55 millió androidos készülék fertőződhetett meg

Több mint 50 androidos mobil app lehet fertőzött olyan reklámozásra és adatlopásra alkalmas összetevőkkel, amelyek nemcsak bosszúságot tudnak okozni, hanem károkat is.
 
hirdetés
A Sophos kutatói annak jártak utána, hogy egyes túlbuzgón reklámozó alkalmazások háttérében milyen komponensek húzódnak meg. Eddig több mint 50 appról derült ki, hogy tartalmazzák az Android XavirAd összetevőt, illetve az Infostl-BK nevű adatlopó modult. Ezek pedig összességében olyan műveleteket hajthatnak végre az érintett készülékeken, amiket a felhasználók nem hagytak jóvá.
 
Az ügy azért is kapott nagy nyilvánosságot, mert a biztonsági kutatók számításai szerint akár 55 millió készülékre is felkerülhettek a szóban forgó alkalmazások, és mind a mai napig működőképesek.
 
A vizsgálatok során a szakemberek kiemeltek néhány programot, amelyeket alaposabban is górcső alá vettek. Ezek közé tartozik egyebek mellett az "Add Text on A Photo" nevű alkalmazás. Ez a szoftver rendszeres időközönként teljes képernyős hirdetéseket tár a felhasználó elé. A problémát azonban nemcsak ez jelenti. Aggasztóbb, hogy az appban lévő XavirAd összetevő a szoftver elindításakor csatlakozik egy távoli kiszolgálóhoz, amelyről különféle kódokat tölt le a reklámok megjelenítésével kapcsolatban. (A vezérlőszerverhez tartozó domain nevet másfél évvel ezelőtt jegyezték be Vietnámban.)

 
Amikor a kódokat beszerezte a problémás komponens, akkor egy .dex fájl letöltésére kerül sor, és a háttérben kezdetét veszi az adatgyűjtés. Ez egyebek mellett a következőket érinti:
- telepített alkalmazások listája
- IMEI azonosító
- a készülék gyártója, típusa
- az operációs rendszer verziója
- a SIM-kártya legfontosabb paraméterei
- képernyőfelbontás.
 
A fenti adatokat a szoftverek titkosítják, és feltöltik egy webszerverre.
 
A Sophos kutatói arra is felhívták a figyelmet, hogy a XavirAdot használó alkalmazások készítői nagyon igyekeznek leplezni a ténykedésüket. Erre utal, hogy titkosított karaktersorozatokat használnak a kódjaikban, és olykor a komponensekhez tartozó osztályokat is titkosítják különféle kulcsokkal. Emellett anti-sandbox megoldásokat is beépítenek az appokba, amelyek a dinamikus elemzéseket nehezítik. Figyelik, hogy az adott app emulátorban fut-e, és ha aggályos környezeti jellemzőket vélnek felfedezni, akkor rögtön leállítják a nemkívánatos műveletek végrehajtását.
 
Az érintett alkalmazások egy része a cikk írásakor még elérhető volt a Google Playen. A Google vélhetőleg még vizsgálja, hogy a szóban forgó szoftverek valóban ártalmasak-e, illetve, hogy megfelelnek-e a Play áruház szabályainak.
Vélemények
 
  1. 4

    A Ghostscript egy veszélyes sebezhetőség miatt szorul frissítésre.

  2. 3

    A 7-Zip szoftver egy olyan hibát tartalmaz, amely biztonsági megkötések megkerülésére adhat lehetőséget.

  3. 3

    A VMware Horizon DaaS egy olyan sebezhetőséget tartalmaz, amely egy védelmi mechanizmus megkerülését segítheti elő.

 
Partnerhírek
​Térj át https-re, hogy ne veszíts látogatókat

Ki szeretné kényszeríteni a https kapcsolatot a Google Chrome, ezért idén július elsejétől minden, nem biztonságos kapcsolatot használó weboldalra történő látogatás előtt megjelenik egy jelzés: nem biztonságos weboldal.

​PUBG Ransomware – Játékkal szerezhetjük vissza kódolt adatainkat

Az ESET szakemberei újfajta zsarolóvírusra hívják fel a figyelmet, amely ezúttal nem pénzt, hanem egy órányi játékot kér az adatokat helyreállító kulcsért.

hirdetés
Közösség
1