Zlonamerni program ZeuS-in-the-Mobile tudi na Androidu

22.07.2011
Objavil: Dare Gliha

Konec septembra 2010 je bila odkrita prva različica zlonamernega progama ZeuS-in-the-Mobile (ZitMo), s katero so želeli kiberkriminalci od uporabnikov mobilnega bančništva pridobiti njihove identifikacijske podatke, so zapisali v Kaspersky Labu na svojem blogu.

Sprva je ZitMo ciljal na uporabnike mobilnikov, ki jih poganja operacijski sistem Symbian, kasneje pa so se pojavile tudi različice za Windows Mobile in Blackberry. Vse do julija 2011 ni bilo dokazov, da bi se ZitMo razširili tudi na Android, a temu več ni tako.

ZitMo za Android se bistveno razlikuje od različic za Symbian, Windows Mobile and Blacberry. Funkcionalnost in način delovanja slednjih so si sicer podobni, saj imajo poleg spremljanja C&C številk mobilnika in SMS ukazov zmožnost posredovanja SMS sporočil z izbrane mobilne številke, prav tako pa lahko tudi spremenijo C&C številko.

Različica za Android pa je bolj preprosta. Zagonska datoteka formata .apk in velikosti 19kb uporabniku ponudi možnost namestitve varnostne opreme podjetja »Trusteer«, ki naj bi omogočala varno mobilno bančništvo. V koliko uporabnik zažene datoteko, se mu glavnem meniju pojavi ikona »Trusteer Rapport«, ki po kliku nanjo uporabniku sporoči lažno aktivacijsko kodo, ki jo mora uporabnik kasneje vnesti v aplikacijo.

V prvem koraku namestitve mora uporabnik najprej izbrati vrsto mobilnega operacijskega sistema. V primeru, da izbere Android, ga preusmeri na drugo spletno stran, kjer ga pozove k varnostne programske opreme, ki je škodljiva, in vpisu akivacijske kode. Da zlonamerna koda deluje le na operacijskem sistemu Android priča dejstvo, da aplikacija ob izbiri drugega operacijskega sistema uporabniku preprosto sporoči, da namestitve dodatne programske opreme ne potrebuje.

Kiberkriminalci so aplikacijo naložili tudi na portal »Android Market«. Tam so jo sicer že umaknili, še vedno pa obstaja kar nekaj zrcalnih spletnih strani, ki shranjujejo informacije o programih, potrjenih s strani Googla.

Več informacij o škodljivi aplikaciji si lahko preberete na njihovem blogu.