Nowy trojan kradnie bankowe kody jednorazowe z komórek

Do niedawna potwierdzanie transakcji za pomocą jednorazowych kodów wysyłanych przez bank na telefon klienta uchodziło za bardzo bezpieczne rozwiązanie. Twórcy szkodliwych programów znaleźli jednak na nie sposób.

Najpierw pojawił się ZeuS-in-the-Mobile, w skrócie ZitMo, który współpracował ze swoją klasyczną wersją atakującą systemy z rodziny Windows, infekując różne platformy mobilne (zob. ZeuS ciska piorunami w klientów polskich banków). Kilka miesięcy później analitycy zagrożeń odkryli SpitMo, czyli SpyEye-in-the-Mobile, mobilne „rozszerzenie” trojana o nazwie SpyEye, który szczególnie mocno upodobał sobie Polaków.

Teraz z kolei specjaliści poinformowali o wykryciu mobilnej wersji trojana Carberp, nazwanej CitMo, co jest skrótem od Carberp-in-the-Mobile. Działa ona podobnie, jak wymienione wcześniej

zagrożenia. „Stacjonarna” wersja szkodnika zmienia w locie stronę internetową banku, zachęcając ofiarę do pobrania i zainstalowania aplikacji, która jest rzekomo potrzebna, by zalogować się do systemu (zob. zrzut ekranu poniżej).

Na razie celem CitMo są klienci jednego z najpopularniejszych rosyjskich banków - Sberbanku. W sklepie Google Play analitycy odkryli także aplikacje: AlfaSafe (prawdopodobnie dla użytkowników AlfaBanku) i VkSafe (dla VKontakte). Wszystkie zostały usunięte 13 grudnia, wcześniej były jednak pobierane przez nieuświadomionych użytkowników.

Jak działa CitMo

Jeżeli nie uwzględnimy jego związku z wersją desktopową, zobaczymy zwykły program szpiegujący z umiejętnością przesyłania wiadomości tekstowych. Jego celem jest jednak pokonanie ostatniej bariery procesu autoryzacji w systemie bankowości internetowej, którą stanowią wysyłane przez bank kody jednorazowe (mTAN). CitMo- podobnie jak ZitMo i SpitMo - potrafi je przechwytywać i przekazywać do zdalnego serwera, ukrywając przed użytkownikiem swoją aktywność.

Chociaż Google podejmuje działania, by wyeliminować szkodliwe aplikacje ze swego sklepu, przypomina to niekiedy walkę z wiatrakami. Dlatego warto pamiętać o jednej ważnej zasadzie: aplikacje mobilne związane z bankowością online należy pobierać tylko i wyłącznie ze strony banku, w którym mamy konto. Zabezpieczanie się przed mobilnymi trojanami należy zacząć od zainstalowania na komputerze/laptopie sprawdzonego rozwiązania antywirusowego, ponieważ - jak już wspomniałem - przestępcy używają ich w połączeniu z desktopowymi odpowiednikami.

Bardziej szczegółowy opis nowego szkodnika można znaleźć w serwisie Viruslist.pl prowadzonym przez Kaspersky Lab. Dowiedz się także, jak ustrzec się przed trojanem Boxer.AA, który bez wiedzy i zgody użytkownika rozsyła wiadomości SMS na numery o podwyższonej opłacie.

Źródło: Kaspersky Lab

Dobrze że mi Plus skasował ostatnio 130zł za pięciominutowe połączenie z internetem i mam zablokowane konto, to ten wirus co rozsyła smsy mi nie grozi...

Kolejny raz okazuje się że moja nokia 3310 jest lepsza od smartfon-a