sobota, 5 grudnia 2015

Ciąg dalszy ZitMo lub Vawtraka?

Pisałem o kolejnych atakach troja ZitMo gdzie pod pozorem polepszenie bezpieczeństwa telefonu komórkowego jesteśmy proszeni o instalację „Trusteer Rappor” na telefonie. Ma to chronić przed każdym zagrożeniem, a tak naprawdę to zagrożenie właśnie instalujemy na naszym telefonie. Opisany atak miał miejsce w czasie logowania się do bankowości internetowej. Wiadomo jednak, że banki zaczęły się bronić przed takimi atakami, dlatego atakujący zmienili sposób ataku!


Na czym polega zmiana? 


Po pozyskaniu użytkownika i hasła w czasie logowania się do banku przez trojana atak jest przerywany. Nie jesteśmy już proszeni o instalację złośliwego oprogramowania na telefonie. Druga część ataku ma miejsce przy logowaniu się np. na poczty Interii, Tlen, WP czy Facebooka. Po zainstalowaniu aplikacji „Trusreer Rapport” na telefonie intruz przystępuje do ataku. Loguje się do bankowości internetowej i wykonuje transakcję na konto muła. Bank wysyła SMS-a z kodem na telefon klienta potwierdzając transakcję. Aplikacja na zarażonym telefonie przejmuje SMS-a z banku niepokazująca go Klientowi przekierowuje go do atakującego. Atakujący podaje kod i transakcja dochodzi do skutku.