New ZitMo: Android Security Suite Premium ~ Technolator Asia

Pada 4 Juni 2012 lalu, Kaspersky Lab menemukan 3 file APK dengan ukuran masing-masing 207 kb, dan terdeteksi sebagai HEUR:Trojan-Spy.AndroidOS.Zitmo.a. Semua aplikasi tersebut berbahaya dan diciptakan untuk mencuri SMS yang masuk dari perangkat yang terinfeksi. SMS tersebut akan di-upload ke remote server dengan URL terenkripsi dan disimpan di dalam tubuh Trojan.

Kasperksy kembali menemukan 3 APK dengan fungsi yang sama persis pada 8, 13, dan 14 Juni. Jadi, setidaknya ada 6 file yang berpura-pura menjadi “Android Security Suite Premium,’ namun sebenarnya diciptakan untuk mencuri SMS yang masuk.

Setelah terinfeksi, akan muncul icon perisai biru dengan nama “Android Security Suite Premium”:

Jika aplikasi tersebut dibuka, maka akan terlihat 'kode aktivasi' yang dihasilkan:

Hal penting lainnya adalah bahwa aplikasi berbahaya ini dapat menerima perintah untuk uninstall sendiri serta mencuri sistem informasi sekaligus mengaktifkan/menonaktifkan aplikasi tersebut.

Memang bukan hal baru ada fungsi dengan kemampuan menerima dan menjalankan perintah maupun mencuri pesan SMS pada mobile (Android) malware. Namun tetap saja, ada sesuatu yang perlu diwaspadai pada file-file tersebut. Enam file C&C yang berhasil ditemukan Kaspersky pada file APK tersebut, antara lain:

ü android*****.com

ü android2u*****.com

ü androidve*****.net

ü android-s*****.net

ü soft2u*****.com

ü updatean*****.biz

Jika Anda membuka kelima link yang pertama di atas, tidak akan banyak informasi menarik atau berguna yang ditemukan. Namun jika Anda membuka domain C&C yang terakhir, Anda akan menemukan sesuatu.

Itulah data palsu yang dimaksud. Jika Anda terus menelusuri dengan Google, misalnya simonich@inbox.ru Anda akan menemukan lebih banyak domain yang didaftarkan kemabli tahun 2011 dengan menggunakan data palsu yang sama. Contohnya favoritopi ***** com, Akteriak ***** com, Basepol ***** com atau justdongwf3 *****.Info. Semua domain ini ditemukan oleh Kaspersky di ZeuS C & C database.

“Jadi, ada bagian baru dari malware Android yang mencuri pesan SMS yang masuk dan upload ke server remote. Salah satu domain remote server tersebut telah didaftarkan menggunakan data palsu yang sama yang digunakan untuk mendaftar ZeuS C & C pada tahun 2011. Dan, fungsi malware adalah hampir sama dalam sampel ZitMo tua. Oleh karena itu, kami menyebut 'Android Premium Security Suite' sebagai New ZitMo,” kata Denis Maslennikov, Senior Malware Analyst Kaspersky Lab.

Detail lebih jauh mengenai penyelidikan ini bisa didapatkan melalui artikel di http://www.securelist.com/en/blog/208193604/Android_Security_Suite_Premium_New_ZitMo.

[Technolator Asia]