Neuer ZitMo für Android und Blackberry

Vor zehn Monaten veröffentlichten wir einen Artikel über ZeuS-in-the-Mobile mit einer Aufstellung aller Fakten über ZitMo, die uns zu diesem Zeitpunkt bekannt waren. Die Analyse endete mit der folgenden Vorhersage: ‘Sie [Attacken unter Mitwirkung von ZitMo] werden sich gegen einen immer enger gefassten Kreis von Opfern wenden’. Diese Vorhersage hat sich offensichtlich bewahrheitet. Es kommt nicht besonders häufig vor, dass wir etwas über eine neue Angriffswelle von ZeuS-in-the-Mobile (oder SpyEye-in-the-Mobile) hören oder herausfinden. Daher sind alle irgendwie gearteten Informationen über diese Malware-Typen und/oder Attacken unter Verwendung dieser Schädlinge von großer Bedeutung für uns, da sie uns helfen, die Entwicklung einer der bislang interessantesten Bedrohungen in der mobilen Welt besser zu verstehen. Zur Erinnerung: ZeuS-in-the-Mobile ist fast 2 Jahre alt. In diesem Blog geht es um neue Samples (und eine eventuelle neue Angriffswelle) von ZitMo für Android und Blackberry.

Überblick über neue Samples

Wir haben 5 neue ZitMo-Dateien: 4 für Blackberry und eine für Android. Wie Sie vielleicht wissen, wurde die Blackberry-Plattform nie wirklich ernsthaft von Malware angegriffen. Und nun haben wir 4 unterschiedliche Samples von ZeuS-in-the-Mobile für Blackberry auf einen Schlag: 3 .cod-Dateien und eine .jar-Datei (mit einer weiteren darin enthaltenen .cod). Und schließlich haben wir sogar eine ZitMo-Dropper-Datei für Blackberry.

Für Android gibt es nur einen neuen .apk-Dropper. Doch dieser ZeuS-in-the-Mobile für Android wurde modifiziert und sieht nun aus wie ein „klassischer“ ZitMo mit denselben Befehlen und derselben Logik.

Länder und C&C-Nummern

Alle Samples von ZitMo, die uns bisher bekannt waren, greifen User aus verschiedenen europäischen Ländern an (Spanien, Polen, Deutschland usw.). Auch dieser Fall bildet keine Ausnahme. Es folgt eine Liste der Länder, in denen die Anwender durch den neuen ZeuS-in-the-Mobile gefährdet sind, inklusive der C&C-Nummern vom Sample.

Blackberry:

  • Deutschland +46769436094
  • Spanien +46769436073
  • Italien +46769436073
  • Spanien +46769436073

Android

  • Deutschland +46769436094

Zusammenfassend kann man feststellen, dass es sich um 3 Länder (Deutschland, Spanien und Italien) und 2 C&C-Nummern (beide Schwedisch) handelt. Die Mobiltelefonnummern gehören zu dem Mobilfunkanbieter Tele2 in Schweden.

ZitMo für Blackberry

Die Analyse der neuen ZitMo-Dateien für Blackberry hat gezeigt, dass es keine grundlegenden Veränderungen gegeben hat. Die Virenautoren haben endlich den Rechtschreibfehler in der ‘App Instaled OK’-Phrase verbessert, die via SMS zu der Mobilfunknummer des C&C gesendet wird, wenn das Smartphone infiziert wurde. Anstelle der Befehle ‘BLOCK ON’ oder ‘BLOCK OFF’ (Sperren oder Entsperren aller eingehenden oder ausgehenden Anrufe) gibt es nun die Befehle ‘BLOCK’ und ‘UNBLOCK’. Andere Befehle, die über SMS empfangen werden, blieben unverändert. Eine Liste dieser Befehle und ihrer jeweiligen Bedeutung finden Sie hier.

ZitMo für Android

Es ist keineswegs überraschend, dass sich ZitMo für Android als Anwendung zur Zertifikatsaktualisierung ausgibt (‚Zertificat‘, com.security.service), und zwar aus dem Grunde nicht, weil alle bekannten Versionen von ZeuS-in-the-Mobile sich entweder als ‚Zertifikats-Update‘ oder als ‚Sicherheitsanwendung‘ tarnen.

