Een nieuwe variant van de Zitmo trojan infecteert telefoons met Android. De trojan onderschept sms-berichten met TAN-codes, die worden gebruikt door ING-klanten.
Een Android-variant van de beruchte trojan Zitmo steelt TAN-codes die banken als ING via een sms'je naar een telefoon sturen. Door deze beveiligingscodes af te tappen, kunnen cybercriminelen geld stelen van argeloze slachtoffers. Daardoor is de tweetrapsauthenticatie van ING in feite gekraakt.
Tweetrapsauthenticatie die bestaat uit een gebruikersnaam en wachtwoord en een latere controle via een TAN-code wordt door verschillende banken gebruikt. Gebruikers kunnen door die beveiliging in principe geen geld kwijtraken als alleen hun wachtwoord en gebruikersnaam gestolen worden door cybercriminelen.
Het lijkt onwaarschijnlijk dat criminelen ook de hand weten te leggen op al die gegevens. De trojan op Android kaapt immers wel de TAN-code maar niet de gebruikersnaam en het wachtwoord. Toch kunnen de criminelen achter de malware die wel te pakken krijgen. De Android Trojan werkt namelijk samen met het Windows-virus ZeuS.
Met behulp van die malware stelen de aanvallers sowieso de inloggegevens van het slachtoffer. Bovendien voegt deze variant van ZeuS daarnaast een formulier in op de website van de bank, waar de klant een telefoonnummer en het type mobiele telefoon moet invullen.
---
Was een computer niet veilig, een smartphone zal dat ook niet zijn.
Het echte probleem in dit geval is dat je met het ontvangen van de TAN SMS op een smartphone de aanvankelijk twee gescheiden communicatie kanalen, internet en GSM, in de smartphone weer samenvoegt en daarmee de veiligheid om zeep helpt.
Voor een crimineel is het waarschijnlijk onmogelijk om zich in het betalingsverkeer te mengen als de TAN-code naar een gewone GSM telefoon gestuurd wordt.
Ooit worden we nog wel eens zo slim om dit soort zaken geheel buiten een computer om te regelen, voorlopig echter wordt dit uit kosten overwegingen niet ingevoerd.