Crimeware undergraver mobile OS: Er Android neste?

Når det gjelder crimeware, har Zeus ingen like. Folk bak feilkoden har stjålet millioner fra intetanende organisasjoner. Jeg skrev først om Zeus tilbake i oktober 2009. Tre år går Zeus fremdeles sterkt.

Den siste volleyen mellom sikkerhetsselskaper, og utviklerne som er ansvarlige for Zeus, innebærer SMS-basert tofaktorautentisering. Teorien går: Å bruke Simple Message Service (SMS) som verifisering utenfor bandet forhindrer Zeus i å fange inn påloggingsinformasjon. SecureID-teknologien er også utenfor bandet, men de fleste institusjoner trekker seg unna den akkurat nå.

Vanskelig, men ikke umulig

Nå, Zeus har nå en partner. Møt Zitmo (Zeus In The MObile). Malware for telefon designet for å fange SMS-tekster og videresende dem til angriperen. Slik gjør du det, i følge S21sec:

  • Når du besøker en finansportal, stjeler Zeus (allerede installert på datamaskinen) brukernavnet og passordet ditt.
  • Angriperen prøver deretter å infisere mobilenheten din ved å installere en ondsinnet applikasjon (muligens en SMS med en lenke til den ondsinnede mobilapplikasjonen).
  • Angriperen logger på med de stjålne legitimasjonene ved å bruke datamaskinen din som sokker / proxy og utfører en spesifikk operasjon som trenger SMS-godkjenning.
  • Det sendes en SMS til mobilenheten din med godkjenningskoden. Den ondsinnede programvaren som kjører i enheten videresender SMS til angriperens datamaskin.
  • Angriperen fyller ut godkjenningskoden og fullfører operasjonen.

Man må innrømme, raffinementet er imponerende. Zeus (PC) og Zitmo (smarttelefon) som jobber på konsert, lar angriperen lykkes med å logge inn og sifre økonomi fra kontoen din.

Men ikke Android

Sikkerhetsforskere ved Fortinet, S21sec og McAfee følger Zeus / Zitmo-sagaen nøye. De har eksempler på Zitmo-kode for Symbian, Blackberry og Windows mobile operativsystemer - tre av de fire store (Edit: Bør være fem, men iOS er ikke berørt). Hva med Android?

Mangler en mulighet

I følge denne Nielsen-rapporten favoriseres Android av en tredjedel av alle smarttelefonbrukere. Synes meg at skurkene mangler eller unngår det største segmentet av brukere av mobilenheter. Underlige.

Kanskje ikke

Mens jeg trasket etter forskningsmateriell, kom jeg over et Fortinet-blogginnlegg av Axelle Apvrille. Hun rapporterte at Zitmo nå kan porteres for Android:

Den siste tiden har det vært en aktiv diskusjon om tekniske fora angående Zeus som er målrettet mot Android-brukere. Vi har endelig klart å få hendene på den mobile prøven som Zeus PC-trojanere formerer.

Egentlig er det ikke en ny prøve og har blitt oppdaget under flere navn (Android.Trojan.SmsSpy.B, Trojan-Spy.AndroidOS.Smser.a, Andr / SMSRep-B), men det er langt mer skummelt når det blir forplantet av Zeus-gjengen. "

Fant et puslespill.

Så kom jeg over dette: Dissecting Zeus for Android (eller er det bare SMS-spyware?). Carlos Castillo, forsker for McAfee, stiller spørsmål ved om det de fant faktisk er Zitmo for Android. Åh åh. Nå fullblåst forvirring.

Tilbake til det grunnleggende

For lenge siden lærte jeg noe om forvirring. Det er uklokt å skrive mens du er i forvirret tilstand. Lagrer den historien til memoarene mine.

Uansett sendte jeg en e-post til Mr. Castillo, i håp om at han ville oppklare forvirringen min. Jeg begynte med det grunnleggende.

