Játékprogramnak álcázott androidos vírusok

Kristóf Csaba

2012. július 20., péntek 09:54, frissítve: péntek 09:57

Több tízezer okostelefon fertőződött meg az elmúlt napokban.

A mobil kártékony programok világában egyre gyakoribb esetnek számít, hogy a csalók jól ismert, legális alkalmazásoknak tüntetik fel a nemkívánatos szoftvereiket, amelyekkel aztán különböző módokon okoznak károkat. Vagy adatokat igyekeznek megkaparintani a megfertőzött okostelefonokról, táblagépekről, vagy emelt díjas SMS-ek küldözgetésével apasztják a felhasználók pénztárcáját. Mindeközben megfigyelhető, hogy a mobil károkozók készítői - hasonlóan a Windows-os vírusok terjesztőihez - mindent elkövetnek annak érdekében, hogy a különböző védelmi vonalakon átjuttassák a nemkívánatos szerzeményeiket. A Symantec kutatói által felfedezett egyik legújabb mobil kártevő is meglehetősen hatásosan tudott átjutni a Google által felhúzott védelmi akadályokon.

Irfan Asrar, a Symantec biztonsági kutatója még a múlt héten két érdekes alkalmazásra lett figyelmes. Ezek első ránézésre egy-egy játékprogramnak tűntek, azonban a valóságban nem szórakoztatási, hanem károkozási céllal kerültek fel a Google hivatalos weboldalára. A kártékony kód készítői ezúttal "Super Mario Bros", illetve "GTA 3 - Moscow city" néven terjesztették az ártalmas programjukat.

Két fertőzési fázis

A játékprogramok segítségével terjesztett káros kód legfontosabb sajátossága, hogy az nem akkor került a készülékekre, amikor a felhasználó valamelyik játékot feltelepítette. Az első fertőzési fázis kizárólag arra szolgált, hogy a vírusterjesztők számára előkészítse terepet a valódi károkozáshoz. A játékprogramok egy Dropbox fiókhoz csatlakoztak, amelyből egy Activator.apk nevű csomagot töltöttek le, majd indítottak el. Amennyiben ez is feltelepült az adott készülékre, akkor azonnal emelt díjas SMS-ek küldözgetésébe fogott. Az üzeneteket elsősorban különböző kelet-európai országokban bejegyzett telefonszámokra juttatta el. Amikor pedig végzett e feladatával, akkor az SMS-ezésre alkalmas és gyanakvásra okot adható összetevőjét egész egyszerűen eltávolította a mobilokról.

Forrás: Symantec

Irfan Asrar szerint mindkét játékprogramnak álcázott alkalmazás június 24-én került be a Google Play rendszerébe, és azóta mindenki számára letölthetőek voltak. A Google statisztikái azt mutatják, hogy a vírusterjesztők trükkje sok felhasználót megtévesztett, hiszen a nemkívánatos programok az elmúlt hetekben 50-100 ezer letöltést generáltak. A legaggasztóbb tény azonban az, hogy a Google által alkalmazott, kártékony kódok kiszűrése céljából kifejlesztett Bouncer rendszer semmit nem vett észre abból, hogy a két játékprogrammal valami nincs rendben. A Bouncer egy emulált környezetben vizsgálja meg a Google Play-re feltöltött szoftvereket, és azokat többek között viselkedésalapú elemzésnek veti alá. Ez esetben azonban nem talált semmi gyanúsat.

Forrás: Symantec

A biztonsági kutató szerint nem véletlen, hogy a vírusírók kétlépcsős fertőzési megoldásokban gondolkodnak. Hasonló technikákkal már 2011-ben is próbálkoztak annak érdekében, hogy meg tudják téveszteni a védelmi rendszereket, illetve a felhasználókat. A telefonok tulajdonosai ugyanis úgy gondolhatják, hogy ha a Google Play-ről töltik le az alkalmazásokat, akkor utána már nem történhet baj. Ráadásul, amikor a készülékekre felkerülnek a tényleges károkozást végző kódok, akkor már további jogosultságok megadására sincs szükség. Vagyis figyelmeztető ablak sem jelenik meg. A Google védelmi rendszere pedig azért nem tud igazán hatékonyan fellépni, mert az első fertőzési fázisban résztvevő alkalmazás tulajdonképpen nem végez különösebben gyanús tevékenységet azon kívül, hogy néha-néha letölt egy fájlt.

A Symantec a két nemkívánatos program felfedezését és vizsgálatát követően azonnal értesítette a Google biztonsági csapatát, amely rövid időn belül eltávolította a két játékprogramnak álcázott károkozót.

A szerkesztő ajánlja

Vég Márton

Az Iraki Kurdisztánból származó negyvenéves Ismael jól érzi magát Magyarországon

A vámosszabadi befogadóállomáson élő férfi egy kicsit beszél magyarul, és nem akar továbbutazni Németország felé. Riport.

Pethő Tibor

Jolika, az ÁVH keblein nevelkedett, gépírónőből lett belügyes nagyasszony

Császárné Lábass Jolán jelképpé nemesült. A képmutatás, a szembenézés kudarcának jelképévé.

Favero-Fürjész Judit Éva

80 éves Adriano Celentano, aki nem fél a politikától

„Ma mindenki fél a szavaktól, csak olyan dolgokat lehet mondani, amelyek senkit nem zavarnak” – vallja a népszerű olasz énekes-színész.

Lukács Csaba

Sokkoló képek Venezuelából, a buszsofőrből lett baloldali vezér hazájából

A caracasi magyarok naponta küldik az ijesztőnél ijesztőbb híreket az árak és a dollárárfolyam alakulásáról.