Borús lesz a kedve, ha ezeket az app-okat használja

Két időjárás-előrejelző alkalmazás is fertőzöttnek bizonyult a Google Play áruházban. A káros szoftverek adatokat lophattak a több ezer áldozatul eső készülékről.
 

A Google biztonsági mechanizmusát sikeresen megkerülő Good Weather és World Weather elnevezésű hamis alkalmazások trójai programokat terjesztettek. A Google Play áruházban az első variáns 2017. február 4-én jelent meg. Ezt két napon belül az ESET szakértői leleplezték, és jelezték a Google-nek a kártékony alkalmazást. Ekkor a Google a hivatalos áruházból azonnal eltávolította a szoftvert, de addigra sajnos már mintegy 5000 felhasználó töltötte le azt.
 
A károkozás ezúttal is egy ártalmatlan alkalmazás megfertőzésével kezdődött. A kompromittált program minden funkciót ellátott, amit az eredeti alkalmazás is, viszont káros összetevőkkel egészült ki. Ezek révén képes volt távolról zárolni vagy feloldani a fertőzött eszközöket, illetve megfigyelni a szöveges üzeneteket. Mindemellett a Good Weather alkalmazásba rejtett trójai 22 különféle törökországi banki alkalmazást is célkeresztbe állított, amikből belépési adatokat próbálták megkaparintani a vírusterjesztők.  
A Good Weather fertőzési hullámának lecsengése után nem sokkal egy újabb támadás vette kezdetét, amely egy World Weather nevű alkalmazás formájában öltött testet. Az ESET kutatói által leleplezett károkozóról kiderült, hogy az az előbbiekben ismertetett trójai egy újabb variánsa. Ez a szoftver is átjutott a Google Play védelmi mechanizmusain, és február 14-20. között volt elérhető az áruházban. A legfontosabb újdonságát az szolgáltatta, hogy immár 69 különböző brit, osztrák, német és török banki alkalmazást tudott ostromolni.
 
A korokozók vizsgálata során kiderült, hogy azok különféle internetes fórumokról beszerezhető kódokat is felhasználtak, amelyekről a Dr. Web biztonsági cég már decemberben beszámolt.
 
Hogyan működik a kártevő?
 
Az alkalmazás telepítés után a fertőzött eszközön rendszeradminisztrátori jogosultságot kér egy fiktív "rendszerfrissítés" keretében. Ezt engedélyezve a kártevő engedélyt kap a képernyőfeloldó jelszó megváltoztatására, a képernyő zárolására és a szöveges üzenetek kémlelésére.
 
Miközben a felhasználó boldogan használja az új időjárásos alkalmazását, a háttérben a trójai folyamatosan bizalmas információkat, banki adatokat és SMS-eket szivárogtat ki a vezérlőszerverére. Ezen képességei révén az SMS-ekre épülő kétfaktoros hitelesítések biztonságát is veszélyezteti.
 
Honnan tudhatjuk, hogy fertőzött a készülékünk?
 

„Ha letöltöttük a Good Weather alkalmazást, akkor nézzük meg az ikonját az alkalmazások között. Ha a lenti ábrán megjelenő sárga ikont látjuk, akkor biztonságban vagyunk. Ha nem találjuk az ikont, vagy az app csak widget-ként működik, akkor menjünk a Beállítások -> Alkalmazások menüpontba, és ha a kék ikont találjuk ott, akkor a rosszindulatú programot töltöttük le”

– nyilatkozták az ESET szakemberei.
Ha a káros program található a mobilon, akkor azt el kell távolítani, majd célszerű egy ellenőrzést lefuttatni valamely mobilbiztonsági szoftverrel.
 
A káros alkalmazásokat már visszavonták a Google Play áruházból, így az eredeti Good Weather alkalmazás biztonságosan letölthető. Azonban további hamis alkalmazások bármikor beszivároghatnak a Google Play áruházba, így fontos az óvatosság:
 

• Ha letöltünk egy alkalmazást a Google Play áruházból, akkor ismerjük meg, hogy mihez kér engedélyt a program, és csak akkor adjuk meg a jogokat, ha azok valóban szükségesek az app működéséhez.
• Ha gyanús információkkal találkozunk a szoftver leírásában vagy az értékelések között, akkor erősen fontoljuk meg az alkalmazás letöltését.
• A futtatás során folyamatosan figyeljük, hogy mihez kér engedélyt az alkalmazás.
• Használjunk megbízható, naprakész mobilvédelmi megoldásokat.