Zitmo-trojan evolueert en Roemeense hackers scannen internet

Fortinet: Android-adware neemt toe

12-10-2012 17:21 | Door Sander Hulsman | Lees meer artikelen over: Hacking, Malware, Tablets, Botnets | Lees meer over het bedrijf: Fortinet | Er zijn nog geen reacties op dit artikel | Dit artikel heeft nog geen cijfer (te weinig beoordelingen) | Permalink

Securitylevernacier Fortinet heeft de resultaten nieuwe onderzoeken naar internetbedreigingen gepubliceerd. Voor de periode van 1 juli 2012 tot 30 september 2012 melden de onderzoekers van FortiGuard Labs een duidelijke toename van Android-adware naast nieuwe bewijzen die suggereren dat de Zitmo (Zeus-in-the-Mobile)-trojan voor mobiel bankieren tot een botnet uitgroeit. Tegelijk detecteerden ze ook Roemeense hackers die het web op grote schaal scannen op zoek naar zwakke plekken.

De afgelopen drie maanden rapporteerde FortiGuard Labs een sterke stijging van Android-adware voor mobiele toestellen, met een activiteitsvolume dat vergelijkbaar was met dat van Netsky.PP, een van de beruchtste en wijdst verspreide spamgeneratoren in de geschiedenis van het internet. Bijna 1 procent van alle FortiGuard controlesystemen in de APAC- en EMEA-regio's en 4 procent van de systemen in Noord- en Zuid-Amerika detecteerden twee adware-varianten - Android/NewyearL en Android/Plankton. Deze twee varianten komen voor in verscheidene applicaties waarin een gemeenschappelijk toolset ingebed is om ongewenste advertenties op de statusbalk van het mobiele toestel weer te geven, om de gebruiker via zijn IMEI-nummer (International Mobile Equipment Identity) te volgen en om icoontjes op de desktop van het toestel te plaatsen.

Zulke applicaties vergen te veel onnodige rechten voor een normale toepassing, en dat wijst op een verborgen agenda. Zo wordt bijvoorbeeld ook toestemming gevraagd om toegang te krijgen tot onderdelen van het device die niet relevant zijn voor de toepassing, en tot de browsergeschiedenis, de contactgegevens, de telefoon- en identiteitsbestanden en de systeembestanden van het device. FortiGuard Labs raadt daarom aan de rechten die de applicatie vraagt op het moment van de installatie, nauwkeurig te onderzoeken. Daarnaast is het verstandig om alleen mobiele applicaties die onderzocht werden en een goede beoordeling gekregen hebben, te downloaden.

Zitmo wordt geavanceerder

Tijdens het voorbije kwartaal stelden de onderzoekers van FortiGuard vast dat Zitmo (of Zeus-in-the-mobile) tot een complexe bedreiging uitgegroeid is, met recente nieuwe versies voor Android en Blackberry. Zitmo is de beruchte mobiele component van de Zeus Trojan voor elektronisch bankieren dat de authentificatie met twee factoren omzeilt door sms-bevestigingscodes om toegang tot bankrekeningen te krijgen, te onderscheppen. De nieuwe versies voor Android en Blackberry hebben nu extra kenmerken zoals die van een botnet gekregen, waardoor cybercriminelen in staat zijn om de Trojan via sms-instructies te sturen.

Naarmate meer banken en e-handelaars een authentificatiesysteem met twee factoren toepassen, gewoonlijk met een sms-code om de tweede authentificatiefactor door te geven en een transactie te bevestigen, moeten Android- en Blackberry-gebruikers opletten wanneer hun financiële instelling hun vraagt om software op hun toestel te installeren. Banken vragen zulk een stap immers maar heel zelden van hun klanten. Om zeker te zijn, raadt FortiGuard Labs aan om alleen met de originele cd van het besturingssysteem online te bankieren. Als dat geen optie is, moeten gebruikers een antivirussysteem op hun telefoon en pc's installeren en ervoor zorgen dat dit systeem altijd up-to-date is.

Roemeense Hackers

De voorbije drie maanden heeft FortiGuard Labs ook opgemerkt dat het internet op grote schaal gescand werd op zoek naar zwakke plekken. Die scans werden uitgevoerd met een toolset dat Roemeense hackers ontwikkeld hebben om webservers op te sporen met een kwetsbare versie van de mySQL administratiesoftware (phpMyAdmin). De bedoeling is om controle over die servers te krijgen. De toolset, dat ZmEu genoemd werd, bevat codereeksen die naar AntiSec verwijzen, de internationale hackersbeweging die vorig jaar door Anonymous en Lulzsec gestart werd. Die scans worden over de hele wereld uitgevoerd en in september detecteerde bijna 25 procent van de FortiGuard-controlesystemen minstens één zulk een scan per dag.

Deel dit artikel via LinkedIn
Deel dit artikel via Facebook
Deel dit artikel via Twitter

Sponsored content