Powszechną praktyką jest, że niektóre banki wysyłają swoim klientom SMS-y, aby potwierdzić ich tożsamość w trakcie przeprowadzania transakcji internetowych (w uzupełnieniu do loginu, hasła, kodu klienta itp.). Kiedy klient rozpoczyna transakcję internetową (dokonywaną za pośrednictwem strony WWW banku), kod uwierzytelniający jest automatycznie wysyłany przez SMS-a bezpośrednio na telefon komórkowy klienta. Aby potwierdzić transakcję, klient musi wprowadzić otrzymany kod w formularzu internetowym na stronie WWW. Przenikając do telefonu komórkowego ofiary, Zitmo przechwytuje SMS-y wysyłane z banku, aby następnie potwierdzać transakcje internetowe zainicjowane na komputerze ofiary przez Trojana Zeus, bez wiedzy właściciela rachunku bankowego.

Axelle Apvrille, starszy analityk i specjalista ds. badań zagrożeń mobilnych w laboratoriach FortiGuard opisuje na swoim blogu przebieg ataku. Apvrille wyjaśnia w jaki sposób Zeus:

• przechwytuje login i hasło dostępu do systemu bankowości elektronicznej z poziomu komputera ofiary,
• zdobywa numer telefonu komórkowego ofiary instalując złośliwy formularz w przeglądarce ofiary,
• wysyła SMS-a z linkiem do „certyfikatu” niezbędnego do zainstalowania. Pobrany pakiet  zawiera Zimto, czyli mobilną wersję trojana Zeus.

Po zakończeniu instalacji przez ofiarę, cyberprzestępcy, którzy kontrolują działanie trojana Zeus, mają możliwość inicjowania transakcji z poziomu rachunku bankowego ofiary i potwierdzania ich przechwytując SMS-y wysyłane przez bank na jej telefon komórkowy.

Więcej o wirusie:

http://blog.fortinet.com/zeus-in-the-mobile-zitmo-online-bankings-two-factor-authentication-defeated/

http://blog.fortinet.com/zitmo-follow-up-from-spyware-to-malware/