Um falso aplicativo de segurança para Android recentemente descoberto é um possível componente móvel do vírus bancário Zeus, afirmaram pesquisadores do Kaspersky Lab.
Chamado de Android Security Suite Premium (ou Suite de Segurança Android Premium, em tradução livre), o app é capaz de roubar mensagens SMS e enviá-las a um servidor remoto. Quando carregado, exibe uma imagem de um escudo que, por muito tempo, foi associado a programas de falsos antivírus do Windows, conhecidos por FakeAV ou scareware.
##RECOMENDA##
"Como eu poderia me esquecer de um logo tão identificável", disse o analista de pesquisa de malwares da empresa de antivírus Webroot, Nathan Collier, em um post sobre a nova ameaça. "Agora que os desenvolvedores do popular malware FakeAV entraram no mundo da mobilidade, esperamos ver muitas outras variações como essa."
No entanto, esse pode não ser um scareware móvel, mas uma nova variante do ZitMo - o Zeus dos dispositivos móveis, afirmou um analista sênior de malware da Kaspersky Lab, Denis Maslennikov.
Zitmo é um app malicioso que atinge dispositivos móveis e é utilizado por cibercriminosos em conjunto com o trojan Zeus, com o objetivo de roubar dinheiro de contas bancárias online. Ele apareceu em 2010, como uma resposta às medidas de segurança que bancos online tomaram para proteger usuários.
O propósito dele é roubar números para autorização de transações online enviados pelos bancos aos seus clientes via SMS. Sem esses números, os crackers não seriam capazes de autorizar transações iniciadas com credenciais roubadas.
Segundo Maslennikov, o registro de informações para o domínio onde o Android Security Suite Premium envia as mensagens de SMS roubadas corresponde com o registro de informações de 2011 do domínio de comando-e-controle do Zeus. Isso, juntamente com a funcionalidade do aplicativo de roubo de SMS, é provavelmente a nova versão do ZitMo.
Maslennikov afirma ainda que, mesmo o aplicativo exibindo um código de ativação quando aberto, ele não mostra alertas falsos de segurança e não pede dinheiro aos usuários, como scarewares fazem. "Não é um falso AV - 100%"
Pesquisadores da Kaspersky ainda estão analisando como o app malicioso está sendo distribuído. Maslennikov diz que é possível que, como na versão anterior do ZitMo, estão utilizando engenharia social para persuadir vítimas a baixá-lo.
O vírus de computador Zeus tem a habilidade de injetar pop-ups em sites de bancos online quando estes são abertos em computadores infectados. Essa funcionalidade foi utilizada no passado, para distribuir o ZitMo como atualização de segurança de bancos alvos.
De um jeito parecido, o Android Security Suite Premium poderá ser anunciado como um produto de segurança gratuito para Android, oferecido às vítimas bancárias.
Como foi recomendado por pesquisadores no passado, usuários não devem apenas instalar apps Android baixados do site oficial, o Google Play, mas também se manter informado sobre o aplicativo e baixar estatísticas que determinam se ele é confiável.