Összefoglaló
Egyre aggresszívebbek az Androidon futó kártékony programok. A legutóbb felfedezett kártevő akkor is feltelepül az okostelefonunkra, ha rányomunk a telepítést elutasító gombra.
A Lookout biztonsági cég olyan trójai vírusként működő reklámprogramokra (adware) hívja fel a figyelmet, amelyek népszerű alkalmazásként álcázzák magukat (Candy Crush, Facebook, GoogleNow, Twitter, SnapChat, WhatsApp és sok más). A telepítésükkor automatikusan, a felhasználó tudta nélkül rootolják a mobil eszközt, rendszer alkalmazásként ágyazva be magukat, amelyet aztán szinte lehetetlen eltávolítani. Ugyanis az egyszerű eltávolítás (uninstall) esetükben nem használható, így a pórul járt felhasználónak nincs más választása, mint a telefon gyártójával töröltetni a tárolót (a mobil alaphelyzetbe állítása nem segít a gondon) vagy egy új okostelefont vásárolni. A dolog érdekessége, hogy a Lookout megállapítása szerint az álcázásként használt appok jó része rendeltetésszerűen működik, miközben rosszindulatú tevékenységet is végez.
Leírás
Ahogy az általában lenni szokott, a fertőzött appokat a nem hivatalos alkalmazás áruházakból lehet összeszedni, és a rosszindulatú alkalmazások ugyanazokat a sérülékenységeket használják ki, mint a mobiltulajdonosok androidos eszközük rootolásakor. A Lookout kutatói három új adware – valójában trójai – családot fedeztek fel, amelyek több mint 20 ezer appba fészkelték be magukat, köztük az Okta kétfaktoros hitelesítést végző alkalmazásába. A többiekhez hasonlóan a Shuanet is rootolja a megfertőzött eszközt, és a rendszer könyvtárban rejtőzködik; a Kemoge, vagy más néven ShiftyBug ugyancsak rootolja a telefont, és egy másik alkalmazást telepít, míg a harmadik kártevőt Shedun vagy GhostPush néven azonosítják a biztonsági cégek. A trójaikkal a Google Play Áruház és lokalizált változatai legnépszerűbb appjait fertőzik meg a hackerek, amelyeket aztán a nem hivatalos alkalmazás áruházakba töltenek fel. A legtöbb fertőzést az Egyesült Államokban, Németországban, Iránban, Oroszországban, Indiában, Jamaicában, Szudánban, Brazíliában, Mexikóban és Indonéziában észlelték. A három kártevőcsalád egyes változatai 71-82 százalékban hasonló kódot tartalmaznak a Lookout kutatói szerint. Ráadásul a megtámadott eszköz rootolásához mindegyik ugyanazokat a nyilvánosan elérhető kihasználó kódokat veszi igénybe. A kutatók véleménye szerint az új típusú, trójaivá tett adware-ek idővel egyre fejlettebbek lesznek, jobban elrejtőznek majd, és lehetővé teszik további rosszindulatú programok számára, hogy olvasási és írási jogokat szerezzenek a megfertőzött eszközökön.
Megoldás
Az egyszerű uninstall esetükben nem használható, így a pórul járt felhasználónak nincs más választása, mint a telefon gyártójával töröltetni a tárolót (a mobil alaphelyzetbe állítása nem segít a gondon) vagy egy új okostelefont vásárolni.
Támadás típusa
Information disclosure (Információ/adat szivárgás)Manipulation of data
Security bypass (Biztonsági szabályok megkerülése)
System access (Rendszer hozzáférés)
Trójai
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: index.hu
Egyéb referencia: blog.lookout.com
Egyéb referencia: www.techtimes.com
Egyéb referencia: www.theinquirer.net
Egyéb referencia: arstechnica.com