207319900

ZitMo nach der Installation

Nach dem Start erscheint auf dem Display des Smartphones ein Popup-Fenster:

207319901

‚Installation erfolgreich. Ihr Aktivierungscode lautet 7725486193‘

Mit einem Klick auf den Button ‚OK‘, verschwindet das Fenster, die schädliche Anwendung jedoch setzt ihre Arbeit fort. Es ist überaus wichtig zu wissen, dass genau dieselbe Nachricht in einer der Dateien von ZitMo für Blackberry gespeichert ist:

207319902

In unseren früheren Artikeln und Blogs über ZitMo haben wir bereits die Vermutung geäußert, dass die Versionen von ZeuS-in-the-Mobile für Android sehr viel primitiver sind, als die Schädlingsversionen unter anderen Plattformen (Symbian, Windows Mobile, Blackberry). Allerdings hat sich die Lage nun etwas geändert, und die neue Version von ZitMo für Android ist den ‚klassischen‘ Varianten sehr ähnlich.

Richten wir unser Augenmerk nun auf die Stringvariablen, die in der Datei Constant.class gespeichert sind:

207319903

Einige Strings (‚on‘, ‚off‘, ’set admin‘) sind bereits bekannt. Es handelt sich dabei um SMS-Befehle, die von einer C&C-Nummer an ein mit ZitMo infiziertes Gerät gesendet werden können. Vergleicht man das mit den Versionen von ZeuS-in-the-Mobile für andere Plattformen, so scheint die Befehlsliste stark verkürzt.

Doch die Virenschreiber haben etwas Neues hinzugefügt. Am Ende der Liste befinden sich 4 Variable: RESPONSE_INIT, RESPONSE_OFF, RESPONSE_ON, RESPONSE_SET_ADMIN mit den Werten ‚INOK‘, ‚OFOK‘, ‚ONOK‘ und ‚SAOK‘. Im Falle der erfolgreichen Ausführung eines der Befehle ‚on‘ (ZitMo starten), ‚off‘ (ZitMo deaktivieren), ’set admin‘ (neue C&C-Nummer installieren) sendet das Programm eine Antwort-SMS (‚ONOK‘, ‚OFOK‘, ‚SAOK‘). Eine SMS mit dem Text ‚INOK‘ wird nach der erfolgreichen Infektion zusammen mit der C&C-Nummer verschickt (analog zu der SMS ‚App Installed OK‘ in anderen ZitMo-Versionen).

207319904

Versendungsprozedur von ‚OFOK‘ und ‚ONOK‘

Die Hauptfunktionalität von ZitMo blieb unverändert: Die Weiterleitung aller eingehenden SMS an eine C&C-Nummer. Alle Versionen von ZeuS-in-the-Mobile für Android (diese eingeschlossen) leiten nach wie vor alle eingehenden Kurznachrichten von allen Nummern weiter, anstelle konkreter Mitteilungen von einer Bank. Das Format einer ausgehenden Nachricht an eine C&C-Nummer sieht folgendermaßen aus:

message {Körper der weiterzuleitenden SMS }. F:{Nummer des Absenders der SMS }

Neue Angriffswelle?

Es gibt noch ein äußerst wichtiges Detail, auf das wir unbedingt hinweisen müssen. Das Auftauchen der neuen ZitMo-Dateien bedeutet nicht zwangsläufig, dass wir es mit einer neuen Attacke zu tun haben. Allerdings gibt es indirekte Beweise dafür, dass wir es mit einem neuen Angriff von ZeuS-in-the-Mobile zu tun haben. Unten sind Informationen aus der CERT.RSA-Datei aufgeführt, die im apk-Dropper von ZitMo gespeichert sind.

207319905

Es handelt sich hierbei um ein ’self issued‘-Zertifikat, das darauf hinweist, dass die schädliche Android-Anwendung vor weniger als einem Monat entwickelt wurde.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.