Több tízezer androidos készülék fertőződhetett meg

Az elmúlt néhány héten a Google Playen számos olyan alkalmazás tűnt fel, amelyek összességében több tízezer készüléket fertőzhettek meg.
 

Amikor a mobilbiztonságról és az Androiddal kapcsolatban felmerülő kockázatokról esik szó, akkor a biztonsági cégek általában azt javasolják, hogy az alkalmazások letöltésére lehetőségek szerint a hivatalos, Google Play áruházból kerüljön sor, mivel a Google védelmi mechanizmusai sok ártalmas kód kiszűrésére alkalmasak. Sajnos azonban a Play sem jelent garanciát arra, hogy az okostelefonunk vagy táblagépünk nem fertőződik meg. Mindezt támasztja alá az a kártékony kód is, amely az elmúlt hetekben több tízezer készülékre kerülhetett fel különféle alkalmazások formájában.

A mostani vizsgálatokat a Check Point kutatói folytatták le, akik egy meglehetősen jól szervezett kibercsoport ténykedésére derítettek fényt. E bűnözők ez esetben kifejezetten az androidos eszközöket állították célkeresztbe azzal a nemkívánatos szerzeményükkel, amit több alkalmazásba csempésztek bele. Méghozzá olyan módon, hogy a kockázatokra a Play védelmi arzenálja sem figyelt fel, vagyis a károkozó átcsúszott a Google ellenőrzésein.

Az eddigi vizsgálatok szerint az első fertőzött alkalmazás március 29-én vált elérhetővé a Play áruházban Wi-Fi Plus néven. Majd ezt a szoftvert olyan programok követték, mint például a Memory Booster, a Parrot Copter és a Simple 2048. A legtöbb problémát azonban egy Viking Horde névre keresztelt játékprogram okozta, amely a letöltési statisztikák szerint 50-100 ezer készülékre juthatott fel. Az ingyenes játék tehát sokakat megtévesztett annak ellenére, hogy az alkalmazáshoz tartozó vélemények között egyre több gyanakvó bejegyzés tűnt fel. A véleményírók között többen azon jogos aggályuknak adtak hangot, miszerint egy ilyen játékprogramnak nem kellene root jogokat kérnie.
A Viking Horde és társai a fertőzött készülékeken attól függően hajtották végre a számukra kijelölt feladatokat, hogy rootolt vagy "gyári állapotú" eszközökre telepítették fel azokat a felhasználók. Amennyiben rootolt volt a készülék, akkor akár további vírusterjesztés is kezdetét vehette. Viszont mindkét esetben elmondható, hogy kártevők egy app_exec komponens bevonásával egy botnethez csatlakoztatták a mobilokat, és kattintásalapú csalásokkal segítették a támadók pénzhez jutását. (Egyes beszámolók szerint előfordult, hogy az ártalmas programok emelt díjas SMS-üzeneteket küldözgettek.)

A Check Point szerint a Viking Horde mögött felépített botnet több vezérlőszerverrel működött, amelyek mindegyikéhez néhány száz készülék csatlakozott. Az okostelefonok, táblagépek ezekkel a szerverekkel tíz másodpercenként vették fel a kapcsolatot. A kártékony kódok a kiszolgálókra adatokat szivárogtattak ki, köztük rendszerinformációkat, telefonszámokat, sőt még az akkumulátor állapotára vonatkozó paramétereket is. A háttérben pedig szorgosan generálták a webes reklámokra történő szimulált kattintásokat.

A Viking Horde a legtöbb áldozatát az orosz, a spanyol, a mexikói és az amerikai felhasználók körében szedte. Magyarországra vonatkozó adatok jelenleg nem állnak rendelkezésre.

Védekezési lehetőségek

A hasonló támadások elleni védekezés során a legfontosabb, hogy mindig megbízható fejlesztőktől származó szoftvereket telepítsünk a mobil eszközökre. Érdemes áttanulmányozni az alkalmazásokhoz tartozó véleményeket, és ha egy app indokolatlanul sok jogosultságot kér, akkor szintén érdemes gyanakodni. A kockázatok csökkentésében mobilbiztonsági alkalmazások is segíthetnek.