Trojan ZitMo ataca de novo utilizadores de banca online através do BlackBerry e Android

24 ago 2012
Notícias de Vírus

A banca online é hoje em dia uma alternativa mais cómoda e rápida de realizar transacções e consultas bancárias para muitos utilizadores. No entanto, há que ter especial precaução ao utilizar este tipo de serviços, tanto no computador como no dispositivo móvel, já que onde há dinheiro, haverá sempre também quem lhe queira deitar a mão de forma fraudulenta.

No final de 2010 apareceu o Trojan ZEUS para smartphones (ZEUS-in-the-Mobile, ou ZitMo), tornando-se no primeiro programa malicioso para dispositivos móveis que roubava códigos de autenticação de transacções bancárias (mTAN, mobile transaction authentication number), que são enviadas frequentemente por SMS.

Nos últimos meses, os ataques do ZitMo tornaram-se mais específicos, apontando principalmente aos utilizadores de Android e Blackberry. Mais concretamente, foram detectados cinco novos ficheiros deste Trojan: quatro para Blackberry e um para Android. Até agora, não se tinha registado qualquer ataque activo e concreto contra a plataforma Blackberry.

Os ataques do ZitMo foram desenvolvidos em vários países europeus como Espanha, Polónia e Alemanha, e em todos os casos os SMS dirigiram-se a números C&C que pertencem ao operador Tv2 da Suécia.

No caso do Android, algumas versões do ZitMo (desenvolvidas há menos de um mês) apresentam-se como “actualizações de certificados” ou “apps de segurança” - como na imagem da esquerda -, que após serem instaladas continuam a trabalhar em segundo plano, mesmo que se feche a aplicação.



Chaves para entender o funcionamento de ZEUS

No início, a versão para PC do ZEUS seguia o seguinte comportamento: quando o utilizador infectado tratava de visitar a página do seu banco para se autenticar no sistema, o ZEUS modificava a página web no navegador de tal maneira que os dados pessoais que o utilizador introduzia não chegavam ao banco, mas antes ao servidor de administração da botnet.

Era, ainda, incluído um campo onde se pedia ao utilizador que introduzisse o modelo e número de smartphone, supostamente para renovar os seus certificados. Ao fim de algum tempo, o utilizador recebia no número indicado um SMS que lhe pedia que instalasse um novo certificado de segurança através de um link que não era mais do que uma porta para a versão móvel do Trojan Zeus, cuja principal função é enviar para os telefones dos criminosos as mensagens SMS indicadas no corpo do Trojan.

Utilizando o login e senha do utilizador, os cibercriminosos autenticam-se no sistema de banca online da vítima e tratam de executar a transacção (por exemplo, enviar dinheiro da conta do utilizador para a sua própria conta). Para realizar a transacção é precisa uma confirmação adicional através do código de autorização que o banco envia por SMS para o telefone infectado do cliente, que de imediato o envia para o telefone do criminoso, permitindo-lhe utilizar o mTAN roubado e confirmar a transacção.

© 1997 - 2014 Kaspersky Lab ZAO.

Todos os direitos reservados.