Crimware thay đổi hệ điều hành di động: Android có tiếp theo không?

Khi nói đến tội phạm, Zeus không có ai sánh bằng. Những người đứng đằng sau mã độc đã đánh cắp hàng triệu từ các tổ chức không ngờ tới. Lần đầu tiên tôi viết về Zeus vào tháng 10 năm 2009. Ba năm sau đó, Zeus vẫn đang phát triển mạnh mẽ.

Cú hích mới nhất giữa các công ty bảo mật và các nhà phát triển chịu trách nhiệm về Zeus liên quan đến xác thực hai yếu tố dựa trên SMS. Lý thuyết được đưa ra: Sử dụng Dịch vụ tin nhắn đơn giản (SMS) làm xác minh ngoài băng tần ngăn Zeus nắm bắt thông tin đăng nhập. Công nghệ SecureID cũng không hoạt động, nhưng hầu hết các tổ chức đang tránh xa nó ngay bây giờ.

Khó nhưng không phải là không thể

Chà, Zeus giờ đã có bạn đời. Gặp Zitmo (Zeus trong MObile). Phần mềm độc hại điện thoại được thiết kế để chụp các tin nhắn SMS và chuyển tiếp chúng cho kẻ tấn công. Đây là cách, theo S21sec:

  • Khi bạn truy cập một cổng thông tin tài chính, Zeus (đã được cài đặt trên máy tính) đánh cắp tên người dùng và mật khẩu của bạn.
  • Kẻ tấn công sau đó cố gắng lây nhiễm thiết bị di động của bạn bằng cách cài đặt một ứng dụng độc hại (có thể là SMS có liên kết đến ứng dụng di động độc hại).
  • Kẻ tấn công đăng nhập bằng thông tin đăng nhập bị đánh cắp bằng máy tính của bạn làm vớ / proxy và thực hiện một thao tác cụ thể cần xác thực SMS.
  • Một tin nhắn SMS được gửi đến thiết bị di động của bạn với mã xác thực. Phần mềm độc hại đang chạy trong thiết bị chuyển SMS đến máy tính của kẻ tấn công.
  • Kẻ tấn công điền vào mã xác thực và hoàn thành thao tác.

Người ta phải thừa nhận, sự tinh tế là ấn tượng. Zeus (PC) và Zitmo (điện thoại thông minh) làm việc trong buổi hòa nhạc, cho phép kẻ tấn công đăng nhập thành công và hút tài chính từ tài khoản của bạn.

Nhưng không phải Android

Các nhà nghiên cứu bảo mật tại Fortinet, S21sec và McAfee đang theo sát câu chuyện Zeus / Zitmo. Họ có các ví dụ về mã Zitmo cho các hệ điều hành di động Symbian, Blackberry và Windows - ba trong số bốn hệ thống lớn (Chỉnh sửa: Nên là năm, nhưng iOS không bị ảnh hưởng). Android thì sao?

Bỏ lỡ một cơ hội

Theo báo cáo của Nielsen, Android được ưa chuộng bởi một phần ba trong số tất cả người dùng điện thoại thông minh. Dường như với tôi, những kẻ xấu đang thiếu hoặc tránh phân khúc người dùng thiết bị di động lớn nhất. Bối rối.

Có thể không

Trong khi tìm kiếm tài liệu nghiên cứu, tôi tình cờ thấy một bài đăng trên blog của Fortinet bởi Axelle Apvrille. Cô báo cáo rằng Zitmo hiện có thể được chuyển cho Android:

"Gần đây, đã có một cuộc thảo luận tích cực trên các diễn đàn kỹ thuật liên quan đến Zeus nhắm mục tiêu vào người dùng Android. Cuối cùng, chúng tôi đã có được bàn tay trên mẫu di động mà trojan của Zeus PC đang tuyên truyền.

Trên thực tế, nó không phải là một mẫu mới và đã được phát hiện dưới nhiều tên (Android.Trojan.SmsSpy.B, Trojan-Spy.AndroidOS.Smser.a, Andr / SMSRep-B), nhưng nó đáng sợ hơn nhiều khi được truyền bá bởi băng đảng Zeus. "

Tìm thấy một mảnh ghép.

Sau đó, tôi đã bắt gặp điều này: Phân tích Zeus cho Android (hoặc đó chỉ là phần mềm gián điệp SMS?). Carlos Castillo, nhà nghiên cứu của McAfee, đặt câu hỏi nếu những gì họ tìm thấy thực sự là Zitmo cho Android. Ồ ồ. Bây giờ đầy nhầm lẫn.

Trở lại vấn đề cơ bản

Từ lâu, tôi đã học được điều gì đó về sự nhầm lẫn. Nó là không khôn ngoan để viết trong khi ở trong một trạng thái bối rối. Lưu câu chuyện đó cho hồi ký của tôi.

Dù sao, tôi đã gửi email cho ông Castillo, hy vọng rằng ông sẽ giải tỏa được sự nhầm lẫn của tôi. Tôi bắt đầu với những điều cơ bản.