Kassner : Vil du forklare hvilken rolle smarttelefoner spiller når Zitmo malware er installert? Castillo : Smarttelefoner er komponenten som trengs for å beseire autofakturering av andre faktorer (sendt i en SMS) i en elektronisk transaksjon.

Når Zeus-malware er installert på en PC, vil det vise et vindu som foreslår at brukeren laster ned Android-applikasjonen, som faktisk er skadelig programvare som vil avskjære all innkommende SMS og videresende disse meldingene til en ekstern server.

Kassner : Jeg antar at angripere overvåker mange infiserte PCer og smarttelefoner. Hvordan knytter de sms-tekster riktig til påloggingsinformasjon? Castillo : Når skadelig programvare samler inn informasjonen som er relatert til SMS-ene som blir mottatt i enheten, vil den også samle IMEI (International Mobile Equipment Identity) til smarttelefonen, og den vil sende den til en ekstern server.

På den andre siden, i Windows-datamaskinen, vil Zeus-versjonen for denne plattformen be om antallet som er gitt av Android-applikasjonen (et falskt sikkerhetsverktøy), som faktisk er IMEI for enheten, og med disse dataene kan datamaskinens kjeltringer være i stand for å koble de stjålne legitimasjonene på begge plattformene.

Kassner : Oppslaget ditt nevner at Zitmo-malware bruker en spesiell app som leveringsmiddel. Er det noe folk kan passe på for å forhindre nedlasting? Castillo : Leveringskomponenten til Zitmo bruker ikke den vanligste distribusjonsmekanismen - pakker inn legit applikasjoner med ondsinnet kode - brukt av malware som Droid Dream eller Geinimi. Faktisk er dette et rent ondsinnet program uten ren kode inni, noe som gjør det lettere å oppdage.

I tillegg vil Windows-versjonen av Zeus be deg om å oppgi en URL-adresse for å laste ned applikasjonen, og applikasjonen vil ha tillatelse til å få tilgang til SMS-en din. Begge bør heve mistanken din.

Kassner : Er det noe spesifikt som folk kan sjekke for å sørge for at Zeus-malware ikke allerede er på smarttelefonen? Castillo : De to viktigste variantene av denne malware er falske versjoner av sikkerhetsverktøy som tilhører Trusteer og Kaspersky. Lysbildet nedenfor viser forskjellen mellom Zitmo og ekte ikoner.

Hvis du har et installert program som fungerer som et sikkerhetsverktøy og viser deg IMEI - er enheten sannsynligvis infisert. Det andre tegn på infeksjon vil mangle SMS. Disse er blokkert av Zitmo-malware.

Kassner: Det gir oss en god ide om hva Zitmo gjør. Du føler at den innfangede skadelige programvaren sannsynligvis bare er sms-spyware. Med din tillatelse vil jeg sammenfatte grunnene dine:
  • Generelt er ikke denne skadelige programvaren sofistikert sammenlignet med annen ondsinnet Android-kode som sees i naturen som ADRD. All trafikk med kommando- og kontrollservere er i klartekst, i motsetning til all annen Zeus skadelig programvare.
  • Det er ingen bevis for at mottatte meldinger blir filtrert for å målrette mot en spesifikk bank eller for å søke etter en spesifikk autentiseringskode i meldingen.
  • I motsetning til Zitmo, implementerer ikke denne skadelige programvaren kontrollkommandoer som SET ADMIN for å endre enheten som kontrollerer bots, og den har ikke en mekanisme for å endre URL-en som samler inn SMS-en (i tilfelle den er nødvendig).

Siste tanker

Jeg er glad det er dedikerte mennesker som Axelle Apvrille og Carlos Castillo. De investerer mye tid på å spore malware, spesielt økonomisk crimeware. Ting ville være mye verre uten deres flid.

For det andre håper jeg at jeg oppnådde mitt mål i dag: Å varsle deg om at tofaktorautentisering ikke er et sikkerhetsteppe, ikke mer.

Og Android-brukere, vi er neste. Det er ingen måte skurkene kommer til å la 30 prosent av oss gå uten skot.

© Copyright 2020 | mobilegn.com