Crimeware subverts mobile OS: Er Android næste?

Når det kommer til crimeware, har Zeus ingen lige. Mennesker bag malcode har stjålet millioner fra intetanende organisationer. Jeg skrev først om Zeus tilbage i oktober 2009. Tre år går Zeus stadig stærkt.

Den seneste volley mellem sikkerhedsfirmaer og de udviklere, der er ansvarlige for Zeus, involverer SMS-baseret tofaktorautentisering. Teorien går: Brug af Simple Message Service (SMS) som en ikke-bånd-verifikation forhindrer Zeus i at fange indlogningsoplysninger. SecureID-teknologi er også uden for båndet, men de fleste institutioner ryger væk fra det lige nu.

Svær, men ikke umulig

Nå, Zeus har nu en partner. Mød Zitmo (Zeus in the MObile). Telefon malware designet til at fange SMS-tekster og videresende dem til angriberen. Her er hvordan, ifølge S21sec:

  • Når du besøger en finansiel portal, stjæler Zeus (allerede installeret på computeren) dit brugernavn og din adgangskode.
  • Angriberen forsøger derefter at inficere din mobile enhed ved at installere en ondsindet applikation (muligvis en SMS med et link til den ondsindede mobilapplikation).
  • Angriberen logger på med de stjålne legitimationsoplysninger ved hjælp af din computer som sokker / proxy og udfører en bestemt handling, der kræver SMS-godkendelse.
  • Der sendes en SMS til din mobile enhed med godkendelseskoden. Den ondsindede software, der kører på enheden, videresender SMS'en til angriberenes computer.
  • Angriberen udfylder godkendelseskoden og afslutter handlingen.

Man må indrømme, raffinementet er imponerende. Zeus (PC) og Zitmo (smartphone), der arbejder sammen, giver angriberen mulighed for at logge ind og sifonere finanser fra din konto.

Men ikke Android

Sikkerhedsforskere ved Fortinet, S21sec og McAfee følger Zeus / Zitmo-sagaen nøje. De har eksempler på Zitmo-kode til Symbian, Blackberry og Windows mobile operativsystemer - tre ud af de fire store (Rediger: Bør være fem, men iOS påvirkes ikke). Hvad med Android?

Mangler en mulighed

I henhold til denne Nielsen-rapport favoriseres Android af en tredjedel af alle smartphone-brugere. Det ser ud til, at de dårlige fyre mangler eller undgår det største segment af mobile enhedsbrugere. Puzzling.

Måske ikke

Mens jeg troldede efter forskningsmateriale, stødte jeg på et Fortinet-blogindlæg af Axelle Apvrille. Hun rapporterede, at Zitmo nu muligvis kan overføres til Android:

"I det seneste har der været en aktiv diskussion om tekniske fora vedrørende Zeus, der er målrettet Android-brugere. Vi har endelig formået at få vores hænder på den mobile prøve, som Zeus PC-trojanerne udbreder.

Faktisk er det ikke en ny prøve og er blevet fundet under flere navne (Android.Trojan.SmsSpy.B, Trojan-Spy.AndroidOS.Smser.a, Andr / SMSRep-B), men det er langt mere skræmmende, når det er propageret af Zeus-banden. "

Fundet et puslespil.

Så kom jeg over dette: Dissecting Zeus til Android (eller er det bare SMS-spyware?). Carlos Castillo, forsker for McAfee, spørger, om det, de fandt, faktisk er Zitmo til Android. Oh-Oh. Nu fuldblæst forvirring.

Tilbage til det basale

For længe siden lærte jeg noget om forvirring. Det er uklokt at skrive i en forvirret tilstand. Gemme den historie til mine erindringer.

Under alle omstændigheder sendte jeg en e-mail til Mr. Castillo i håb om, at han ville rydde op i min forvirring. Jeg startede med det grundlæggende.

