L'application trouvée par les chercheurs de Kaspersky Lab s'appelle Android Security Suite Premium. Elle est capable de voler des SMS d'authentification de transaction bancaire et de les télécharger sur un serveur distant. Lors de son lancement, l'application affiche l'image d'un bouclier, longtemps associée à de faux programmes antivirus Windows connus également sous le nom FakeAV ou scareware. « Impossible d'oublier ce logo », a déclaré dans un blog Nathan Collier, analyste spécialisé de l'entreprise de sécurité Webroot. « Si les développeurs de FakeAV s'intéressent au monde mobile, il faut s'attendre à voir déferler beaucoup de variantes de ce malware », a t-il déclaré.
Cependant, selon Denis Maslennikov, analyste principal chez Kaspersky Lab, la fausse application découverte par les chercheurs ne serait pas l'équivalent d'un scareware mobile, mais une nouvelle variante de ZitMo - ou Zeus in the Mobile. Les malware de type ZitMo sont utilisés par les cybercriminels en association avec le cheval de Troie Zeus classique pour détourner de l'argent des comptes bancaires en ligne. L'objectif des malware ZitMo est de voler les numéros d'autorisation des transactions mobiles (mTANs) envoyés par les banques à leurs clients par SMS. Sans ces mTANs, les fraudeurs ne peuvent pas authentifier leurs transactions réalisées avec des informations d'identification volées. Selon Denis Maslennikov, « l'information d'enregistrement de noms de domaine vers lequel l'application Android Security Suite Premium télécharge les SMS volés correspond à celle des domaines de commande et de contrôle de Zeus en 2011 ». Le fait que l'application cherche à voler des SMS laisse penser qu'il s'agit probablement d'une nouvelle version de ZitMo.
Un malware plus efficace qu'un scareware
« Même si l'application affiche un code d'activation au moment de l'ouverture, elle n'envoie pas de fausses alertes de sécurité et ne demande pas d'argent aux utilisateurs, contrairement aux scareware », estime pour sa part le chercheur de Kaspersky Lab, qui se dit « sûr à 100% que ce n'est pas un FakeAV ». Les chercheurs de Kaspersky sont encore en train d'analyser la façon dont le malware est distribué. Il est possible que, comme pour les versions précédentes de ZitMo, les attaquants se servent de l'ingénierie sociale pour tromper les victimes et les inciter à télécharger la fausse suite antivirus », a ajouté Denis Maslennikov.
Le cheval de Troie Zeus qui sévit sur les machines de bureau a la capacité d'injecter des pop-ups dans les sites bancaires en ligne quand ils sont ouverts sur les ordinateurs infectés. Cette fonctionnalité a été utilisée dans le passé pour distribuer des applications ZitMo en les faisant passer pour des mises à jour de sécurité initiées par les banques ciblées. De façon similaire, l'antivirus Android Security Suite Premium pourrait être proposé comme un produit de sécurité gratuit offert par la banque de la victime.
Comme l'avaient recommandé les chercheurs en sécurité dans le passé, les utilisateurs ne doivent installer que des applications Android provenant du site officiel Google Play et doivent toujours jeter un oeil aux commentaires et aux statistiques de téléchargement afin d'apprécier si l'application est digne de confiance.