Seculert research labs har meddelat att de har upptäckt en ny variant av malware som använder på delar av källkoden från Zeus-stammen, och en del från den nyare men lika destruktiva Spyeye-trojanen. Den nya kombinationen är svår att upptäcka och utgör ett allvarligt hot mot de som använder sina mobila enheter för autentisering till sin internetbank.
En hybrid av Spyeye och Zeus har misstänkts vara i utveckling sedan oktober, då det konstaterades att rivaliteten mellan de hackare som utvecklade och stödde olaglig programvara hade avtagit och inlägg på flera hackerforum påstod att den ryska utvecklaren av Zeus hade beslutat att lämna verksamheten och föra över sin kod till skaparen av Spyeye.
Kort därefter ställde Spyeyes utvecklare, som går under namnen "Harderman" och "Gribodemon" på olika hackerforum, upp på en intervju med säkerhetsforskare där de berättade att de planerade att kombinera de två stammarna och sälja licenser för den nya varianten till cyberbrottslingar.
Zeus fanns redan i en variant för Android och andra mobila system. Den så kallade Zitmo (Zeus in mobile) uppmärsammades förra sommaren. Den varianten kunde efter installation lägga beslag på all sms-trafik och på den vägen komma över token-koder som skickades från en användares bank. För att den typen av attack ska lyckas direkt via trojanen måste dock både användarens telefon och dator vara infekterade. Dessvärre har bedragarna kommit på en ännu enklare variant och tillverkat en falsk app som stjäl alla inloggningsuppgifter på en och samma gång.
- Den skadliga programvaran riktar sig mot välkända finansiella institutioner och utger sig för att vara en så kallad token generator. Det ändrar sig efter den aktuella banken och använder dess färger och logotyp, vilket gör det ännu mer trovärdigt för offret, varnar Carlos Castillo som är säkerhetsforskare på Mcafee.
När appen körs startar en html5/javascript-sida som anpassar sig efter "din" banks sida. När offret skriver in sin kod genereras en falsk token samtidigt som användarens lösenord och andra uppgifter skickas vidare till en server som definierats i den falska appens konfigurationsfil.
Trojanen stjäl också alla användarens kontakter, vilket banar väg för att sprida attackerna vidare. Säkerhetsexperter tror att nätkriminella som använt sig av Zeus lyckats stjäla tiotals miljoner av bankkunder världen sedan 2010.
