Shedun Android adware

CH azonosító

CH-12801

Angol cím

Android adware can install itself even when users explicitly reject it

Felfedezés dátuma

2015.11.22.

Súlyosság

Alacsony

Érintett rendszerek

Android

Érintett verziók

Android

Összefoglaló

Egyre aggresszívebbek az Androidon futó kártékony programok. A legutóbb felfedezett kártevő akkor is feltelepül az okostelefonunkra, ha rányomunk a telepítést elutasító gombra.

A Lookout biztonsági cég olyan trójai vírusként működő reklámprogramokra (adware) hívja fel a figyelmet, amelyek népszerű alkalmazásként álcázzák magukat (Candy Crush, Facebook, GoogleNow, Twitter, SnapChat, WhatsApp és sok más). A telepítésükkor automatikusan, a felhasználó tudta nélkül rootolják a mobil eszközt, rendszer alkalmazásként ágyazva be magukat, amelyet aztán szinte lehetetlen eltávolítani. Ugyanis az egyszerű eltávolítás (uninstall) esetükben nem használható, így a pórul járt felhasználónak nincs más választása, mint a telefon gyártójával töröltetni a tárolót (a mobil alaphelyzetbe állítása nem segít a gondon) vagy egy új okostelefont vásárolni. A dolog érdekessége, hogy a Lookout megállapítása szerint az álcázásként használt appok jó része rendeltetésszerűen működik, miközben rosszindulatú tevékenységet is végez.

Leírás

Ahogy az általában lenni szokott, a fertőzött appokat a nem hivatalos alkalmazás áruházakból lehet összeszedni, és a rosszindulatú alkalmazások ugyanazokat a sérülékenységeket használják ki, mint a mobiltulajdonosok androidos eszközük rootolásakor. A Lookout kutatói három új adware – valójában trójai – családot fedeztek fel, amelyek több mint 20 ezer appba fészkelték be magukat, köztük az Okta kétfaktoros hitelesítést végző alkalmazásába. A többiekhez hasonlóan a Shuanet is rootolja a megfertőzött eszközt, és a rendszer könyvtárban rejtőzködik; a Kemoge, vagy más néven ShiftyBug ugyancsak rootolja a telefont, és egy másik alkalmazást telepít, míg a harmadik kártevőt Shedun vagy GhostPush néven azonosítják a biztonsági cégek. A trójaikkal a Google Play Áruház és lokalizált változatai legnépszerűbb appjait fertőzik meg a hackerek, amelyeket aztán a nem hivatalos alkalmazás áruházakba töltenek fel. A legtöbb fertőzést az Egyesült Államokban, Németországban, Iránban, Oroszországban, Indiában, Jamaicában, Szudánban, Brazíliában, Mexikóban és Indonéziában észlelték. A három kártevőcsalád egyes változatai 71-82 százalékban hasonló kódot tartalmaznak a Lookout kutatói szerint. Ráadásul a megtámadott eszköz rootolásához mindegyik ugyanazokat a nyilvánosan elérhető kihasználó kódokat veszi igénybe. A kutatók véleménye szerint az új típusú, trójaivá tett adware-ek idővel egyre fejlettebbek lesznek, jobban elrejtőznek majd, és lehetővé teszik további rosszindulatú programok számára, hogy olvasási és írási jogokat szerezzenek a megfertőzött eszközökön.

Megoldás

Az egyszerű uninstall esetükben nem használható, így a pórul járt felhasználónak nincs más választása, mint a telefon gyártójával töröltetni a tárolót (a mobil alaphelyzetbe állítása nem segít a gondon) vagy egy új okostelefont vásárolni.