![[Бизнес-смартфоны BlackBerry] - Бизнес-смартфоны BlackBerry](https://blog.allblackberry.ru/wp-content/uploads/2022/01/EL-Clean-Final.jpg "[Бизнес-смартфоны BlackBerry]")
По сообщению "Лаборатории Касперского", обнаружен образец вредоносного кода для устройств BlackBerry, которым до последнего времени удавалось оставаться в стороне от вирусных эпидемий.
Речь идёт о мобильной версии ZeuS-in-the-Mobile (ZitMo), которая загружается на мобильные телефоны пользователей, чьи персональные компьютеры поражены обычной версией ZeuS, подробнее о механизме заражения можно прочитать здесь. Впервые ZitMo был обнаружен 25 сентября 2010 года, то есть почти два года назад, но с тех пор он проявляет себя крайне вяло, участвуя только в таргетированных атаках. Ситуация не изменилась: нынешняя модификация для Blackberry тоже не предназначена для массового распространения, а рассылается только в виде отдельных SMS на телефоны тех, чьи номера обнаружены при заражении стандартной версией ZeuS. Им предлагают установить на телефон программу Zertificat, это и есть дроппер ZitMo.
Смартфоны BlackBerry пользуются популярностью у бизнесменов в Америке и Западной Европе, так что чисто логически можно понять, почему злоумышленники обратили внимание на эту платформу.
"Лаборатории Касперского" получила пять новых сэмплов ZitMo, в том числе один для Android и четыре для BlackBerry: три cod-файла и один jar-файл, содержащий внутри еще один cod-файл. Таким образом, можно констатировать появление первого дроппера ZitMo для Blackberry.
Все известные варианты ZitMo нацелены на пользователей европейских стран, новые образцы не стали исключением. Вот список стран, вместе с C&C номерами из файлов.
Германия +46769436094
Испания +46769436073
Италия +46769436073
Испания +46769436073
Оба телефонных номера принадлежат шведскому сотовому оператору Tele2.
Денис Масленников -эксперт "Лаборатории Касперского"
Анализ новых файлов ZitMo для Blackberry показал, что существенных изменений не произошло. Вирусописатели наконец-то исправили орфографическую ошибку во фразе "App Instaled OK", которая отправляется в SMS-сообщении на C&C номер сразу же после успешного заражения. Вместо команд 'BLOCK ON' и 'BLOCK OFF' (включение/отключение блокировки звонков) теперь есть команды 'BLOCK' и 'UNBLOCK' с тем же функционалом. Другие команды, получаемые через SMS, остались такими же.
Полный список команд можно найти здесь. Эксперт обращает внимание на новый образец ZitMo для Android, там в apk-дроппере находится самоподписанный сертификат CERT.RSA с началом срока действия 19 июля 2012 года. Из этого можно сделать вывод, что новый вариант вредоносного приложения под Android разработан менее месяца назад.
Источник: Хакер Online
