Skip to main content

Britische Polizei notifiziert laufende Zeus Mobile Angriffe

Eine neue Variante der Zeus-Banking-Malware, die Einmal-Passcodes auf Mobiltelefonen abfängt, übermittelt ab Mittwoch noch Daten an Hacker, obwohl laut Polizeiforschern die britische Polizei benachrichtigt wurde.

Forscher von S21sec, einer spanischen Sicherheitsfirma, entdeckte Anfang dieses Monats eine Version von Zeus, die die Marke von Mobiltelefonen und ihre Nummern identifiziert. Dazu werden HTML-Felder über die Webseite einer Bank eingefügt, wenn ein Benutzer eine Transaktion startet.

Anschließend senden die Angreifer dem Opfer eine Textnachricht mit einem Link zu einer schädlichen Website und fordern ihn auf, ein "Update" herunterzuladen ihr Gerät. Die Software - die über ein gültiges Signaturzertifikat verfügt - scheint legitim zu sein.

[Weitere Informationen: So entfernen Sie Malware von Ihrem Windows-PC]

Die Software ist jedoch so konzipiert, dass sie die Textnachricht abfängt und dann per SMS weiterleitet Einmaliges Passwort, das bei Online-Banking-Transaktionen für ein anderes Telefon verwendet wird, das von den Angreifern kontrolliert wird. Banken setzen zunehmend Systeme ein, die einen einmaligen Zugangscode an das Mobiltelefon einer Person senden, der eingegeben werden muss, um eine Transaktion abzuschließen.

Erst letzte Woche hat die britische Internetbank Egg angekündigt, dass sie SMS einführen würde Service) -Authentifizierung für Kontoübertragungen. Die meisten Banken in Frankreich und viele in Deutschland und Spanien nutzen die Systeme auch, sagte Guillaume Lovet, Senior Manager von Fortinets FortiGuard Threat Response Team.

Für Banken ist die Verwendung des Mobiltelefons einer Person in Zwei-Faktor-Authentifizierung billiger als das Senden von kleinen Geräte, die einen einmaligen Zugangscode generieren. Aber es scheint, dass das System nicht so sicher ist.

Die mobile Komponente von Zeus erfasst das einmalige Passwort, das per SMS gesendet wird, und sendet es dann an eine andere von den Angreifern kontrollierte Telefonnummer. S21sec, die die Angriffe seit Anfang dieses Monats untersucht hat, fand heraus, dass es sich um eine britische Telefonnummer handelt, und diese Nummer erhält immer noch Daten nach Betreibern, was zeigt, dass die Angriffe noch andauern, sagte Daniel Brett, ein Sprecher der Sicherheitsfirma.

Der neue Angriff ist besonders gefährlich, da er jetzt bedeutet, dass die Angreifer jederzeit Transaktionen auslösen können.

Zeus erfasst den Login und das Passwort der Bankkonten der Opfer. Aber wenn Banken Einmal-Zugangscodes verwenden, die per SMS verschickt werden, müssen die Betreiber von Zeus warten, bis ein Opfer eine Online-Transaktion gestartet hat, den einmaligen Zugangscode auf ihrem Telefon erhalten und dann in den Web-Browser eingegeben haben passiert, Zeus packt den Code und initiiert schnell eine neue Transaktion, bevor der Code abläuft. Bei dieser Methode muss der Angreifer warten, bis das Opfer eine Transaktion gestartet hat. Die neue mobile Zeus-Komponente bedeutet, dass sie automatisch das einmalige Passwort ohne jede Handlung des Opfers erhalten, sagte Lovet.

"Das war ziemlich überraschend für uns", sagte Lovet. "Aber am Ende ist es logisch."

U. K. Die Polizei wurde benachrichtigt, aber sie waren beschäftigt: Am Dienstag führten sie eine der größten E-Verbrechen-Operationen der Geschichte durch und verhafteten 19 Menschen, die Teil einer Bande waren, die Zeus verwendete, um mindestens £ 6 Millionen zu stehlen ) von britischen Bankkonten. Zeus-Entwickler verkaufen das Toolkit in Paketen zwischen 700 und 3.000 US-Dollar an andere Cyberkriminelle, sagte Lovet.

Die mobile Zeus-Malware kann Symbian Series 60-Geräte oder BlackBerries infizieren. Das iPhone ist bisher nicht betroffen. Interessanterweise hatte die mobile Zeus-Malware-Anwendung ein signiertes Zertifikat, das von einem in Aserbaidschan registrierten Unternehmen erhalten wurde, sagte Lovet. Symbian hat den Namen des Unternehmens nicht bekannt gegeben.

Wenn eine Anwendung ein Zertifikat besitzt, kann sie normalerweise von einem Gerät heruntergeladen werden. Unternehmen müssen normalerweise Informationen senden, die sich als legitime Entwickler authentifizieren, aber Schurken können gefälschte Informationen einreichen, um ein Zertifikat zu erhalten, sagte Lovet.

Dann können schlechte Anwendungen zu Anwendungsspeicher gelangen. "Es scheint, dass sie nicht wirklich die Zeit oder die Ressourcen haben, um wirklich jede einzelne eingereichte Anwendung zu überprüfen", sagte Lovet.

Der Domain-Name, der als Host für den mobilen Zeus verwendet wurde, wurde inzwischen heruntergefahren. Als es jedoch live war, verwendete die Domäne Fast-Flux, eine Technik, die es ermöglicht, dass die Domain auf einer rotierenden Auswahl von IP-Adressen gehostet wird, sagte Lovet. Das kann die Blockierung erschweren.

Da Banken zunehmend auf mobile Banksysteme setzen, ist die neueste Entwicklung von Zeus besorgniserregend, so Lovet. Wenn Banken Personen erlauben, Transaktionen ausschließlich auf ihren Mobiltelefonen auszuführen, die mit Malware infiziert sein könnten, funktioniert das Senden eines Einmal-Passcodes an dasselbe Gerät nicht.

"Es macht Sinn, solange die Zwei-Faktor-Authentifizierung funktioniert durch zwei verschiedene physische Pfade, aber wenn der physische Pfad der gleiche für die zwei Faktoren ist, macht es keinen Sinn ", sagte Lovet.

Senden Sie News-Tipps und Kommentare an [email protected]