Játékprogramnak álcázott androidos vírusok

Kristóf Csaba, 2012. július 20., péntek 09:54, frissítve: péntek 09:57
Több tízezer okostelefon fertőződött meg az elmúlt napokban.

A mobil kártékony programok világában egyre gyakoribb esetnek számít, hogy a csalók jól ismert, legális alkalmazásoknak tüntetik fel a nemkívánatos szoftvereiket, amelyekkel aztán különböző módokon okoznak károkat. Vagy adatokat igyekeznek megkaparintani a megfertőzött okostelefonokról, táblagépekről, vagy emelt díjas SMS-ek küldözgetésével apasztják a felhasználók pénztárcáját. Mindeközben megfigyelhető, hogy a mobil károkozók készítői - hasonlóan a Windows-os vírusok terjesztőihez - mindent elkövetnek annak érdekében, hogy a különböző védelmi vonalakon átjuttassák a nemkívánatos szerzeményeiket. A Symantec kutatói által felfedezett egyik legújabb mobil kártevő is meglehetősen hatásosan tudott átjutni a Google által felhúzott védelmi akadályokon.

Irfan Asrar, a Symantec biztonsági kutatója még a múlt héten két érdekes alkalmazásra lett figyelmes. Ezek első ránézésre egy-egy játékprogramnak tűntek, azonban a valóságban nem szórakoztatási, hanem károkozási céllal kerültek fel a Google hivatalos weboldalára. A kártékony kód készítői ezúttal "Super Mario Bros", illetve "GTA 3 - Moscow city" néven terjesztették az ártalmas programjukat.

Két fertőzési fázis

A játékprogramok segítségével terjesztett káros kód legfontosabb sajátossága, hogy az nem akkor került a készülékekre, amikor a felhasználó valamelyik játékot feltelepítette. Az első fertőzési fázis kizárólag arra szolgált, hogy a vírusterjesztők számára előkészítse terepet a valódi károkozáshoz. A játékprogramok egy Dropbox fiókhoz csatlakoztak, amelyből egy Activator.apk nevű csomagot töltöttek le, majd indítottak el. Amennyiben ez is feltelepült az adott készülékre, akkor azonnal emelt díjas SMS-ek küldözgetésébe fogott. Az üzeneteket elsősorban különböző kelet-európai országokban bejegyzett telefonszámokra juttatta el. Amikor pedig végzett e feladatával, akkor az SMS-ezésre alkalmas és gyanakvásra okot adható összetevőjét egész egyszerűen eltávolította a mobilokról.

Forrás: Symantec

Irfan Asrar szerint mindkét játékprogramnak álcázott alkalmazás június 24-én került be a Google Play rendszerébe, és azóta mindenki számára letölthetőek voltak. A Google statisztikái azt mutatják, hogy a vírusterjesztők trükkje sok felhasználót megtévesztett, hiszen a nemkívánatos programok az elmúlt hetekben 50-100 ezer letöltést generáltak. A legaggasztóbb tény azonban az, hogy a Google által alkalmazott, kártékony kódok kiszűrése céljából kifejlesztett Bouncer rendszer semmit nem vett észre abból, hogy a két játékprogrammal valami nincs rendben. A Bouncer egy emulált környezetben vizsgálja meg a Google Play-re feltöltött szoftvereket, és azokat többek között viselkedésalapú elemzésnek veti alá. Ez esetben azonban nem talált semmi gyanúsat.

Forrás: Symantec

A biztonsági kutató szerint nem véletlen, hogy a vírusírók kétlépcsős fertőzési megoldásokban gondolkodnak. Hasonló technikákkal már 2011-ben is próbálkoztak annak érdekében, hogy meg tudják téveszteni a védelmi rendszereket, illetve a felhasználókat. A telefonok tulajdonosai ugyanis úgy gondolhatják, hogy ha a Google Play-ről töltik le az alkalmazásokat, akkor utána már nem történhet baj. Ráadásul, amikor a készülékekre felkerülnek a tényleges károkozást végző kódok, akkor már további jogosultságok megadására sincs szükség. Vagyis figyelmeztető ablak sem jelenik meg. A Google védelmi rendszere pedig azért nem tud igazán hatékonyan fellépni, mert az első fertőzési fázisban résztvevő alkalmazás tulajdonképpen nem végez különösebben gyanús tevékenységet azon kívül, hogy néha-néha letölt egy fájlt.

A Symantec a két nemkívánatos program felfedezését és vizsgálatát követően azonnal értesítette a Google biztonsági csapatát, amely rövid időn belül eltávolította a két játékprogramnak álcázott károkozót.

hirdetés
Legolvasottabb
Legfrissebb
  1. 1
  2. 2
  3. 3
  4. 4
  5. 5
  6. 6
  7. 7
  8. 8
  9. 9
  10. 10
  11. 11
  12. 12
  13. 13
  14. 14
  15. 15
  16. 16
  17. 17
  18. 18
  19. 19
  20. 20
  21. 21
  22. 22
  23. 23
  24. 24
  25. 25
  26. 26
  27. 27
  28. 28
  29. 29
  30. 30
  31. 31
  32. 32
  33. 33
  34. 34
  35. 35
  36. 36
  37. 37
  38. 38
  39. 39
  40. 40
  41. 41
  42. 42
  43. 43
  44. 44
  45. 45
  46. 46
  47. 47
  48. 48
  49. 49
  50. 50
hirdetés