Tietoturva nyt!

30.9.2010

ZeuS-haittaohjelmasta matkaviestinversio

Tietoja varastava haittaohjelma on laajentunut matkapuhelimiin.

ZeuS (tunnetaan myös nimillä Zbot ja Wsnpoem) on eräs edistyneimmistä tietoa varastavista haittaohjelmaperheistä. ZeuS-haittaohjelmia on käytetty laajalti verkkopankkitunnusten keräämiseen. Erityisesti keskieurooppalaisissa pankeissa on käytössä tekstiviestipohjaisia lisävarmistuspalveluita, joilla internetissä tehdyt maksutapahtumat varmennetaan. ZeuS-haittaohjelmien mobiiliversio hyökkää kyseisiä lisävarmistuspalveluja vastaan. Vastaavia tietokone- ja mobiilihaittaohjelmien yhteistoimintoja ei ole aikaisemmin tavattu.

Uuden ZeuS-haittaohjelmaversion saastuttama työasema ohjaa käyttäjän matkapuhelinpäivityksiä listaaville verkkosivuille tavallisen verkkoselaamisen yhteydessä. Sivut pyytävät syöttämään matkapuhelimen merkin, mallin ja puhelinnumeron. Hyökkääjä lähettää annettujen tietojen pohjalta tekstiviestitse linkin päivityspaketin nimellä kulkevaan haittaohjelmaan. Haittaohjelmia on tarjolla ainakin Symbian- ja BlackBerry-käyttöjärjestelmiä käyttäviin puhelimiin. Haittaohjelman Symbian-versio on allekirjoitettu aidolla varmenteella. Kyseinen varmenne on sittemmin peruttu, mutta Symbian-puhelimet eivät oletusarvoisesti tarkasta peruttuja varmenteita ohjelmistojen asennuksen yhteydessä.

Haittaohjelman avulla tehtävä hyökkäys käsittää useita vaiheita. Ensin käyttäjän tietokone ja puhelin saastutetaan, ja tietokoneella oleva haittaohjelma kerää pankkitunnukset käyttäjän kirjautuessa verkkopankkiin. Tämän jälkeen hyökkääjä voi kirjautua verkkopankkiin näitä tunnuksia käyttäen ja aloittaa maksutapahtuman. Puhelimessa oleva haittaohjelma saa maksun varmistuskoodin sisältävän tekstiviestin, ja lähettää sen eteenpäin hyökkääjälle ilmoittamatta käyttäjälle viestin saapumisesta. Lopulta hyökkääjä voi hyväksyä maksutapahtuman edelleenlähetetyn koodin avulla. Tällä hetkellä viestit edelleenlähetetään englantilaiseen +44778-alkuiseen puhelinnumeroon. Haittaohjelman hallintaominaisuudet mahdollistavat tämän numeron vaihtamisen.

ZeuS-haittaohjelma ei ole CERT-FI:n tietojen mukaan Suomessa erityisen laajalle levinnyt, eikä haittaohjelman mobiiliversiosta ole tehty havaintoja. CERT-FI:n tietojen mukaan mikään ei viittaa siihen, että mobiiliversio olisi kohdistettu Suomeen.

Lisätietoa

• Tietoturva nyt! 1.2.2010: Yleisimmät tietoa varastavat haittaohjelmaperheet
• CERT-FI Tietoturvakatsaus 1/2010
• http://securityblog.s21sec.com/2010/09/zeus-mitmo-man-in-mobile-i.html
• http://blog.fortinet.com/zeus-in-the-mobile-zitmo-online-bankings-two-factor-authentication-defeated/
• http://www.f-secure.com/weblog/archives/00002037.html
  
  

Sivua päivitetty 30.09.2010

Tulostusversio