Neuer Angriff von Zeus in the Mobile

Gestern vermeldete der polnische IT-Sicherheitsexperte und Blogger Piotr Konieczny (auf Polnisch) eine neue Angriffswelle des ZeuS-Trojaners. Die Angriffe wurden diesmal in Polen ausgeführt und richteten sich gegen Kunden der polnischen ING Bank.

Die in dieser Attacke verwendeten Zeus-Samples nutzen eine ganze Reihe unterschiedlicher Plattformen: Trojan-Spy.Win32.Zbot.bbmf für Windows, Trojan-Spy.SymbOS.Zbot.b für Symbian und Trojan-Spy.WinCE.Zbot.a für Windows Mobile. Ja, Sie haben richtig gelesen, jetzt werden auch Nutzer von Windows Mobile Smartphones von ZeuS in the Mobile (ZitMo) unter Beschuss genommen.

Der aktuelle Angriff ähnelt stark der ersten ZitMo-Attacke, die gegen Ende September 2010 gefahren wurde. Nutzer, deren Systeme mit der Windows-Version des Zbot-Trojaners infiziert sind, erhalten auch die Anfrage, ihre Mobiltelefonnummer sowie das Smartphone-Modell zwecks eines angeblichen Zertifikat-Updates einzugeben. Nach Übermittlung dieser Informationen wird eine URL mit dem Link zu dem ‚Zertifikat-Update’ (hinter dem sich in Wirklichkeit ein ZeuS Trojaner für das jeweilige Smartphone-Betriebssystem verbirgt) per SMS an den infizierten Kunden gesendet. Wenn Nutzer die bösartige Datei herunterladen und installieren, dann werden alle eingehenden SMS-Mitteilungen (darunter auch die mTAN Authentifizierungscodes der Bank) im Hintergrund an eine vorgegebene Mobiltelefonnummer weitergeleitet.

Die neue Version des Symbian ZeuS-Trojaners (von Kaspersky Lab erkannt als Trojan-Spy.SymbOS.Zbot.b) ähnelt stark der bereits bekannten Version des Schädlings: Kommandos und Funktionalitäten sind identisch. Auch die neue Windows Mobile-Version des ZeuS-Trojaners (von Kaspersky Lab erkannt als Trojan-Spy.WinCE.Zbot.a) weist dieselben Funktionalitäten und sogar dieselben Kommandos auf. Beispielsweise geben beide Versionen die abgefischten Informationen nach einer erfolgreichen Infektion an dieselbe britische Command & Control (C&C) Mobiltelefonnummer weiter:

Trojan-Spy.WinCE.Zbot.a

Trojan-Spy.SymbOS.Zbot.b

Die erste ZeuS in the Mobile Attacke hat bewiesen, dass die Cyberkriminellen ihre Aktivitäten kontinuierlich auf neue Plattformen ausweiten und dabei immer neue Zielbereiche (wie in diesem Fall mTANSs) ins Visier nehmen. Diese neue ZeuS in the Mobile Attacke belegt, dass die Cyberkriminellen auch weiterhin sehr weit davon entfernt sind, ihre schädlichen Aktivitäten einzustellen: Diese Tatsache wird durch die neu angegriffene Plattform unterstrichen.

Wir werden unsere Analysen in dieser Angelegenheit weiterführen und bald aktuelle Informationen zur Verfügung stellen.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.