W pierwszej połowie czerwca 2012 r. analitycy z Kaspersky Lab zidentyfikowali 6 plików APK (tj. plików instalujących aplikacje w systemie Android), które podszywają się pod aplikację Android Security Suite Premium, a w rzeczywistości służą do wykradania SMS-ów. Przechwycone wiadomości są następnie wysyłane na zdalny serwer, którego adres jest zaszyfrowany i przechowywany wewnątrz kodu trojana.

Jeżeli popatrzymy na ZitMo, nie uwzględniając jego związku z klasycznym trojanem bankowym, atakującym systemy z rodziny Windows, zobaczymy zwykły program szpiegujący, zdolny do przesyłania wiadomości tekstowych - w sieci grasuje wiele podobnych. Warto jednak pamiętać, że nowa wersja (wykrywana jako Trojan-Spy.AndroidOS.Zitmo.a), tak jak poprzednie, aktywnie współpracuje ze swoim desktopowym odpowiednikiem, co pozwala cyberprzestępcom pokonać ostatnią barierę procesu autoryzacji w systemie bankowości internetowej.

Jak rozpoznać infekcję? Gdy użytkownik zainstaluje trojana, w menu smartfona pojawia się ikona niebieskiej tarczy z podpisem Android Security Suite Premium:

Jeżeli aplikacja zostanie uruchomiona, na ekranie wyświetli się wygenerowany przez nią „kod aktywacyjny”:

Dalsze działania aplikacji są już niewidoczne dla użytkownika. Jak podkreślają eksperci, jej „funkcjonalność” została znacznie rozszerzona w stosunku do wersji z zeszłego roku. Nowy ZitMo dla Androida może otrzymywać zdalne polecenia kradzieży informacji o systemie, usuwania się z zainfekowanego smartfona oraz włączania/wyłączania innych niebezpiecznych programów.

Uważni czytelnicy DI zapewne pamiętają, że istnieją też wersje ZitMo atakujące inne platformy mobilne, takie jak Symbian, Windows Mobile i BlackBerry. O działaniu tych trojanów i możliwości pozbycia się ich z zainfekowanych telefonów można przeczytać w linkowanym niżej artykule.

Czytaj więcej: Zeus ciska piorunami w klientów polskich banków

Przy okazji warto też wspomnieć o SpitMo, mobilnym „rozszerzeniu” trojana SpyEye, który w odróżnieniu od ZeuSa, ukierunkowanego raczej na państwa zachodnie, dość mocno upodobał sobie Polaków. Nie stworzył wprawdzie wielkiej sieci komputerów zombie, ale uwagę ekspertów do siebie przyciągnął. Dopatrzyli się oni podobieństw w kodzie źródłowym obu zagrożeń, co pozwoliło im wyciągnąć wniosek, że SpyEye może być ulepszoną wersją ZeuSa - zob. SpyEye (ponownie) atakuje polskich internautów.