Ennyibe kerül egy androidos vírus

A HeroRat androidos trójai terjesztői nagyüzemben végzik a nem éppen áldásos tevékenységüket. A károkozójuk forráskódját sem rejtik véka alá.
 

A HeroRat már korábbról ismerős lehet az andriodos károkozók világából. A szerzemény ugyanis 2017 augusztusában bukkant fel először, amikor Android alapú készlékeket kezdett fertőzni. Miközben folyamatosan fejlődött, és egyre több funkcióval gyarapodott, aközben idén márciusban egy igencsak lényeges esemény történt: a kártevő forráskódja kikerült az internetre. Ennek következtében minden korábbinál több variáns formájában kezdett szaporodni a károkozó.
 
A HeroRat terjesztőit nem igazán zavarta meg az, hogy a trójai forráskódja elszabadult. Mintha mi sem történt volna, folytatták a tevékenységüket, és árulták a szerzeményüket különféle internetes fórumokon. Az "érdeklődök" három verzió (csomag) közül választhattak annak függvényében, hogy milyen funkcionalitásra volt szükségük. A trójai három változatához 25, 50 vagy 100 dollárért lehetett hozzájutni. Emellett a forráskódot is meg lehetett vásárolni nem kevesebb mint 650 dollárért.  
Az ESET biztonsági kutatói által felgöngyölített alvilági ténykedés arra is jó volt, hogy a szakemberek alaposabb elemzésnek vessék alá a HeroRatot. A vizsgálatok során kiderült, hogy a kártevő C# nyelven íródott, illetve Xamarin segítségével készült. Ez viszonylag szokatlan, mivel az androidos vírusok nem éppen a Microsoft technológiával szoktak megszületni. Viszont a kártevő minden funkciója működőképes, és nem is igazán válogat az Android verziói között, amikor készülékeket fertőz.
 
A HeroRat mondvacsinált szolgáltatásokat ígérgető alkalmazások révén terjed. Ezek között lehetnek üzenetküldéssel, Bitcoin kezeléssel, ingyenes internettel, közösségi médiával hitegető appok is. Amikor egy ilyet letölt a felhasználó, akkor először meglehetősen sok jogosultságot kér az adott program. Amennyiben ezt megkapja, akkor alkalmassá válik egyebek mellett a következő tevékenységek végrehajtására:
- képernyő zárolása (képernyőzár kódjának manipulálása)
- fájlok törlése
- üzenetek, címjegyzékek kiszivárogtatása
- hívások kezdeményezése
- hangfelvételek rögzítése
- képernyőképek készítése.
 
A HeroRat általában angol vagy perzsa nyelvű alkalmazásokban bújik meg. A telepítése után egy megtévesztő üzenetet jelenít meg, miszerint az alkalmazás nem képes elindulni a mobilon, ezért el kell távolítani. Ezt követően egy üzenet jelzi, hogy az eltávolítás sikerült. A valóságban azonban a trójai a háttérben marad, és tovább folytatja a tevékenységét.

Óvintézkedések

Az ESET szakemberei mindenkinek azt javasolják, hogy nagyon körültekintően telepítsenek mobil alkalmazásokat. Lehetőleg a hivatalos Google Playről kerüljenek fel az appok a készülékekre, mert így kisebb (de nem nulla) a kockázat. Érdemes az appokhoz tartozó felhasználói véleményeket is átböngészni, illetve mobilbiztonsági szoftvereket használni.