Vanja Svajcer, a SophosLabs víruskutatója, a Sophos NakedSecurity blogból
A hírhedt Zeus kártevő (másnéven Zbot) Symbian, Windows Mobile és Blackberry moduljai már hónapok óta ismertek, és egyértelművé vált, hogy a Zeus banda igencsak érdekelt a mobil platformokra történő kártevő fejlesztésben.
Egészen mostanáig azonban nem láttuk bizonyítékát, hogy a Zeus Android vagy iOS (iPhone/iPad) eszközök tulajdonosait célozta volna meg.
Ez a tény számunkra eléggé meglepő volt, figyelembe véve az Android és iOS platformok népszerűségét és főleg a Google Android operációs rendszerre írt kártevők egyre növekvő elterjedését.
Az elmúlt néhány napban azonban elég sok beszélgetés folyt a mobil kártevő analizáló levelezési listákon a Zeus Androidos verziójáról.
Végül arra a következtetésre jutottunk, hogy ez egy olyan kártékony alkalmazás volt, amelyet a Sophos termékei Andr/SMSRep-B néven már 2011 május 31.-e óta észlelnek.
A kártékony alkalmazás a Trusteer Rapport banki biztonsági segédeszköz Androidos verziójának mutatja magát, és a Google Android operációs rendszert futtató eszközöknek szolgálja fel magát egy olyan webszerver által, amelyet a Zbot kártevő több platformra történő eljuttatására állítottak fel.
Mindezek után nem volt nehéz összekapcsolni az Android alkalmazást a Zeus segédeszközzel, habár nem tudtuk 100%-osan kikövetkeztetni, hogy volt kapcsolat.
A telepített alkalmazás egy ellopott Rapport ikont használ és egy egyszerű képernyőt mutat, amikor az érintett eszközön elindítják.
A hamis Rapport alkalmazás regisztrál egy Broadcast fogadót, amely az összes fogadott SMS üzenetet elfogja és továbbítja azokat egy rosszindulatú webszerverre, HTTP POST kérések használatával. Az ellopott SMS üzeneteket egy JSON titkosító séma használatával titkosítja, amelyet különböző webszolgálatások használnak előszeretettel.
Habár az alkalmazást egyértelműen SMS üzenetek tartalmának ellopására tervezték, nem túlságosan kifinomult.
Éppen emiatt sem lehetünk 100%-ig biztosak abban, hogy ez a Zeus csomag része. Az irányító és ellenőrző szerver URL-je megváltoztathatatlanul bele lett kódolva a forráskódba, például emiatt is az alkalmazás igencsak rugalmatlannak bizonyul egy alternatív szerverre történő telepítéshez.
Mindazonáltal ez a rosszindulatú Android alkalmazás érdekes, mivel a kémprogram képességet ötvözi az ál-vírusírtó szoftverek koncepciójával. Amint azt nemrégiben a Mac OS X világában is láthattuk, az ál-antivírus szoftverek az egyik legáltalánosabb módon adoptált eszközök a rosszindulatú hackerek támadásaiban.
Végsősoron továbbra is kétséges, hogy valójában a Zeus család része ez az alkalmazás, vagy sem.
Gyanítom, hogy csak a Zeus csomag fejlesztői tudják ezt biztosan. Sajnos nincs módom kapcsolatba lépni velük, és még ha meg is tenném, akkor sem hinném, hogy megerősítenék vagy elutasítanák ezt a teóriát.
További információ angol nyelven