55 millió androidos készülék fertőződhetett meg

Több mint 50 androidos mobil app lehet fertőzött olyan reklámozásra és adatlopásra alkalmas összetevőkkel, amelyek nemcsak bosszúságot tudnak okozni, hanem károkat is.
 
hirdetés
A Sophos kutatói annak jártak utána, hogy egyes túlbuzgón reklámozó alkalmazások háttérében milyen komponensek húzódnak meg. Eddig több mint 50 appról derült ki, hogy tartalmazzák az Android XavirAd összetevőt, illetve az Infostl-BK nevű adatlopó modult. Ezek pedig összességében olyan műveleteket hajthatnak végre az érintett készülékeken, amiket a felhasználók nem hagytak jóvá.
 
Az ügy azért is kapott nagy nyilvánosságot, mert a biztonsági kutatók számításai szerint akár 55 millió készülékre is felkerülhettek a szóban forgó alkalmazások, és mind a mai napig működőképesek.
 
A vizsgálatok során a szakemberek kiemeltek néhány programot, amelyeket alaposabban is górcső alá vettek. Ezek közé tartozik egyebek mellett az "Add Text on A Photo" nevű alkalmazás. Ez a szoftver rendszeres időközönként teljes képernyős hirdetéseket tár a felhasználó elé. A problémát azonban nemcsak ez jelenti. Aggasztóbb, hogy az appban lévő XavirAd összetevő a szoftver elindításakor csatlakozik egy távoli kiszolgálóhoz, amelyről különféle kódokat tölt le a reklámok megjelenítésével kapcsolatban. (A vezérlőszerverhez tartozó domain nevet másfél évvel ezelőtt jegyezték be Vietnámban.)

 
Amikor a kódokat beszerezte a problémás komponens, akkor egy .dex fájl letöltésére kerül sor, és a háttérben kezdetét veszi az adatgyűjtés. Ez egyebek mellett a következőket érinti:
- telepített alkalmazások listája
- IMEI azonosító
- a készülék gyártója, típusa
- az operációs rendszer verziója
- a SIM-kártya legfontosabb paraméterei
- képernyőfelbontás.
 
A fenti adatokat a szoftverek titkosítják, és feltöltik egy webszerverre.
 
A Sophos kutatói arra is felhívták a figyelmet, hogy a XavirAdot használó alkalmazások készítői nagyon igyekeznek leplezni a ténykedésüket. Erre utal, hogy titkosított karaktersorozatokat használnak a kódjaikban, és olykor a komponensekhez tartozó osztályokat is titkosítják különféle kulcsokkal. Emellett anti-sandbox megoldásokat is beépítenek az appokba, amelyek a dinamikus elemzéseket nehezítik. Figyelik, hogy az adott app emulátorban fut-e, és ha aggályos környezeti jellemzőket vélnek felfedezni, akkor rögtön leállítják a nemkívánatos műveletek végrehajtását.
 
Az érintett alkalmazások egy része a cikk írásakor még elérhető volt a Google Playen. A Google vélhetőleg még vizsgálja, hogy a szóban forgó szoftverek valóban ártalmasak-e, illetve, hogy megfelelnek-e a Play áruház szabályainak.
Vélemények
 
  1. 3

    A LibTIFF egy szolgáltatásmegtagadási támadásokra lehetőséget adó hibát tartalmaz.

  2. 3

    Az OpenVPN Access Server kapcsán egy biztonsági résre lett figyelmes egy kutató.

  3. 3

    A Trend Micro ServerProtect for Linux több sebezhetőséget is tartalmaz.

 
Partnerhírek
Átirányíthatók a banki azonosítókat tartalmazó SMS-ek

A WannaCry árnyékában a világ megfeledkezett egy hasonlóan komoly biztonsági résről, mely a mobilcégek SMS szolgáltatásait érinti.

Nyilvánosak a WannaCry egyes titkosítókulcsai

Több mint 200 titkosítókulcs segítheti azokat, akinek adatait a WannaCry zsarolóvírus titkosította és nem szeretnének váltságdíjai fizetni adataikért.

hirdetés
Közösség
1