Kassner : Bạn có giải thích vai trò của điện thoại thông minh khi cài đặt phần mềm độc hại Zitmo không? Castillo : Điện thoại thông minh là thành phần cần thiết để đánh bại xác thực yếu tố thứ hai (được gửi trong SMS) trong giao dịch điện tử.

Khi phần mềm độc hại Zeus được cài đặt trên PC, nó sẽ hiển thị một cửa sổ gợi ý người dùng tải xuống ứng dụng Android, thực tế là phần mềm độc hại sẽ chặn tất cả các tin nhắn SMS đến và chuyển tiếp các tin nhắn đó đến một máy chủ từ xa.

Kassner : Tôi cho rằng những kẻ tấn công đang theo dõi nhiều PC và điện thoại thông minh bị nhiễm bệnh. Làm thế nào để họ liên kết chính xác các văn bản SMS với thông tin đăng nhập? Castillo : Khi phần mềm độc hại thu thập thông tin liên quan đến SMS nhận được trong thiết bị, nó cũng sẽ thu thập IMEI (Nhận dạng thiết bị di động quốc tế) của điện thoại thông minh và nó sẽ gửi đến máy chủ từ xa.

Mặt khác, trong máy tính Windows, phiên bản Zeus cho nền tảng này sẽ yêu cầu số được cung cấp bởi ứng dụng Android (một công cụ bảo mật giả) thực tế là IMEI của thiết bị và với dữ liệu đó kẻ gian máy tính có thể để liên kết các thông tin bị đánh cắp trong cả hai nền tảng.

Kassner : Bài viết của bạn đề cập rằng phần mềm độc hại Zitmo sử dụng một ứng dụng đặc biệt làm phương tiện giao hàng. Có một cái gì đó mọi người có thể xem ra để ngăn chặn việc tải xuống? Castillo : Thành phần phân phối của Zitmo không sử dụng cơ chế phân phối phổ biến nhất - đóng gói lại các ứng dụng hợp pháp bằng mã độc - được sử dụng bởi phần mềm độc hại như Droid Dream hoặc Geinimi. Trên thực tế, đây là một ứng dụng hoàn toàn độc hại, không có mã sạch bên trong, giúp phát hiện dễ dàng hơn.

Ngoài ra, phiên bản Windows của Zeus sẽ yêu cầu bạn nhập địa chỉ URL để tải xuống ứng dụng và ứng dụng sẽ muốn có quyền truy cập vào SMS của bạn. Cả hai nên tăng mức độ nghi ngờ của bạn.

Kassner : Có thứ gì đó cụ thể mà mọi người có thể kiểm tra để đảm bảo phần mềm độc hại Zeus chưa có trên điện thoại thông minh của họ không? Castillo : Hai biến thể chính của phần mềm độc hại này là phiên bản giả của các công cụ bảo mật thuộc về Trusteer và Kaspersky. Slide bên dưới cho thấy sự khác biệt giữa Zitmo và các biểu tượng thực.

Nếu bạn có một ứng dụng được cài đặt hoạt động như một công cụ bảo mật và hiển thị cho bạn IMEI - thiết bị rất có thể bị nhiễm. Các dấu hiệu nhiễm trùng khác sẽ bị thiếu SMS. Những người bị chặn bởi phần mềm độc hại Zitmo.

Kassner: Điều đó cho chúng ta một ý tưởng tốt về những gì Zitmo làm. Bạn cảm thấy rằng phần mềm độc hại bị bắt có lẽ chỉ là phần mềm gián điệp SMS. Với sự cho phép của bạn, tôi muốn diễn giải lý do của bạn:
  • Nhìn chung, phần mềm độc hại này không tinh vi so với các mã độc hại Android khác được thấy trong tự nhiên như ADRD. Tất cả lưu lượng truy cập với các máy chủ chỉ huy và kiểm soát đều ở dạng văn bản rõ ràng, không giống như tất cả các phần mềm độc hại Zeus khác.
  • Không có bằng chứng cho thấy các tin nhắn bị chặn đang được lọc để nhắm mục tiêu vào một ngân hàng cụ thể hoặc để tìm kiếm một mã xác thực cụ thể bên trong tin nhắn.
  • Không giống như Zitmo, phần mềm độc hại này không thực hiện các lệnh điều khiển như SET ADMIN để thay đổi thiết bị đang điều khiển bot và nó không có cơ chế thay đổi URL đang thu thập SMS (trong trường hợp cần thiết).

Suy nghĩ cuối cùng

Tôi rất vui vì có những người tận tâm như Axelle Apvrille và Carlos Castillo. Họ đầu tư rất nhiều thời gian để theo dõi phần mềm độc hại, đặc biệt là phần mềm tội phạm tài chính. Mọi thứ sẽ tồi tệ hơn rất nhiều nếu không có sự siêng năng của họ.

Thứ hai, tôi hy vọng tôi đã đạt được mục đích của mình ngày hôm nay: Thông báo cho bạn về thực tế rằng xác thực hai yếu tố không phải là một tấm chăn bảo mật, không còn nữa.

Và, người dùng Android, chúng tôi là người tiếp theo. Không có cách nào kẻ xấu sẽ để cho 30 phần trăm chúng ta đi miễn phí.

© Copyright 2020 | mobilegn.com