Miért kotorászott a Google a mobilokban?

Ahogy arról a múlt héten már beszámoltunk, a Google az Andorid Marketen ötven olyan alkalmazást tiltott le, amelyek kártékony célokkal kezdtek terjedni. A cég ezt követően sokáig hallgatott a történtekről, és elsősorban a biztonsági cégek vizsgálataiból lehetett sejteni, hogy mi is történt. Aztán a Google egy jelentős lépésre szánta el magát, és bevetette azt az eszközét, amelynek segítségével képes az Android alapú készülékről különféle alkalmazásokat eltávolítani. Ez nyilvánvalóan igencsak felkeltette az érdeklődést, hiszen sokakban megfogalmazódott, hogy a cég vajon milyen alapon nyúl bele a mobilokba. Az igazsághoz azonban hozzátartozik, hogy a Google soha nem titkolta, hogy biztosított magának egy ilyen lehetőséget. Az úgynevezett "Remote Application Removal Feature" funkció kifejezetten azzal a céllal született, hogy az Android Marketről letöltött alkalmazásokat biztonsági problémák felmerülése esetén távolról, központilag le lehessen törölni. Ezúttal ennek az eszköznek a bevetésére került sor.

A problémák okozója

A múlt héten már bebizonyosodott, hogy a szóban forgó, Android kompatibilis kártékony alkalmazások mögött egy DroidDream nevű kód áll, amely elsősorban adatlopási célokkal készült. A károkozóról azonban azóta az is beigazolódott, hogy egy meglehetősen kifinomult programról van szó.

A Lookout Mobile Security elemzése szerint a DroidDream alapvetően két lépésben hajtja végre a számára kijelölt feladatokat. Először leginkább arra törekszik, hogy root hozzáférést szerezzen a készülékeken, amelynek felhasználásával tulajdonképpen bármit megtehet. Emellett összegyűjti az IMEI (International Mobile Equipment Identity) valamint az IMSI (International Mobile Subscriber Identity) azonosítókat, amelyeket továbbít egy Kaliforniában működő szerverre. Amint ezzel végez, akkor letölt a készülékekre egy DownloadProviderManager.apk nevű állományt, és megpróbálja megakadályozni, hogy azt a felhasználó eltávolítsa.

A DroidDream második lépcsőben további bizalmas adatokat igyekszik kiszivárogtatni. Így például a telefonszámok, a készülék technikai paraméterei, nyelvi beállításai iránt is fokozott érdeklődést mutat. Eközben pedig egy távoli szerverhez csatlakozik, és tulajdonképpen egy botnet kialakításában próbál részt venni. Ennek során további ártalmas kódokat képes feljuttatni a mobil eszközökre.

A DroidDream két exploitot használ fel a terjedéséhez, és a feladatainak ellátásához. Az egyik az exploid, míg a másik a rageagainstthecage nevet kapta. A kártékony program további érdekes és egyben alattomos jellemzője, hogy kizárólag este tizenegy és reggel nyolc óra között aktivizálódik, vagyis akkor, amikor a legtöbb felhasználó éppen alszik. Így észrevétlenül végezheti el a feladatait.

Harcba szállt a Google

A Google a DroidDream távoli eltávolításával jelentős lépésre szánta el magát, amivel nem meglepő módon megosztotta mind az IT szakembereket, mind a felhasználókat. Vannak ugyanis, akik szerint jó dolog, ha a Google figyel, és automatikusan eltávolítja a nemkívánatos alkalmazásokat. De természetesen azok tábora sem kicsi, akik viszont rossz szájízzel fogadták a Google által foganatosított védelmi intézkedést, mondván nem szép mások telefonjában turkálni.

A Google jelezte, hogy nemcsak az ártalmas kódokat távolította el, hanem egy biztonsági frissítést is elérhetővé tett, amelynek segítségével megszüntethetővé váltak azok a biztonsági rések, amelyeket a DroidDream kihasznált. Emellett közölte, hogy az Andorid Market kapcsán további biztonsági intézkedéseket fog foganatosítani annak érdekében, hogy a kártékony alkalmazások által okozott problémák megelőzhetővé váljanak.