S21sec e-crime ha descubierto la nueva técnica de Zeus que monitoriza todos los SMS que recibe el móvil por lo que ahora el escenario para el robo de identidad es más sencillo para las mafias del fraude. ¿Cómo funciona el proceso?
El atacante roba el nombre de usuario y contraseña en línea utilizando un software malicioso (Zeus 2.x)
El atacante infecta el dispositivo móvil del usuario obligandole a instalar una aplicación maliciosa bajo su desconocimiento total. Este paso se realiza a través del envío de un SMS con un enlace malicioso al móvil.
El atacante inicia la sesión con las credenciales robadas usando el ordenador de la víctima como socks / proxy y realiza una operación específica que requiere la autenticación a través de SMS. .
Un SMS se envía al dispositivo móvil del usuario con el código de autenticación. El software malicioso intercepta el SMS y lo reenvía a otro terminal controlado por el atacante, sin dejar rastro de ello en el terminal de la víctima.
El atacante se apropia del código de autenticación y completa la operación.
El robo de nombres de usuarios y contraseñas es un tipo de fraude que ya se había detectado anteriormente y que el malware de Zeus ha estado realizando durante años. Pero ahora el troyano también solicita nuevos detalles: nuestro proveedor de móvil, modelo y número de teléfono. El sitio web solicita que se rellene la información para poder activar las nuevas medidas de seguridad.
Una vez que se ha rellenado toda la información, recibiremos en nuestro móvil un SMS con un enlace para descargar el nuevo certificado de seguridad, que realmente es la aplicación maliciosa que infectará nuestro dispositivo.
El troyano que el usuario instala en su dispositivo móvil es una sencilla aplicación que hará un seguimiento de todos los SMS entrantes y que instalará ‘una puerta trasera’ para recibir comandos también a través de mensajes SMS.
S21sec e-crime está trabajando conjuntamente con las compañías de telefonía móvil para ayudarles a detectar los dispositivos infectados, ya que las propias compañías son las únicas que pueden detectar los dispositivos que están infectados y bloquear todas las conexiones de esos móviles.
Este nuevo tipo de ataque presenta algunas salvedades:
• Podemos detectar los dispositivos infectados, pero notificárselo a los usuarios y limpiar sus dispositivos es una tarea dura y difícil.
• Se puede bloquear el acceso desde / hasta el centro de control.
• La recuperación de credenciales es mucho más difícil si no imposible.
• El usuario puede sospechar que su equipo está infectado mirando sus gastos a través del móvil al detectar cargos extraños.