De nieuwe variant van ZeuS is specifiek gericht op rekeninghouders bij de Poolse tak van ING, ING Bank Śląski. Een gebruiker van wie het systeem is geïnfecteerd, wordt bij een bezoek doorverwezen naar een Poolstalige namaaksite.

Daar wordt gevraagd om username en wachtwoord, waarna de gebruiker opgezadeld wordt met een formulier waarin details als mobiele nummer en type telefoon worden gevraagd. De achterliggende smoes is daarbij dat ING een 'beveiligingscertificaat' naar het apparaat wil sturen. Uiteraard wordt geen certificaat gestuurd, maar malware die zich in de telefoon nestelt.

Vervolgens worden alle ontvangen sms'jes doorgestuurd naar een nummer van de ZeuS-controleur, zo schrijft de Poolse beveiligingsonderzoeker Piotr Konieczny op zijn weblog. “De gebruiker ziet niet eens meer dat hij een SMS'je heeft ontvangen”, aldus Konieczny.

De beveiliger schrijft dat Polen niet het eerste land is waar een dergelijke aanval de ronde doet. Tegen Webwereld zegt de Pool dat eerder een aantal pogingen zijn geweest op banken in West-Europa die op vergelijkbare manier werden uitgevoerd. Daaronder Banco Santander in Spanje en Citibank in Duitsland.

Symbian en Blackberry

Op dit moment zijn er twee versies van de mobiele malware in omloop, zo stelt Konieczny: eentje voor Blackberry (.jad) en eentje voor Symbian (.sis). De hacker concludeert dat de aanvallers daarmee een zo groot mogelijk publiek willen pakken. Symbian wordt immers gebruikt op Nokia-toestellen. Dat de iPhone niet wordt aangevallen, heeft volgens Konieczny te maken met de gecontroleerde omgeving van de AppStore, mits het apparaat niet gejailbreaked is.

Volgens de Poolse beveiliger waren banken in Polen niet erg bang voor de ZeuS-worm omdat de meeste banken systemen met Tancodes inzetten, vergelijkbaar met Nederlandse banken. Maar de nieuwe ZeuS-variant heeft duidelijk indruk gemaakt. Gebruikers die de bankierwebsite van ING Bank Śląski bezoeken, krijgen voordat ze inloggen een waarschuwing voor de nieuwe ZeuS-variant.

Met minieme aanpassingen ook naar Nederland

Omdat ook in Nederland Tan-systemen worden gebruikt, is het heel goed denkbaar dat er ook een ZeuS-variant voor Nederlandse klanten zal verschijnen, aldus Konieczny. “De aanvallers hoeven alleen maar een Nederlandstalige website na te bouwen. De aanpassingen aan de worm zelf zijn verder minimaal”, zo zegt Konieczny tegenover Webwereld.

Bovendien wordt het de aanvallers in Nederland net iets makkelijker gemaakt, omdat het wachtwoord hoe dan ook geheel ingevoerd dient te worden. De Poolse ING-site maakt gebruik van een wachtwoordmodel waarbij bij iedere login alleen om willekeurige letterposities gevraagd wordt. Wie bijvoorbeeld 'Amsterdam' als wachtwoord heeft, kan gevraagd worden om alleen de posities 2, 3, 6, 8 en 9 in te voeren (m, s, r, a, m) in te voeren. Dit in een poging keyloggers te omzeilen. De Nederlandse ING vraagt alleen om het gehele wachtwoord.

Volgens Konieczny zijn in verschillende West-Europese landen al dergelijke aanvalspatronen gezien, maar hij had geen lijst paraat waar precies. Wel kon hij met enige zekerheid zeggen dat Nederland hier nog niet tussen zat.

Update 11:40 uur: ING Nederland bevestigt de lezing van Konieczny dat in theorie een Nederlandse versie van de worm kan opduiken. "Onze veiligheidsexperts hadden deze variant al in het vizier en monitoren deze trojan actief. We hebben daarvoor ook zeer regelmatig contact met onze Poolse collega’s", zegt een woordvoerder van de bank in een reactie. "Vooralsnog hebben we geen indicatie dat er een versie voor Nederland in omloop is." Ook benadrukt de woordvoerder dat de Poolse ING geen meldingen heeft gehad van gedupeerde klanten.