Trojan ZeuS dla Androida powraca i udaje program antywirusowy

Kaspersky Lab informuje o wykryciu nowego szkodliwego programu dla systemu Android, ukrywaj膮cego si臋 pod postaci膮 aplikacji bezpiecze艅stwa o nazwie "Android Security Suite Premium". Trojan jest w rzeczywisto艣ci now膮 wersj膮 nies艂awnego ZeuSa, kt贸ry przechwytuje SMS-y docieraj膮ce do zainfekowanego smartfonu i wysy艂a je do cyberprzest臋pc贸w.

W pierwszej po艂owie czerwca 2012 r. analitycy z Kaspersky Lab natrafili na 3 pliki APK (format plik贸w instaluj膮cych aplikacje w systemie Android) o rozmiarze oko艂o 207 KB. Wszystkie zosta艂y wykryte przez silnik antywirusowy Kaspersky Lab jako szpieguj膮cy ko艅 troja艅ski Trojan-Spy.AndroidOS.Zitmo.a. Warto w tym momencie przypomnie膰, 偶e ZitMo (ZeuS in the Mobile) to nazwa wersji trojana ZeuS przygotowana przez cyberprzest臋pc贸w do infekowania smartfon贸w.

Podobnie jak znany ju偶 mobilny ZeuS, wszystkie nowo wykryte aplikacje maj膮 za zadanie przechwytywa膰 wiadomo艣ci SMS docieraj膮ce do zainfekowanych telefon贸w. Dzi臋ki takiej funkcji cyberprzest臋pcy mog膮 wykrada膰 - mi臋dzy innymi - kody jednorazowe wysy艂ane przez banki w celu umo偶liwienia klientom potwierdzania operacji wykonywanych na kontach bakowych przez internet. Przechwycone wiadomo艣ci SMS s膮 wysy艂ane na zdalny serwer, kt贸rego adres jest zaszyfrowany i przechowywany wewn膮trz kodu trojana.

Podczas dalszej analizy eksperci natrafili na kolejne trzy pliki APK o dok艂adnie tej samej funkcjonalno艣ci. Zatem, w sumie istnieje przynajmniej 6 plik贸w, kt贸re podszywaj膮 si臋 pod aplikacj臋 "Android Security Suite Premium", a w rzeczywisto艣ci maj膮 za zadanie wy艂膮cznie wykrada膰 przychodz膮ce wiadomo艣ci SMS.

Gdy u偶ytkownik zainstaluje trojana, w menu smartfonu pojawia si臋 ikona niebieskiej tarczy z podpisem "Android Security Suite Premium":



Je偶eli aplikacja zostanie uruchomiona, na ekranie smartfonu pojawi si臋 wygenerowany "kod aktywacyjny":



Dalsze dzia艂anie aplikacji jest ju偶 niewidoczne dla u偶ytkownika. Warto wspomnie膰, 偶e nowe szkodliwe aplikacje mog膮 otrzymywa膰 zdalne polecenia usuwania si臋 z zainfekowanego smartfonu, kradzie偶y informacji o systemie oraz w艂膮czania/wy艂膮czania innych niebezpiecznych program贸w.

"Szczeg贸艂owa analiza wykaza艂a, 偶e kilka domen wykorzystywanych przez cyberprzest臋pcze serwery kontroluj膮ce nowy szkodliwy program zarejestrowano przy u偶yciu tych samych sfa艂szowanych danych, kt贸rych u偶yto podczas tworzenia infrastruktury dla trojana ZeuS ju偶 w 2011 r." - komentuje Denis Maslennikow, ekspert z Kaspersky Lab. "Ponadto, funkcjonalno艣膰 nowego trojana jest niemal identyczna jak w przypadku znanego ju偶 ZeuSa. Podsumowuj膮c, 'Android Security Suite Premium' jest now膮 wersj膮 jednego z najbardziej niebezpiecznych zagro偶e艅 mobilnych, jakie pojawi艂o si臋 do tej pory".

殴ród艂o:
Kaspersky Lab