ZeuS en dispositivos móviles

Fuente: S21Sec

Son aproximadamente dos meses desde mi último post en el blog. La razón de esto es que, durante este tiempo se dió una nueva oportunidad laboral: cambié mi trabajo en la Superintendencia Financiera de Colombia por el de Malware Researcher en el nuevo McAfee Labs en Santiago de Chile. Sin embargo, durante estos meses no he dejado de estar enterado del mundo de la seguridad informática revisando diariamente noticias, papers, investigaciones y nuevos descubrimientos de amenazas que pueden estar afectando a las personas que navegan todos los días en Internet. De esta forma, me enteré del post titulado “ZeuS Mitmo: Man-in-the-mobile” publicado en el blog de la empresa española S21Sec el cual anuncia el descubrimiento de la evolución del conocido troyano bancario ZeuS hacia el mundo de los dispositivos móviles.

Antes de comentar la novedad, primero voy a dar una pequeña introducción sobre ZeuS. En realidad, no se trata de un solo ejemplar de malware sino de un kit de herramientas que permite construir y administrar una botnet mediante la generación de código malicioso. El objetivo principal de ZeuS es robar información confidencial que puede ser utilizada por los delincuentes informáticos para realizar fraude electrónico o para efectuar robo de identidad. Una de las últimas novedades de ZeuS era la inclusión de la técnica Man-in-the-Browser la cual permite la captura, en tiempo real, de las credenciales de acceso (nombre de usuario y contraseña) a la banca en línea por lo que la transferencia de fondos hacia la cuenta del delincuente informático se realiza sin que el cliente se de cuenta. Esto es posible debido a que el malware cuenta con un sistema de notificación que le avisa al bot master que el cliente se ha autenticado por lo que, desde ese momento, se cuenta con todos los elementos necesarios para realizar la transferencia bancaria (incluso se puede obtener los one-time passwords que generan los Tokens físicos). Adicionalmente, según SecureWorks, ZeuS también es capaz de capturar certificados digitales (PKCS #12) que son usados por los navegadores de las víctimas para autenticarse en los sitios web transaccionales.

Abarcados estos métodos de autenticación fuerte, ZeuS va un paso más allá: ahora incluye la opción de infectar dispositivos móviles y capturar los mensajes de texto (SMS) que son enviados al teléfono como segundo método de autenticación. Esto es debido a los cada vez más populares tokens de software los cuales utilizan los mensajes cortos de texto para autenticar a los usuarios de la banca en línea.

El principal método de infección consiste en enviar un link, mediante SMS, que permite instalar una aplicación maliciosa encargada de robar el SMS adicional de autenticación. Para ello, ZeuS dispone de un sitio web que permite registrar el modelo y número de teléfono celular al cual se le envía el mensaje de texto con el link mencionado:

Fuente: S21Sec

Importante mencionar que el malware es multiplataforma: al escoger el fabricante, el código malicioso escoge si enviar el link para instalar una aplicación Symbian (.sis) o una aplicación para BlackBerry (.jad). S21Sec analizó el ejemplar para Symbian S60 evidenciando el sistema de Comando y Control implementado en el malware mediante el uso de los mensajes cortos de texto SMS:

Fuente: S21Sec

Básicamente, el código malicioso se registra con el bot master enviando un mensaje SMS con la cadena “App installed ok” y queda a la espera de recibir comandos por el mismo medio. Dichos mensajes son recibidos y enviados por un número predefinido pero puede ser cambiado mediante el comando “SET ADMIN”. ZeuS también incluye la opción de adicionar/eliminar/actualizar contactos con lo cual el envío/recepción de SMS puede ser fácilmente enmascarado.

Con esta nueva funcionalidad de ZeuS, queda demostrado que el crimeware va a la par con los avances en seguridad informática incluyendo, en esta ocasión, los dispositivos móviles los cuales son cada vez más indispensables en la vida cotidiana y, por tanto, seguirán siendo objetivo de los delincuentes informáticos.

Update: Según el blog de F-Secure, el C&C desde donde se administraba la botnet ha sido dado de baja, sin embargo, de seguro se espera que aparezcan nuevas versiones del malware con funcionalidades mejoradas.

Categories: Botnet, Fraude electrónico

Leave a Reply

Your email address will not be published. Required fields are marked *