A mobil kártékony programok világában egyre gyakoribb esetnek számít, hogy a csalók jól ismert, legális alkalmazásoknak tüntetik fel a nemkívánatos szoftvereiket, amelyekkel aztán különböző módokon okoznak károkat. Vagy adatokat igyekeznek megkaparintani a megfertőzött okostelefonokról, táblagépekről, vagy emelt díjas SMS-ek küldözgetésével apasztják a felhasználók pénztárcáját. Mindeközben megfigyelhető, hogy a mobil károkozók készítői – hasonlóan a Windows-os vírusok terjesztőihez – mindent elkövetnek annak érdekében, hogy a különböző védelmi vonalakon átjuttassák a nemkívánatos szerzeményeiket. A Symantec kutatói által felfedezett egyik legújabb mobil kártevő is meglehetősen hatásosan tudott átjutni a Google által felhúzott védelmi akadályokon.
Irfan Asrar, a Symantec biztonsági kutatója még a múlt héten két érdekes alkalmazásra lett figyelmes. Ezek első ránézésre egy-egy játékprogramnak tűntek, azonban a valóságban nem szórakoztatási, hanem károkozási céllal kerültek fel a Google hivatalos weboldalára. A kártékony kód készítői ezúttal „Super Mario Bros”, illetve „GTA 3 – Moscow city” néven terjesztették az ártalmas programjukat.
Két fertőzési fázis
A játékprogramok segítségével terjesztett káros kód legfontosabb sajátossága, hogy az nem akkor került a készülékekre, amikor a felhasználó valamelyik játékot feltelepítette. Az első fertőzési fázis kizárólag arra szolgált, hogy a vírusterjesztők számára előkészítse terepet a valódi károkozáshoz. A játékprogramok egy Dropbox fiókhoz csatlakoztak, amelyből egy Activator.apk nevű csomagot töltöttek le, majd indítottak el. Amennyiben ez is feltelepült az adott készülékre, akkor azonnal emelt díjas SMS-ek küldözgetésébe fogott. Az üzeneteket elsősorban különböző kelet-európai országokban bejegyzett telefonszámokra juttatta el. Amikor pedig végzett e feladatával, akkor az SMS-ezésre alkalmas és gyanakvásra okot adható összetevőjét egész egyszerűen eltávolította a mobilokról.
Forrás: Symantec
Irfan Asrar szerint mindkét játékprogramnak álcázott alkalmazás június 24-én került be a Google Play rendszerébe, és azóta mindenki számára letölthetőek voltak. A Google statisztikái azt mutatják, hogy a vírusterjesztők trükkje sok felhasználót megtévesztett, hiszen a nemkívánatos programok az elmúlt hetekben 50-100 ezer letöltést generáltak. A legaggasztóbb tény azonban az, hogy a Google által alkalmazott, kártékony kódok kiszűrése céljából kifejlesztett Bouncer rendszer semmit nem vett észre abból, hogy a két játékprogrammal valami nincs rendben. A Bouncer egy emulált környezetben vizsgálja meg a Google Play-re feltöltött szoftvereket, és azokat többek között viselkedésalapú elemzésnek veti alá. Ez esetben azonban nem talált semmi gyanúsat.
Forrás: Symantec
A biztonsági kutató szerint nem véletlen, hogy a vírusírók kétlépcsős fertőzési megoldásokban gondolkodnak. Hasonló technikákkal már 2011-ben is próbálkoztak annak érdekében, hogy meg tudják téveszteni a védelmi rendszereket, illetve a felhasználókat. A telefonok tulajdonosai ugyanis úgy gondolhatják, hogy ha a Google Play-ről töltik le az alkalmazásokat, akkor utána már nem történhet baj. Ráadásul, amikor a készülékekre felkerülnek a tényleges károkozást végző kódok, akkor már további jogosultságok megadására sincs szükség. Vagyis figyelmeztető ablak sem jelenik meg. A Google védelmi rendszere pedig azért nem tud igazán hatékonyan fellépni, mert az első fertőzési fázisban résztvevő alkalmazás tulajdonképpen nem végez különösebben gyanús tevékenységet azon kívül, hogy néha-néha letölt egy fájlt.
A Symantec a két nemkívánatos program felfedezését és vizsgálatát követően azonnal értesítette a Google biztonsági csapatát, amely rövid időn belül eltávolította a két játékprogramnak álcázott károkozót.
