Mobilvírus veszélyezteti a Facebook fiókokat

A kiberbűnözők ismét a Facebook felhasználók adatait állították célkeresztbe akkor, amikor egy olyan kártékony programot kezdtek terjeszteni, ami képes az SMS-alapú hitelesítést térdre kényszeríteni.
 

A banki és az egyéb bizalmas adatokat kezelő online szolgáltatások esetében gyakorta lehet találkozni olyan azonosítási módszerekkel, amelyek egyebek mellett SMS-alapú hitelesítést is lehetővé tesznek. Ilyenkor a szöveges üzenetekben kiküldött, egyszer használatos kódok segítségével lehet biztonságosabbá tenni a bejelentkezéseket. Ezt a kétfaktoros azonosítási módszert egyre több vállalat alkalmazza, beleértve a Google-t, a Microsoftot és nem utolsó sorban a Facebookot is. Mindez pedig arra sarkallja az adattolvajokat, hogy az SMS-es hitelesítésen is fogást találjanak, hiszen önmagában az már sokszor nem elég számukra, ha a felhasználóneveket és a jelszavakat megkaparintják. Az egyszer használatos kódok nélkül ugyanis nem tudják elérni a céljukat. A kiberbűnözők azonban ezúttal sem estek kétségbe.

Minden a Facebook köré épül

Az ESET kutatói a napokban egy olyan, Qadars nevű trójaira lettek figyelmesek, amelynek célja nem más, mint, hogy a Facebook felhasználók adatait megszerezze, méghozzá olyan módon, hogy lehetőleg az SMS-alapú azonosítás se okozzon fennakadást a támadók számára. Ehhez a trójai egy régebbről már jól ismert technikát és egy szintén korábban napvilágot látott mobil kártékony programot vet be.

Először a fertőzött számítógépeken eléri, hogy a webböngészőbe megjelenő Facebook oldalra bekerüljön egy webes űrlap. Ezen az olvasható, hogy a közösségi oldal fejlesztői a felhasználók biztonsága érdekében egy olyan szoftveres eszközt készítettek, amely ingyenes lehetőséget biztosít a bejelentkezések biztonságosabbá tételéhez. A program telepítéséhez pedig nem kell mást tenni, mint megadni a telefonszámot és az okostelefonon futó operációs rendszer nevét. A valóságban azonban a szinte semmiből megjelenő webes űrlapon szereplő állításoknak semmi valóságalapjuk nincs, azok csak a felhasználók megtévesztését szolgálják.

Amennyiben egy felhasználó bedől a csalók trükkjének, és megadja a telefonszámát, akkor vagy SMS-ben vagy egy megjelenő weboldalon keresztül kap egy hivatkozást, ami alapján letölthet egy látszólag Facebook által fejlesztett mobil alkalmazást. A telepítéshez egy útmutató is dukál, ami szemlélteti az installálás pár lépését. Erre leginkább azért van szükség, mert a csalóknak el kell érniük azt, hogy az Android biztonsági beállításait módosítsa a felhasználó, és engedélyezze az ismeretlen forrásból származó alkalmazások telepítését.

Átalakított banki károkozó

A Qadars trójai közreműködésével terjesztett mobil program érdekessége, hogy az valójában az iBanking nevű androidos károkozó leszármazottja. Az RSA cég szakemberei februárban már jelezték, hogy az iBanking sok fejtörést fog okozni, ugyanis annak forráskódja egy internetes fórumon kiszivárgott. Akkor már sejthető volt, hogy a forráskódot egyre többen fogják felhasználni, amit most a Qadars esete is alátámaszt.

Az iBanking és annak különféle változatai képesek a telefonhívások átirányítására, a beépített mikrofon bekapcsolására, hangrögzítésre és nem utolsó sorban a készülékekre érkező vagy az azokról küldött SMS-üzenetek naplózására, kiszivárogtatására. Ez utóbbi funkció az, amit a Qadars terjesztői a saját javukra fordítanak, és ezúttal nem a bankok, hanem a Facebook által küldött SMS-üzeneteket kémlelik, amivel szert tudnak tenni a bejelentkezésekhez szükséges, egyszer használatos kódokra.

A hasonló csalások és károkozások elleni védekezés során a naprakészen tartott víruskeresőkre fontos szerep hárul. Emellett azonban nagyon körültekintően kell eljárni a mobil alkalmazások letöltésekor, és az azok által kért engedélyek megadásakor. Különösen akkor, ha ezek a programok ismeretlen forrásból származnak.