie przekraczanie granic jest bardzo łatwe, organy ścigania wielu krajów będą musiały współpracować znacznie sprawniej niż dotąd. Wiadomo na pewno, że botnety pracujące pod kontrolą ZeuSa są obecnie bardzo uważnie analizowane, badaczom udało się znaleźć kilka słabych punktów tego oprogramowania, umożliwiających przejęcie kontroli nad botnetem przez organy ścigania.

Billingi pod lupą

Ponieważ aplikacja ta wysyła wiadomości bez wiedzy i zgody użytkownika, naraża go na koszty. Niektóre sieci komórkowe świadczą usługi szczegółowego rachunku, na którym pojawiają się wiadomości wysyłane na nieznany użytkownikowi numer. Niestety nie wszyscy użytkownicy korzystają z takiego billingu, ponadto w niektórych sieciach wiadomości SMS międzynarodowe są stosunkowo tanie, zatem ofiara może nawet nie zauważyć, że telefon bez jego wiedzy przesyła cokolwiek dalej. Ponieważ oprogramowanie antywirusowe w telefonach komórkowych to nadal rzadkość, wirus napisany dla platformy mobilnej może działać bardzo długo, zanim zostanie wykryty. Ponadto bardzo trudno go stamtąd usunąć - dopiero formatowanie całej pamięci telefonu i przywrócenie oryginalnego firmware'u może być pomocne. Kluczową rolę grają zatem operatorzy telekomunikacyjni, tylko oni mogą na podstawie statystyk ruchu wykrywać centra dowodzenia takich botnetów i blokować połączenia, które służą do zarządzania taką siecią. Należy jednak pamiętać, że chociaż jest to możliwe technicznie, rodzi poważne problemy natury prawnej.

Użytkownicy mogą skorzystać z billingu online, (jest dostępny także w przypadku usług pre-paid, na przykład w sieci Play), ponadto niektóre sieci umożliwiają blokowanie wysyłania międzynarodowych wiadomości SMS.

Jak w praktyce przestępcy obchodzą zabezpieczenie hasłami SMS

Atak odbywa się następująco:

1) Przestępcy zarażają komputer ofiary złośliwym oprogramowaniem ZeuS, wyposażonym w odpowiednie moduły, między innymi modyfikacja HTML i proxy.

2) Oprogramowanie zbiera informacje o logowaniu się do usług bankowości elektronicznej.

3) Po zalogowaniu, moduł ten podmienia zawartość HTML wyświetlaną w przeglądarce Internet Explorer u ofiary, dostarczając nowe pole, w którym wymaga się podania numeru telefonu, a czasami także jego modelu.

4) Pozyskana w ten sposób informacja, razem z loginem i hasłem znajduje się już u przestępców.

5) Na numer ofiary wysyłany jest odpowiednio spreparowany SMS lub nawet wiadomość WAP Push, wiodące do linku, gdzie znajduje się trojan przeznaczony dla danego typu telefonu.

6) Jeśli użytkownik zainstaluje to oprogramowanie (zazwyczaj przedstawiające się jako aktualizacja lub ważne narzędzie), wiadomości SMS autoryzujące transakcję, będą przekazywane dalej.

7) Przestępcy za pomocą modułu proxy logują się do bankowości elektronicznej, wykorzystując login i hasło skradzione ofierze.

8) Zostaje zainicjowana operacja transferu środków z rachunku ofiary do rachunku "mułów" zajmujących się praniem pieniędzy.

9) Wiadomość SMS wymagana do autoryzacji przelewu zostaje przekazana dalej do przestępców przez wirusa w telefonie.

10) Przelew zostaje autoryzowany właściwym hasłem SMS, połączenie wygląda, jakby było inicjowane przez komputer ofiary, w systemie teleinformatycznym banku nie pozostają żadne ślady, które mogłyby prowadzić do przestępców.


TOP 200