Троян ZeuS осваивает новые платформы. По сообщению «Лаборатории Касперского», обнаружен образец вредоносного кода для устройств BlackBerry, которым до последнего времени удавалось оставаться в стороне от вирусных эпидемий.
Речь идёт о мобильной версии ZeuS-in-the-Mobile (ZitMo), которая загружается на мобильные телефоны пользователей, чьи персональные компьютеры поражены обычной версией ZeuS, подробнее о механизме заражения см. здесь. Впервые ZitMo был обнаружен 25 сентября 2010 года, то есть почти два года назад, но с тех пор он проявляет себя крайне вяло, участвуя только в таргетированных атаках. Ситуация не изменилась: нынешняя модификация для Blackberry тоже не предназначена для массового распространения, а рассылается только в виде отдельных SMS на телефоны тех, чьи номера обнаружены при заражении стандартной версией ZeuS. Им предлагают установить на телефон программу Zertificat, это и есть дроппер ZitMo.
Смартфоны BlackBerry пользуются популярностью у бизнесменов в Америке и Западной Европе, так что чисто логически можно понять, почему злоумышленники обратили внимание на эту платформу.
«Лаборатория Касперского» получила пять новых сэмплов ZitMo, в том числе один для Android и четыре для Blackberry: три cod-файла и один jar-файл, содержащий внутри еще один cod-файл. Таким образом, можно констатировать появление первого дроппера ZitMo для Blackberry.
Все известные варианты ZitMo нацелены на пользователей европейских стран, новые образцы не стали исключением. Вот список стран, вместе с C&C номерами из файлов.
Германия +46769436094
Испания +46769436073
Италия +46769436073
Испания +46769436073
Оба телефонных номера принадлежат шведскому сотовому оператору Tele2.
Анализ новых файлов ZitMo для Blackberry показал, что существенных изменений не произошло. Вирусописатели наконец-то исправили орфографическую ошибку во фразе "App Instaled OK", которая отправляется в SMS-сообщении на C&C номер сразу же после успешного заражения. Вместо команд 'BLOCK ON' и 'BLOCK OFF' (включение/отключение блокировки звонков) теперь есть команды 'BLOCK' и 'UNBLOCK' с тем же функционалом. Другие команды, получаемые через SMS, остались такими же. Полный список команд можно найти здесь.
Денис Масленников, эксперт «Лаборатории Касперского»
Эксперт обращает внимание на новый образец ZitMo для Android, там в apk-дроппере находится самоподписанный сертификат CERT.RSA с началом срока действия 19 июля 2012 года. Из этого можно сделать вывод, что новый вариант вредоносного приложения под Android разработан менее месяца назад.
