Új androidos vírus ütötte fel a fejét, több tízezer készülék lehet fertőzött

Hiába dolgoznak napról napra azért a különböző, szoftverbiztonsággal foglalkozó cégek, hogy a felhasználók számára a lehető legbiztonságosabb környezetet teremthessék meg, néha még ők sem tudnak elég gyorsak lenni. Ilyenkor történik az, hogy ugyan kiszúrnak egy-egy esetlegesen fertőzöttnek vélt alkalmazást, azt azonban már nem tudják időben megakadályozni, hogy az emberek letöltsék azokat.

Nemrégiben 16 darab ilyen appot töröltek, melyek közül a legkárosabb egy DXClean nevű alkalmazás volt, mely rendszertisztító és optimalizáló alkalmazásnak adta ki magát, azt ígérve, hogy felderíti, mi okozza a felhasználó telefonjának lassulását, miközben pontosan az app volt az oka mindennek.

Ezzel szemben korábban egy olyan szoftverről számoltunk be, mely többek között hozzáfért a felhasználó telefonbeszélgetéseihez, SMS-eihez, és a hívásnaplóra is rálátott, így ezeket felhasználva a rosszakarók bármikor megzsarolhatták az érintetteket. Szerencsére a most felsorolt alkalmazásokat már eltávolították az androidos alkalmazásboltokból, most azonban egy újabb fertőzött app ütötte fel a fejét.

Ezúttal a szlovákiai székhelyű, kiberbiztonságra szakosodott ESET nevezetű cégnek sikerült kiszúrni egy olyan új vírust, melyet egy több tízezer telepítéssel rendelkező, Google Play Áruházban fellelhető alkalmazás terjesztett. Az app egy képernyőfelvételt készítő programnak állította magát, a kezdeti szakaszban remekül is végezte a dolgát, az appnak ugyanis a Google saját biztonsági rendszereit is sikerült átvernie.

A baj akkor kezdődött, amikor egy későbbi frissítéssel az alkalmazást egy trójai falóvá alakították.

Számítógépes értelemben a trójai faló egy olyan rosszindulatú program, amely mást tesz a háttérben, mint amit a felhasználónak mutat. Fontos megjegyezni, hogy a közhiedelemmel ellentétben egy trójai nem feltétlenül tartalmaz rosszindulatú programkódokat, azonban a többségük egy úgynevezett hátsó kaput telepít fel, ami a fertőzés után biztosítja a hozzáférést a célszámítógéphez – jelen esetben a telefonhoz. A trójai a többi számítógépes vírussal ellentétben általában nem többszörözi önmagát, terjedése főként egyedi támadásoknak és az emberi hiszékenységnek köszönhető.

Az ESET által AhRat névre keresztelt, szóban forgó kártevő az AhMyth nevű, nyílt forráskódú Android RAT-on alapul. Számos képességgel rendelkezik, többek között képes a fertőzött készülékek helyének nyomon követésére, hívásnaplók, névjegyek és szöveges üzenetek ellopására, SMS-üzenetek küldésére, képek készítésére és háttérhangok rögzítésére is – írja a Bleeping Computers, később hozzátéve, hogy nem ez az első eset, hogy egy AhMyth-alapú androidos kártevő beszivárog a Google Play Áruházba.

Kormányzati megfigyelésre is használták

Az ESET először még 2019-ben tett közzé részleteket egy másik AhMyth-alapú alkalmazásról – annak kétszer is sikerült átverni a Google biztonsági rendszereit úgy, hogy egy rádió streamingalkalmazásának álcázta magát.

Korábban a nyílt forráskódú AhMythot a Transparent Tribe, más néven APT36, egy kiberkémkedő csoport alkalmazta, amely a social engineering technikák széles körű alkalmazásáról ismert, korábban pedig kormányzati és katonai szervezeteket is céloztak már meg Dél-Ázsiában – magyarázta Lukas Stefanko, az ESET munkatársa, hozzátéve, hogy a jelenlegi alkalmazást egyelőre egyetlen konkrét csoporthoz sem tudják kötni, ahogy arra utaló jeleket sem találtak, hogy fejlett és tartós fenyegetésről lenne szó.

A Google az ESET figyelmeztetése után azonnal eltávolította az alkalmazást a Play Áruházból, azokkal a felhasználókkal, akik már letöltötték az alkalmazást, nem tud a keresőóriás mit tenni – ilyen esetekben a felhasználóknak saját maguknak kell cselekedniük.

(index.hu)