Vírus, trójai vagy mi a szösz?

A Symantec kutatói az elmúlt napokban egy olyan trójai programra lettek figyelmesek, amely az Android alapú mobil készülékek megfertőzésére alkalmas. A kártékony program a hivatalos Android Marketen is feltűnt, igaz meglehetősen jól álcázott módon. A terjesztői ugyanis az androidos károkozóknál viszonylag gyakran alkalmazott módszert vették elő, mely szerint az ártalmas kódokat ártalmatlan, jól ismert alkalmazások mögé rejtik el, majd a fertőzött programokat újra publikálják.

A biztonsági cég a trójait Counterclank névvel illette, és jelezte, hogy valójában nem egy teljesen új károkozóról van szó. A Counterclank ugyanis annak a Tonclank trójainak az utódja, amely 2011 júniusában jelent meg először. Az új károkozó egyik legfontosabb célja, hogy különféle reklámokat juttasson el a fertőzött készülékekre. Ennek érdekében egyrészt különféle fájlműveleteket hajt végre, melyek során parancsikonokat is másolgat. Emellett pedig megváltoztatja a mobil böngésző alapértelmezett kezdőoldalát.

Forrás: Symantec

Hasonlóan a legtöbb androidos károkozóhoz, a Counterclank-nak is szüksége van arra, hogy a felhasználó engedélyezze számára az operációs rendszer egyes szolgáltatásaihoz és erőforrásaihoz való hozzáférést. Ez a trójai is jóval több jogosultságot kér, mint amire egy ilyen alkalmazásnak, például játékprogramnak a valóságban szüksége lehet. "Kevés felhasználó foglalkozik azzal, hogy végigolvassa azt, hogy egy program milyen engedélyeket kér. Pedig a gyanakvóbb felhasználóknak feltűnhet, hogy egy alkalmazásnak adott esetben miért kell jogosultság a böngésző módosításához vagy a GPS-adatok kezeléséhez" - mondta Kevin Haley, a Symantec egyik biztonsági csoportjának vezetője.

Haley úgy látja, hogy a kártékony program akár több millió készülékre is felkerülhetett. A biztonsági kutatók eddig az alábbi alkalmazásokban mutatták ki a jelenlétét:
Counter Elite Force (iApps7 Inc)
Counter Strike Ground Force (iApps7 Inc)
CounterStrike Hit Enemy (iApps7 Inc)
Heart Live Wallpaper (iApps7 Inc)
Hit Counter Terrorist (iApps7 Inc)
Stripper Touch girl (iApps7 Inc)
Balloon Game (Ogre Games)
Deal & Be Millionaire (Ogre Games)
Wild Man (Ogre Games)
Pretty women lingerie puzzle (Ogre Games)
Sexy Girls Photo Game (redmicapps)
Sexy Girls Puzzle (redmicapps)
Sexy Women Puzzle (redmicapps)

Forrás: Symantec

Lehet, hogy ez a trójai nem is trójai?

A Symantec Counterclank kapcsán tett bejelentését követően nem sokkal a Lookout Security közölte, hogy a Symantec téved, amikor azt állítja, hogy a fenti 13 alkalmazás kártékony. A biztonsági cég szerint erről szó sincs, ugyanis ezek a programok nem tartalmaznak károkozásra alkalmas összetevőket. Azt azonban elismerték, hogy az alkalmazások reklámcélokat szolgálnak, és egy reklámkiszolgáló hálózat működéséhez járulhatnak hozzá.

Tim Wyatt, a Lookout vezető rendszermérnöke szerint a Symantec azért ítélhette az alkalmazásokat ártalmasnak, mert azok különféle jogosultságok megadását kérték a felhasználóktól. Pedig a reklámkiszolgálásban résztvevő alkalmazások általában kérnek engedélyt például a böngészők beállításainak módosításához is. Ettől e programok nem feltétlenül jelentenek kockázatot. "Figyeltük az alkalmazások ilyen típusú viselkedését. Megértjük, hogy az ilyen programok zavarják az átlag felhasználókat, de a Symantec felfújja a történteket, és zavart okoz a kommunikációjával" - vélekedett Derek Halliday, a Lookout termékmenedzsere.

De ha az előd is kártékony volt...?

Ahogy azt az előbb már említettük, a Symantec közölte, hogy a Counterclank elődje a tavaly megjelent Tonclank trójai. A két biztonsági cég közötti vita érdekessége, hogy a Tonclank kódját tavaly a Lookout is vizsgálta, és azt kémprogramként azonosította, hasonlóan ahogy Xuxian Jiang, az Észak-Karolinai Állami Egyetemen professzora is tette azt. (Jiang volt a Tonclank első felfedezője, és 2011-ben ő számolt be először a nemkívánatos kódról.)

„Korábban valóban azt gondoltuk, hogy egy kémprogramról van szó. Később úgy láttuk, hogy a program egy reklámhálózathoz tartozik, amely némileg átlépte a kémprogramok felé vezető határvonalat. Azóta azonban a fejlesztők ezen változtattak" - mondta Wyatt.

Vajon mikor kártékony egy program?

A két biztonsági cég közötti vita nem alaptalan, és leginkább arra vezethető vissza, hogy nem minden esetben könnyű eldönteni egy programról, hogy az kártékony célokat szolgál-e vagy sem. Az eddigi vizsgálatok szerint a Counterclank valószínűleg egy határesetet képvisel, és a biztonsági kutatók eltérően értékelik a viselkedését valamint a tevékenységét. Annyi azonban biztos, hogy azok a felhasználók, akik a Symantec által említett androidos játékokat vagy felnőtteknek szóló programokat letöltötték a készülékeikre, biztos nem azzal a céllal tették, hogy a böngészőjük kezdőoldal megváltozzon, különféle ikonok jelenjenek meg a kijelzőn, vagy azért, hogy egy program a könyvjelzőik között kotorásszon.