Ha sido descubierta (http://securityblog.s21sec.com/2010/09/zeus-mitmo-man-in-mobile-i.html)una nueva y muy interesante versión de Zeus que, brevemente, hace lo siguiente:

- Roba el usuario y password de la Banca Electrónica.
- Pide la tarjeta de coordenadas completa.
- [nuevo] Le pide al usuario el número y modelo de teléfono móvil.
- [nuevo] Dependiendo del modelo, le envían un SMS a la víctima con un link desde donde puede bajarse el software para actualizar su móvil.
- [nuevo] Infecta el móvil, controlando todos los SMS de entrada y salida.

Así pues, cuando el malo hace una transferencia y el banco envía un SMS a la víctima para validarla, dicho mensaje es interceptado y desviado, con lo cual se salta por completo este sistema de seguridad, que hasta hoy era considerado tan barato como efectivo.

Todavía está por ver qué medidas implementan los bancos para evitar este nuevo ataque. En principio, la alternativa más segura sería usar otro tipo de token, por ejemplo el DNI electrónico, pero esto no es tan fácil en la práctica. También son posibles otras ideas, como pedir una llamada telefónica para validar la transferencia, pero tampoco es fácil si el usuario está de vacaciones en Egipto y tiene la cobertura justita como para enviar un SMS ...

Por otro lado, confiar en la securización de los móviles es un tanto ingenuo. ¿Es que alguien le aplica a su móvil parches de seguridad?

Veremos qué sucede ...

Mas info: http://securityblog.s21sec.com/2010/09/zeus-mitmo-man-in-mobile-i.html


Publicado por eduardo en http://hacking-avanzado.blogspot.com/2010/10/man-in-mobile.html