Spanske S21Sec har i en serie blogginnlegg beskrevet en ny variant av banktrojaneren Zeus. Det oppsiktsvekkende ved denne varianten at den også narrer offeret til å installere en egen trojaner på sin smartmobil.
Dermed kan Zeus ikke bare få tilgang til brukerens brukernavn og passord, men også få tilgang til autentiseringskoder som brukeren mottar gjennom tekstmeldinger. Dette er en form for ekstra autentisering som benyttes av blant annet en del nettbanker.
Den nye varianten av Zeus er mer avansert enn tidligere, men avhenger likevel av at brukeren lokkes til å laste den ned, både til pc-en og til mobilen.
Å lokke uforsiktige pc-brukere til å installere og kjøre trojanere, har aldri vært spesielt vanskelig. I Windows er det fort gjort å overse at en angivelig bildefil egentlig er kjørbar fordi det egentlig filetternavnet ikke vises, med mindre brukeren har endret oppsettet for dette. Dobbeltklikker brukeren på filen, har skaden skjedd. I alle fall med mindre pc-en har et oppdatert og tilstrekkelig godt antivirusprogram installert. For to dager siden var det trolig ingen som fanget opp denne varianten av Zeus, mens bare F-Secures løsning fanget den opp i går.
Når et offer av Zeus logger seg inn på for eksempel sin nettbank, vil trojaneren, ved sette inn ekstra kode på innloggingsiden som vises i nettleseren, kunne fange opp brukernavnet og passordet til brukeren. Det nye er at brukeren også vil bli bedt om å fylle ut et skjema hvor det spørres om mobilnummer og type mobiltelefon.
Så snart brukeren har fylt ut og sendt inn skjemaet, blir en SMS sendt til mobiltelefonen. Der blir brukeren bedt om å laste ned et sikkerhetssertifikat, som i virkeligheten er en trojaner som kan kjøres på nettopp den mobiltelefonen brukeren har oppgitt. Denne trojaneren kalles Zitmo, et akronym for «Zeus In The MObile».
Angriperen som står bak spredningen av trojaneren, kan deretter logge seg på nettbanken ved hjelp av brukernavnet og passordet som Zeus overfører. Autentiseringskoden som sendes per SMS til brukerens mobil, vil også bli videresendt til angriperen ved hjelp av Zitmo.
Man skulle kanskje tro at brukeren vil bli advart ved at det kommer en SMS fra nettbanken, men trojaneren kan også sørge for at mobilen ikke varsler om meldinger fra gitte avsendere.
S21Sec skriver at metoden i alle fall har blitt benyttet ovenfor brukere av Symbian- og BlackBerry-baserte mobiler. Derimot mener S21Sec at brukere iPhone kan føle seg temmelig trygge, da applikasjoner til iOS i utgangspunktet ikke kan lastes ned fra vilkårlige nettsteder.
Les også:
- [19.02.2014] Skjuler kode i JPG-bilder
- [06.12.2012] Rundstjal bankkunder
- [23.03.2012] Ny Zeus-trojaner rettes mot Norge
- [09.01.2012] Frykter nettbanktrojaner i Norge
- [12.03.2010] Botnett reiste seg fra de døde