Kassner : Vil du forklare, hvilken rolle smarttelefoner spiller, når Zitmo malware er installeret? Castillo : Smartphones er den komponent, der er nødvendig for at besejre andenfaktor-godkendelse (sendt i en SMS) i en elektronisk transaktion.

Når Zeus-malware er installeret på en pc, viser det et vindue, der antyder, at brugeren henter Android-applikationen, som faktisk er malware, der vil opfange alle indkommende SMS og videresende disse meddelelser til en ekstern server.

Kassner : Jeg antager, at angribere overvåger mange inficerede pc'er og smartphones. Hvordan forbinder de sms-tekster korrekt med log-in-legitimationsoplysninger? Castillo : Når malware indsamler de oplysninger, der er relateret til SMS’erne, der modtages i enheden, indsamler den også IMEI (International Mobile Equipment Identity) på smartphonen, og den sender den til en fjernserver.

På den anden side, i Windows-computeren, vil Zeus-versionen til denne platform bede om det nummer, der er angivet af Android-applikationen (et falskt sikkerhedsværktøj), som faktisk er enhedens IMEI, og med disse data kan computerskrækkerne være i stand for at linke de stjålne legitimationsoplysninger i begge platforme.

Kassner : Dit papir nævner, at Zitmo-malware bruger en speciel app som leveringskøretøj. Er der noget, folk kan se på for at forhindre download? Castillo : Leveringskomponenten i Zitmo bruger ikke den mest almindelige distributionsmekanisme - pakker legit applikationer med ondsindet kode - brugt af malware som Droid Dream eller Geinimi. Faktisk er dette et rent ondsindet program uden ren kode inde, hvilket gør det lettere at opdage.

Windows-versionen af ​​Zeus beder dig også om at indtaste en URL-adresse for at downloade applikationen, og applikationen vil have tilladelse til at få adgang til din SMS. Begge skal hæve dit mistanke.

Kassner : Er der noget specifikt, som folk kan kontrollere for at sikre, at Zeus-malware ikke allerede findes på deres smartphone? Castillo : De to vigtigste variationer af denne malware er falske versioner af sikkerhedsværktøjer, der tilhører Trusteer og Kaspersky. Dias nedenfor viser forskellen mellem Zitmo og ægte ikoner.

Hvis du har et installeret program, der fungerer som et sikkerhedsværktøj og viser dig IMEI - er enheden sandsynligvis inficeret. Det andet tegn på infektion mangler SMS. Disse er blokeret af Zitmo-malware.

Kassner: Det giver os en god idé om, hvad Zitmo gør. Du føler, at den indfangede malware sandsynligvis kun er SMS-spyware. Med din tilladelse vil jeg gerne omskrive dine grunde:
  • Generelt er denne malware ikke sofistikeret sammenlignet med anden ondsindet Android-kode, der ses i naturen som ADRD. Al trafik med kommando- og kontrolserver er i klar tekst i modsætning til alle andre Zeus malware.
  • Der er ingen holdepunkter for, at opfangede meddelelser filtreres for at målrette mod en bestemt bank eller for at søge efter en bestemt godkendelseskode inde i meddelelsen.
  • I modsætning til Zitmo implementerer denne malware ikke kontrolkommandoer som SET ADMIN for at ændre enheden, der kontrollerer bots, og den har ikke en mekanisme til at ændre URL'en, der indsamler SMS'en (i tilfælde af at det er nødvendigt).

Endelige tanker

Jeg er glad for, at der er dedikerede mennesker som Axelle Apvrille og Carlos Castillo. De investerer meget tid på at spore malware, især økonomisk crimeware. Ting ville være meget værre uden deres omhu.

For det andet håber jeg, at jeg nåede mit mål i dag: At advare dig om, at tofaktorautentisering ikke er et sikkerhedsdæksel, ikke mere.

Og Android-brugere, vi er næste. Der er ingen måde, at de slemme fyre vil lade 30 procent af os gå uden skot.

© Copyright 2021 | pepebotifarra.com