A vírus, amely nem fertőz mozdulatlan telefont

Mozgások detektálásával próbálja megkerülni a védelmi vonalakat egy mobilvírus. A vírusírók megint túljártak a Google eszén.
 

A Trend Micro, a Sophos és az IBM biztonsági kutatói is vizsgálták azt a két androidos alkalmazást, amelyek kikerültek a hivatalos Play áruházba, de korántsem azzal a céllal, amiről a leírásuk szólt. A két szoftvert több ezer alkalommal telepítették a felhasználók mire sikerült kimutatni, hogy valami nagyon nincs rendben. A probléma forrását a korábbról már ismert, Anubis nevű, banki trójai okozta, amelynek célja, hogy értékes adatokat szivárogtasson ki a fertőzött készülékekről.
 
Az egyik kártékony alkalmazás Currency Converter, míg a másik BatterySaverMobi nevén vált letölthetővé a Play áruházban. Amikor elindultak egy-egy mobilon, és megkapták a működésükhöz szükséges engedélyeket, akkor kapcsolódtak egy vezérlőszerverhez. Az is előfordult, hogy Twitter vagy Telegram üzenetek révén kommunikáltak a vírusírókkal, akik ilyen módon juttatták el a trójaihoz annak az APK-fájlnak a linkjét, amely az adatlopást lehetővé tette.  
Az Anubis alapvetően kétféle módon képes adatokat zsákmányolni. Egyrészt naplózza a felhasználó által beírt szövegeket, felhasználóneveket, jelszavakat (a PC-s, billentyűleütések monitorozására kiélezett kártevőkhöz hasonlóan). Másrészt pedig rendszeresen képernyőképeket ment le, majd tölt fel a kiszolgálóira. E funkciói akkor aktivizálódnak, amikor a készülék tulajdonosa valamilyen banki, pénzügyi alkalmazást használ. A biztonsági kutatók szerint az Anubis jelenleg 377 különféle banki appot ismer. Egyebek mellett adatokat igyekszik kipuhatolni a Santander, az RBS és a Citibank ügyfelektől is. Mindezek mellett akkor is kémkedik, amikor a készüléken az Amazon, az eBay vagy a PayPal használatát érzékeli.
 
Hogyan kerülték meg a védelmet?
 
A Google folyamatosan fejleszti azon technológiáit, amelyek révén képessé válik a nemkívánatos appok kiszűrésére. Eközben azonban a kiberbűnözők sem pihennek, akik rendszeresen megújuló trükkökkel támadnak. Ezúttal egy nem mindennapos technika mellett tették le a voksukat: a fertőzött rendszer szenzorai alapján megállapítják, hogy a készülék mozgásban van-e. Ha azt érzékeli a vírus, hogy a mobil nem mozog, akkor nem is aktivizálódik, mivel ekkor azt feltételezi, hogy egy virtuális vagy sandbox rendszerbe került, ahol éppen a Google - vagy valamely biztonsági cég – a lebuktatásán dolgozik.
 
A Google a biztonsági cégek bejelentése alapján a két alkalmazást eltávolította a Play áruházból.