Die ersten drei Exemplare einer vorgeblichen Sicherheits-App namens “Android Security Suite Premium” haben die Malware-Analysten bei Kaspersky Lab bereits Anfang dieses Monats entdeckt. Mitte Juni sind weitere drei hinzu gekommen, bei denen es sich ebenfalls um etwa 207 KB große APK-Dateien (Android Installationspakete) handelt. Wie der Malware-Forscher Denis Maslennikov im Kaspersky-Blog SecureList berichtet, wurden die Dateien heuristisch als “HEUR:Trojan-Spy.AndroidOS.Zitmo.a” erkannt.
Dabei handelt es sich um die Mobilversion des bekannten Schädlings Zeus (ZitMo: Zeus-in-the-Mobile). Auf damit infizierten Android-Geräten leitet der Schädling ankommende SMS an einen Kommando-Server der Online-Kriminellen weiter. Die Täter haben es auf verwertbare Daten abgesehen, etwa eine mTAN fürs Online-Banking oder Passwörter. Manche Dienste versenden diese per SMS, wenn der Kontoeigner sein Passwort zurücksetzen lässt, weil er es vergessen hat.
Jede der neuen ZitMo-Varianten schickt die Daten an einen anderen Server mit einer anderen Domain. Diese Domains sind zum Teil mit bereits bekannten erfundenen Personenangaben registriert. Weitere Domains, die bereits früher mit den gleichen falschen Daten registriert wurden, stehen allesamt in der Liste der bekannten Zeus-Domains. Deshalb und wegen der mit älteren ZitMo-Versionen nahezu identischen Funktionsweise lautet der nahe liegende Schluss der Malware-Forscher: bei der “Android Security Suite Premium” handelt es sich um eine neue Variante des Schädlings ZitMo.