Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Android Security Suite Premium = Nowy ZitMo

Denis Maslennikow
Kaspersky Lab Expert
Dodany 19 czerwca 2012, 12:07 CEST
Tagi:

4 czerwca 2012 r. znaleźliśmy 3 pliki APK o rozmiarze około 207 kb – wszystkie zostały wykryte heurystycznie przez nasz silnik jako HEUR:Trojan-Spy.AndroidOS.Zitmo.a. Wszystkie te aplikacje są szkodliwe i zostały stworzone w celu kradzieży przychodzących wiadomości SMS z zainfekowanych urządzeń. Wiadomości te są wysyłane na zdalny serwer, którego adres URL jest zaszyfrowany i przechowywany wewnątrz ciała trojana. 3 kolejne pliki APK o dokładnie tej samej funkcjonalności znaleźliśmy 8, 13 i 14 czerwca. Tak więc w sumie istnieje co najmniej 6 plików, które podszywają się pod „Android Security Suite Premium”, w rzeczywistości jednak zostały stworzone wyłącznie w celu kradzieży przychodzących wiadomości SMS.

Po infekcji w menu pojawia się ikonka niebieskiej tarczy z nazwą „Android Security Suite Premium”:

Jeżeli aplikacja zostanie uruchomiona, wyświetli się wygenerowany „kod aktywacyjny”:

Warto wspomnieć, że te szkodliwe aplikacje potrafią otrzymywać polecenia odinstalowania się, kradzieży informacji o systemie oraz włączenia/wyłączenia szkodliwych aplikacji. Wprawdzie funkcjonalność ta (możliwość otrzymywania i wykonywania poleceń oraz kradzieży wiadomości SMS) nie jest niczym nowym w przypadku mobilnego szkodliwego oprogramowania, miałem jednak przeczucie, że za tymi plikami kryje się coś więcej.

W plikach APK znaleźliśmy 6 różnych domen C&C. Oto ich lista:

  • android*****.com
  • android2u*****.com
  • androidve*****.net
  • android-s*****.net
  • soft2u*****.com
  • updatean*****.biz

Próbując sprawdzić, do kogo należy 5 pierwszych domen, nie znajdziemy wielu interesujących czy użytecznych informacji. Jednak próba sprawdzenia ostatniej domeny C&C ujawni następujące dane:

Tak, dane te są fałszywe, jeśli jednak będziemy googlować dalej, wpisując np. simonich@inbox.ru, odkryjemy, że istnieje więcej domen, które zostały zarejestrowane w 2011 r. przy użyciu tych samych fałszywych danych. Na przykład: favoritopi*****.com, akteriak*****.com, basepol*****.com czy justdongwf3*****.info. Wszystkie te domeny figurowały w naszej bazie C&C ZeuSa.

A zatem pojawił się nowy szkodliwy program dla Androida, który kradnie przychodzące widomości SMS i wysyła je na zdalny serwer. Jedna z domen zdalnych serwerów została zarejestrowana przy użyciu tych samych fałszywych danych, których użyto do zarejestrowania domen ZeuSa w 2011 r. Co więcej, funkcjonalność tego szkodnika jest prawie taka sama jak stare próbki ZitMo. Dlatego „Android Security Suite Premium” = Nowy ZitMo.