Több százezer mobilt fertőzött meg ez a vírus

Az egyik hírhedt károkozó olyan képességekkel gyarapodott, amik révén az androidos mobilok 90 százalékára veszélyt jelent.
 

Az Android kompatibilis ártalmas programok közül a legnagyobb és legnehezebben helyreállítható károkat azok okozzák, amelyek valamilyen úton módon képesek a fertőzött készülékek rootolására. Az emelt szintű jogosultságok birtokában ugyanis rendszeralkalmazásokat telepíthetnek vagy manipulálhatnak, és észrevétlenül végezhetik a tevékenységüket. Sokszor hátsó kaput nyitnak a készülékeken, adatokat szivárogtatnak ki azokról vagy megpróbálkoznak a felhasználók zsarolásával.
 
A Trend Micro kutatói a Godless nevű kártékony program alapos elemzésébe kezdtek. A vizsgálataik során szemügyre vették a károkozó eddigi variánsait, és megállapították, hogy ez esetben is gyors fejlődésről van szó. A Godless már igazolta, hogy nagyon komolyan számolni kell vele, ugyanis a biztonsági cég telemetriai adatai alapján a nemkívánatos szerzemény már legalább 850 ezer okostelefont, illetve táblagépet fertőzött meg. A terjedését az is jelentősen segíti, hogy a Google Playen megtalálható egyes alkalmazásokba (pl.: játékokba, WiFi-s szoftverekbe és elemlámpa programokba) is beépült már. Emellett sok olyan szoftver nevével is visszaél, amelyek a Google Playen ugyan ártalmatlanok, de más alkalmazásboltokból már fertőzötten tölthetők le.   
Rootolásra hangolva
 
A Godless legújabb verziója elsősorban a rootolási képességei révén emelkedik ki a mezőnyből. A károkozó a nyílt forráskódú android-rooting-tools keretrendszert hívja segítségül, amelynek révén számos módon képes az operációs rendszerben root jogokat szerezni. A vizsgálatok szerint az Android 5.1-es verziójáig bezárólag minden kiadáson működőképesnek bizonyulhat a keretrendszernek és a számos beágyazott exploitnak köszönhetően. A fertőzést és a rootolást azonban meglehetősen óvatosan, több lépcsőben végzi el annak érdekében, hogy kerülje a feltűnést. Az exploitokat és a payload kódokat interneten keresztül szerzi be, amivel jelentősen megnehezíti a Google Play védelmi megoldásainak dolgát. További érdekessége, hogy a készülékeken csak akkor kezdi meg a nemkívánatos műveleteinek végrehajtását, amikor a kijelző kikapcsol, vagyis nem rögtön a telepítése után. Ezzel megint csak a víruskeresést igyekszik megnehezíteni.
 
Amikor a Godless minden kezdeti tevékenységével végez, akkor egy rendszeralkalmazást telepít. A korábbi kiadásai egy kamu Google Play szoftverrel próbálkoztak, míg a legújabb variáns már más alkalmazások képében is megjelenhet. Egyes verziók reklámok megjelenítésében vagy adatlopásban kapnak szerepet, míg a többi hátsó kaput nyit és adatokat szivárogtat. A károkozó funkcionalitását a terjesztői viszonylag szabadon változtathatják.
 
Csak óvatosan…

A Trend Micro szakemberei szerint a Godless és minden más androidos károkozó elleni védekezés során a legalapvetőbb a megfontolt, körültekintő alkalmazástelepítés. Mint ahogy a példa is mutatja a Google Play sem mentes a fertőzött alkalmazásoktól, de még mindig nagyságrendekkel kisebbek a kockázatok, mint az egyéb alkalmazásáruházak esetében. Mindezek mellett természetesen a mobilbiztonsági alkalmazások használata is segíthet a megelőzésben, illetve a nemkívánatos alkalmazások detektálásában.