据安全研究人员称,一种名为Zeus banking的恶意软件的新变种,可以拦截手机上的一次性密码,截至周三仍在向黑客传输数据,不过英国警方已经接到了通知。
本月早些时候,西班牙安全公司S21sec的研究人员发现了一种宙斯版本的手机,它可以识别手机的型号和号码。它通过在用户启动交易时在银行的Web页面上注入HTML字段来实现。
然后,攻击者向受害者发送一条带有恶意网站链接的短信,促使用户下载设备的“更新”。该软件拥有有效的签名证书,看起来是合法的。
但该软件的设计目的是拦截网上银行交易中使用的一次性密码,然后通过短信将其转发到攻击者控制的另一部手机上。银行越来越多地采用向用户的手机发送一次性密码的系统,用户必须输入该密码才能完成交易。
就在上周,英国互联网银行Egg表示,它将推出针对账户转账的短信认证服务。Fortinet的FortiGuard威胁应对团队高级经理纪尧姆•洛维特(Guillaume Lovet)表示,法国的多数银行、德国和西班牙的许多银行也在使用该系统。
对银行来说,使用个人手机进行双因素认证比发送能够产生一次性密码的小型设备要便宜。但这个系统似乎并不是那么安全。
Zeus的移动组件捕获短信发送的一次性密码,然后将其发送到攻击者控制的另一个手机号码。S21sec发言人布雷特(Daniel Brett)说,该公司发现这是一个英国电话号码,运营商说这个号码仍在接收数据,这表明攻击仍在进行。S21sec从本月早些时候开始研究这些攻击。
新的攻击尤其危险,因为它现在意味着攻击者可以随时发起事务。
宙斯的工作原理是获取受害者银行账户的登录和密码。但如果银行使用短信发送的一次性密码,Zeus的运营商就必须等到受害者开始在线交易,收到手机上的一次性密码后,再将其输入网络浏览器。
如果出现这种情况,Zeus会获取代码,并在代码到期前快速启动一个新事务。但是该方法要求攻击者等待受害者启动事务。Lovet说,新的Zeus移动组件可以自动接收一次性密码,而受害者不会采取任何行动。
“这让我们非常吃惊,”Lovet说。“但最终,这是合乎逻辑的。”
英国警方已接到通知,但他们一直很忙:周二,他们执行了史上最大的电子犯罪行动之一,逮捕了19人,他们是利用宙斯从英国银行账户中盗走至少600万英镑(950万美元)的团伙成员。Lovet说,Zeus开发人员将工具包打包出售给其他网络罪犯,价格从700美元到3000美元不等。
移动宙斯恶意软件可以感染Symbian系列60设备或黑莓。iPhone目前还没有受到影响。Lovet说,有趣的是,Zeus恶意软件手机应用程序拥有一家注册在阿塞拜疆的公司获得的签名证书。塞班没有透露公司的名字。
如果一个应用程序有一个证书,它通常被允许由一个设备下载。洛维特表示,公司通常需要发送信息来证明自己是合法开发者,但一些流氓公司可能会为了获得证书而提交虚假信息。
然后,糟糕的应用程序可能会进入应用程序商店。Lovet说:“他们似乎真的没有时间和资源去检查提交的每一份申请。”
用于托管移动宙斯的域名已被关闭。然而,Lovet说,当它运行时,域使用了快速通量技术,这种技术允许域托管在一个轮流选择的IP地址上。这可能会加大阻止的难度。
Lovet表示,随着银行越来越关注移动银行系统,Zeus的最新发展令人担忧。如果银行允许人们只在手机上执行交易,而手机可能会被恶意软件感染,那么向手机发送一次性密码是行不通的。
Lovet说:“只要双因素身份验证通过两个不同的物理路径,这就有意义,但是如果两个因素的物理路径是相同的,这就没有任何意义。”
发送新闻提示和评论到jeremy_kirk@idg.com