Usuarios que visitan el sitio con los dispositivos infectados son redirigidos a un sitio de phishing diseñado para la recolección de los datos de acceso de banca en línea, informa la BBC. ING Direct le comentó a la BBC que planea advertir a los usuarios de los ataques a través de su sitio web y mediante su call center.

Mikko Hypponen, jefe de investigaciones de F-Secure, dijo que la amenaza, en cualquier caso, había sido neutralizada. "Éste [el gusano] estaba dirigido a ING. Los sitios web que necesitaba para que esto funcione ahora se han retirado."

Analistas de anti-virus, aún en el proceso de análisis de malware, advierten que el ataque es un poco más complejo que un simple phishing y parece implicar un intento de arrebatar los mensajes SMS relacionados con las transacciones bancarias en línea.

Lo que está claro es que el "Duh" o gusano "Ikee-B", como el gusano "Ikee Rickrolling" anterior, explota una puerta trasera de SSH en equipos desbloqueados (jailbroken) para propagarse.

Parte del proceso de "jailbreak" del iPhone para permitir que el software no oficial pueda ser instalado, implica la instalación de SSH (Secure Shell) de acceso remoto. Los usuarios que pasan por esto, pero no cambian la contraseña de root del iPhone pueden dejar una puerta trasera abierta a los ataques.

Aunque "Duh" explota la puerta trasera SSH mismo que el gusano "Ikee" original, el malware es mucho más peligroso que su predecesor. "Duh" convierte dispositivos en una botnet bajo el control de los piratas informáticos no identificados. El gusano "Ikee Rickrolling", por el contrario, solo cambia fondos de escritorio de los usuarios a una imagen de la estrella de pop Rick Astley.

"Duh", además, busca a través de un rango de IP más amplio que "Ikee Rickrolling", que solamente afectaba a los usuarios de Optus en Australia. Incluye rangos de direcciones IP asignadas a las compañías en varios países, incluidos los Países Bajos, Portugal, Australia, Austria y Hungría. Todas las infecciones notificadas hasta ahora han ocurrido en los Países Bajos. El ataque salió a la luz después de que un ISP Holandes notó tráfico inusual y comenzó a investigar.

Como se informó anteriormente, los iPhone comprometidos quedan bajo el control de un servidor de red zombie en Lituania. "Duh" cambia la contraseña de root del iPhone permitiendo que los delincuentes puedan acceder a las unidades comprometidas y llevar a cabo otras acciones maliciosas.

Paul Ducklin investigador de SophosLabs utilizó una herramienta crackeo de contraseñas para descubrir los cambios (realizados por el malware) de contraseñas de root del iPhone de "alpine" a "ohshit".

Además de los dos gusanos de iPhone, un anterior ataque de hackeo/extorsión (dirigido a los usuarios del iPhone en los Países Bajos) también explota la contraseña por defecto de la puerta trasera de SSH en iPhones desbloqueados (jailbroken).

Los expertos en seguridad recomiendan a los usuarios de teléfonos desbloqueados (jailbroken) cambiar sus contraseñas de "alpine" de inmediato para evitar más ataques en la misma línea.

Fuente: The Register