Android Security Suite Premium = Nuevo ZitMo

El 4 de junio de 2012 nuestro motor detectó heurísticamente 3 archivos APK, de unos 207 kb cada uno, con el nombre de HEUR:Trojan-Spy.AndroidOS.Zitmo.a. Se trata de aplicaciones maliciosas diseñadas para robar mensajes SMS entrantes en dispositivos infectados. Los mensajes SMS se cargan en un servidor remoto cuya URL se codifica y guarda dentro del cuerpo del troyano. El 8, 13 y 14 de junio encontramos otros 3 archivos APK con la misma funcionalidad. Luego existen al menos 6 archivos que simulan ser ‘Android Security Suite Premium’, pero que en realidad se diseñaron para robar mensajes SMS entrantes.
Tras la infección aparece en el menú el icono de un escudo azul con el nombre de ‘Android Security Suite Premium’:

Si la aplicación se ejecuta, se generará un ‘código de activación’:

También es importante mencionar que estas aplicaciones maliciosas son capaces de recibir comandos para autodesinstalarse, robar información del sistema, y para activar/desactivar las aplicaciones maliciosas. Seamos honestos: esta funcionalidad (la habilidad de recibir y ejecutar instrucciones y de robar mensajes SMS) no es tan nueva entre los programas maliciosos móviles para Android. Pero se tenía la sensación de que había algo más detrás de estos archivos.

Encontramos 6 diferentes C&C en estos archivos APK. Son los siguientes:

• android*****.com
• android2u*****.com
• androidve*****.net
• android-s*****.net
• soft2u*****.com
• updatean*****.biz

Si intentamos un ‘whois’ en los primeros 5 dominios, no encontramos mucha información interesante o útil. Pero esto es lo que obtenemos cuando hacemos el ‘whois’ en el último dominio:

Sí, son datos falsos, pero si seguimos buscando con el navegador, por ejemplo, simonich@inbox.ru, encontraremos que existen otros dominios que se registraron en 2011 usando los mismos datos falsos. Por ejemplo, favoritopi*****.com, akteriak*****.com, basepol*****.com o justdongwf3*****.info. Todos estos dominios se encontraban en nuestra base de datos ZeuS C&C.
Entonces, hay un nuevo programa maliciosos para Android que roba mensajes SMS entrantes y los envía al servidor remoto. Uno de los dominios del servidor remoto se registró usando los mismo datos falsos que se usaron para registrar ZeuS C&Cs en 2011. Y la funcionalidad de este programa malicioso es similar a la de las antiguas muestras de ZitMo. Por lo tanto, ‘Android Security Suite Premium’ = Nuevo ZitMo.

Gracias a mis colegas Igor Soumenkov y Dmitry Tarakanov por su ayuda.