Androidon folytatja a kémkedést az xRAT trójai

Az egyik hírhedt, androidos kémprogram újjászületett, és már nem kizárólag adatlopásra törekszik, hanem helyreállíthatatlan károkat is előidézhet.
 

2014-ben meglehetősen nagy hírverést kapott az Xsser vagy másik nevén mRAT nevű trójai, amely egy kifinomult technikákkal fertőző kártékony program volt. Azzal a céllal terjedt, hogy a mobil készülékekről minél több adatot tudjon kiszivárogtatni. Leginkább azzal emelkedett ki a hasonló károkozók mezőnyéből, hogy iOS és Android operációs rendszerre épülő eszközöket ostromolt, azaz több platformon is fenyegetést jelentett.
 
A történet folytatódik
 
A Lookout biztonsági kutatói az elmúlt napokban egy olyan kártékony programra lettek figyelmesek, amely számos tekintetben hasonlított az mRAT-ra. Így például a kódstruktúra, egyes dekódoló kulcsok és a vírusírók által alkalmazott névkonvenciók is összecsengenek a régi és az új szerzemény tekintetében. Ezért aztán feltételezhető, hogy az mRAT és az xRAT azonos berkekben született, vagy legalábbis az alapjaik azonosak. Különbözőségek a célok tekintetében sincsenek, hiszen az új károkozó is elsődlegesen adatlopásra törekszik.
 
Egy lényeges különbség azért akad az mRAT és az xRAT között. Az utóbbi, újabb kártevő ugyanis kizárólag az Android operációs rendszerrel kompatibilis, legalábbis egyelőre. Amikor felkerül egy készülékre, akkor arról megpróbál minél több adatot összegyűjteni. Nagy érdeklődést mutat telefonkönyvi bejegyzések, az üzenetek, a hívásnapló és a böngészi előzmények iránt. Képes lementeni egyes azonnali üzenetküldőkkel folytatott kommunikációt. Ebből a szempontból jelenleg a QQ és a WeChat alkalmazásokból tud adatokat kimazsolázni. Ugyanakkor rendelkezik olyan modulokkal is, amik a beszélgetések lehallgatására adnak lehetőséget.
 
Az xRAT fontos jellemzője, hogy a kémkedés mellett egyéb károkozásokra is alkalmas. Rendelkezik ugyanis egy olyan modullal, amely távolról vezérelhető, és fájlok törlését teszi lehetővé. Így például az elkövetők törölhetik a fényképeket, a zenéket vagy akár az SD-kártya teljes tartalmát. Emellett az xRAT nyomait is megpróbálhatják eltüntetni, ha már nincs arra szükségük.
 
Közös vezérlőszerverek
 
A biztonsági kutatók szeme nem kizárólag az új kártékony alkalmazáson akadt meg, hanem az a mögött lévő infrastruktúrán is. Kiderült ugyanis, hogy az xRAT - az elődjeitől eltérően - nemcsak kínai vezérlőszerverekkel kommunikál, hanem már az Egyesült Királyságban is vannak hozzá tartozó kiszolgálók. Ráadásul ezek között akad olyan is, amely Windows-os vírusok kiszolgálásában is részt vesz. Vagyis az xRAT mögött álló csoport az androidos mobilok mellett PC-kről is igyekszik adatokat bezsebelni.
 
Az xRAT jelenleg leginkább célzott támadásokban jut szerephez, még nem terjed széles körben. Ennek ellenére a víruskeresők frissítésével, mobilbiztonsági alkalmazások telepítésével és persze megfontolt számítógép-, illetve mobilhasználattal célszerű elejét venni a fertőzésnek.