По свидетельству экспертов из F-Secure, новый MitMo-троянец представляет собой компонент шпионской программы SpyEye.
Новый мобильный зловред атакует устройства на базе Symbian и ориентирован на кражу кодов mTAN, которые используются для аутентификации в системах онлайн-банкинга. Чтобы прописаться на зараженном смартфоне, он использует сертификат, выданный китайским веб-сайтом cer.opda.cn, который позволяет подписывать приложения при установке на конкретное устройство. Троянец также пытается заполучить у потенциальной жертвы международный идентификатор IMEI: перехватывает сеанс связи с системой онлайн-банкинга и на лету внедряет в страницу регистрации дополнительное поле для заполнения. В случае успеха вредоносный файл добавляется к списку разрешенных (подписанных) приложений на данном устройстве.
По всей видимости, авторы новой версии MitMo-троянца воспользовались доступностью сертификатов OPDA. Их можно получить бесплатно на сайте cer.opda.cn, для оформления заказа требуется лишь зарегистрироваться и ввести в специальную форму IMEI. Правда, в целях борьбы с злоупотреблениями с недавних пор порядок выдачи сертификатов на сайте изменился: сертификат выдается бесплатно лишь при первичном обращении, остальные приходится оплачивать. Однако не стоит забывать, что OPDA — не единственная организация, предоставляющая такие услуги.
Примечательно, что вирусописатели взяли за основу своего нового творения SpyEye. Все предыдущие MitMo-атаки — в сентябре прошлого года, в феврале нынешнего — проводились с использованием облегченных модификаций ZeuS.
