giovedì 30 settembre 2010

Zeus colpisce anche i telefonini e mette a rischio i conti correnti bancari


Il Trojan bancario Zeus, che si rivolge ai computer Windows, ha preso adesso di mira i telefoni cellulari, secondo alcuni ricercatori. Fortinet ha annunciato di aver scoperto un nuovo malware mobile chiamato SymbOS / Zitmo, che sta per Zeus nel Mobile, progettato per intercettare gli sms di conferma che le banche inviano ai clienti per l'online banking. Ciò potrebbe consentire ai criminali di autenticare ed approvare delle operazioni bancarie all'insaputa della vittima.

Nei computer compromessi da Zeus (Zbot), tipicamente la vittima viene invitata a cliccare su un collegamento dannoso presente in una e-mail o attraverso un sito Web che ospita il malware, in modo che le credenziali di log-in al conto della banca possono essere rubati. In questo attacco, il malware visualizza una finestra pop-up nel browser che spinge le vittime a fornire i loro numeri di cellulare e il modello di telefono. 

Vengono quindi utilizzate queste informazioni per inviare un messaggio di testo alla vittima che contiene un link che scaricherà una versione del malware scritto per la piattaforma mobile. Rubare il nome utente o la password è relativamente facile, e il malware come Zeus lo ha fatto per molto tempo (iniettando codice HTML o con l'aggiunta di campo utilizzando JavaScript). Ma ora, il trojan chiederà anche nuovi dettagli: il nostro fornitore di telefonia mobile, modello e numero di telefono (il sito vi forza a compilare queste informazioni grazie alle sue nuove misure di sicurezza).


Una volta che le informazioni sono state compilate, un SMS sarà inviato al dispositivo mobile con un link per scaricare il nuovo certificato di sicurezza (che è un'applicazione dannosa). E 'importante sottolineare che a seconda del fornitore mobile, il link punterà ad un'applicazione Symbian (. Sis) o un BlackBerry (. Jad). Perché, per esmpio, non c'è per i fornitori di iPhone? Qualsiasi utente può installare qualsiasi applicazione in quei fornitori semplicemente cliccando su 'OK' quando ne fa richiesta nel dispositivo. iPhone può installare solo applicazioni tramite AppStore (a meno che siano jailbroken, ma questa è un'altra storia).


L'applicazione che l'utente installa nel suo dispositivo mobile è una semplice applicazione che monitorerà tutti gli SMS in entrata e installerà una backdoor per ricevere comandi via SMS. Security Blog S21 ha analizzato l'applicazione Symbian S60, che ha come nome 'aggiornamento Nokia'. L'applicazione dispone di un numero hardcoded di telefono nel Regno Unito che utilizzerà come al solito C and C (per inviare l'SMS rubato e per ricevere i comandi), e dopo l'installazione, eseguirà i seguenti passaggi:
  • Invia un 'ciao' SMS con il messaggio 'App installato OK' per la C and C 
  • Monitorare tutti gli SMS in arrivo
Se il numero del SMS in arrivo 'è uguale al numero di C and C, ci sono alcuni comandi che saranno accettati:
  • BLOCK ON: ignorare tutti i comandi
  • BLOCK OFF: attiva i comandi remoti
  • SET ADMIN: modificare il telefono cellulare il numero C and C (questo è l'unico comando che non può essere inviato un C and C)
  • SENDER ADD: aggiungere un contatto
  • SENDER REM: eliminare un contatto
  • SET mittente: aggiornamento contatto


    La tecnica che utilizza l'applicazione dannosa per il monitoraggio dell'SMS in entrata senza informare l'utente non è qualcosa di avanzato (si utilizza l'API Symbian), ma consente al trojan di utilizzare gli SMS stack per il proprio profitto, senza mostrare alcun SMS sullo schermo del cellulare:

    // open a SMS socket
    m_socket.Open(m_socketServer, KSMSAddrFamily, KSockDatagram, KSMSDatagramProtocol)


    // receive any incoming SMS (the match is empty)
    TSmsAddr smsAddr;
    smsAddr.SetSmsAddrFamily(ESmsAddrMatchText);
    smsAddr.SetTextMatch(_L8(""));
    m_socket.Bind(smsAddr);
    Then we have 'hooked' the SMS stack so we are able to receive any incoming SMS and pass it through our handler (the RunL()):
    // Stream that reads a CSmsMessage object across a socket.
    RSmsSocketReadStream readStream(socket1);
    // Allocates and creates a CSmsMessage
    // ESmsDeliver-SMS-DELIVER, sent from service center to Station.
    CSmsMessage message = CSmsMessage::NewL
    TheFs1,CSmsPDU::ESmsDeliver,buffer);
    CleanupStack::PushL(message);


    //Internalises data from stream to CSmsMessage
    message->InternalizeL(readStream);
    readStream.Close();
    //Extracting the received message to a buffer
    TBuf<255> msgContents;
    message->Buffer().Extract(msgContents, 0 , message->Buffer().Length());
    CleanupStack::PopAndDestroy(2)
    // Announce that we have read the SMS. Important!!
    iReadSocket.Ioctl(KIoctlReadMessageSucceeded, iStatus, &sbuf, KSolSmsProv);
    SetActive();


    E 'chiaro che il malware utilizza ingegneria sociale a diversi livelli:
    • Il metodo di infezione: invia un SMS con un link ad un 'certificato di sicurezza nuovo'
    • L'applicazione mobile: il nome è 'update Nokia', che non sarà sospetto per la maggioranza degli utenti
    • I contatti / manipolazione ordine del giorno: può aggiungere o modificare nuovi contatti nel dispositivo mobile, rendendo le chiamate o l'SMS più affidabile
    Vodafone ha confermato che il certificato di sviluppatori Symbian è stato revocato.

    Numero di serie: BF43000100230353FF79159EF3B3 Data di revoca: 28 settembre 2010 08:26:26 GMT Numero di serie: 61F1000100235BC2794380405E52 Data di revoca: 28 settembre 2010 08:26:26 GMT


    "Questo pacchetto maligno è ancora sotto inchiesta, ma dato il contesto, è logico credere che mira a sfruttare l'autenticazione che la maggior parte delle banche attua oggi per confermare i trasferimenti di fondi on-line ai loro utenti finali, e che impedisce il versamento dei conti online degli utenti infettati dal virus Zeus". Il malware controlla tutti i messaggi di testo in arrivo e installa una backdoor per gli attaccanti da utilizzare per controllarlo, secondo Fortinet. 

    "Stiamo lavorando con gli operatori di telefonia mobile per aiutarli a rilevare i dispositivi infetti", scrive Fortinet. "Gli operatori di telefonia mobile sono i principali attori in questo episodio, solo perché sono gli unici in grado di rilevare i dispositivi che sono infetti e bloccare tutti i collegamenti da / per la telefonia mobile and C. Nel frattempo, gli utenti di telefonia dovrebbero controllare i loro conti bancari e di pagamento mobile SMS", ha detto la società. Fonti: CNet | Security Blog 

    Nessun commento:

    Posta un commento