Facebookos jelszavakat lop a GhostTeam vírus

A Facebook fiókokra is veszélyes GhostTeam kártékony program több mint 50 olyan mobil alkalmazásban volt kimutatható, amelyek a hivatalos Google Play áruházba is felkerültek.
 

Sajnos már nem számít szokatlan jelenségnek az, amikor a biztonsági cégek arról számolnak be, hogy a Google Play áruházban kártékony alkalmazásokra akadtak. A napokban is ez történt, amikor az Avast és a Trend Micro szakemberei egy olyan károkozót lepleztek le, amely eddig 53 androidos szoftverben volt kimutatható. A GhostTeam néven emlegetett ártalmas kód már 2017 áprilisában is jelen lehetett a Google alkalmazásboltjában, és azóta fertőzte az okostelefonokat, táblagépeket.
 
A GhostTeam több lépcsőben, meglehetősen alattomosan fertőz. Először ugyanis egy teljesen ártalmatlan, legitim funkciókkal rendelkező alkalmazás formájában kerül fel a rendszerre azáltal, hogy egy ilyen appot a felhasználó letölt és telepít. Majd egy kis idő múlva ez az alkalmazás önálló életre kel, és kapcsolódik egy kiszolgálóhoz, amelyről egy további szoftvert szerez be. Emellett hamis üzeneteket is megjelenít annak érdekében, hogy a felhasználó megtévesztésével különféle engedélyekhez, jogosultságokhoz jusson.
 
Amint a második fertőzési fázis is lezajlik, akkor a károkozó rögtön, meglehetősen agresszív és bosszantó módon hirdetéseket kezd megjeleníteni. De ez még mindig csak a kezdet, ugyanis van ennél problémásabb jellemzője is a szerzeménynek.
 
Veszélyben a Facebook fiókok
 
A GhostTeam egy nagyon fontos képessége, hogy alkalmas Facebook profilokhoz tartozó hitelesítő adatok kikémlelésére, illetve kiszivárogtatására. Mindezt igencsak trükkösen hajtja végre, ugyanis nem azzal a gyakori technikával él, amivel a hivatalos Facebook appot meghamisíthatná. Ehelyett azt figyeli, hogy a felhasználó mikor kezd facebookozni. Ekkor gyorsan megjelenít egy saját ablakot, benne a közösségi oldal bejelentkező felületével. A trükk lényege, hogy ebbe az oldalba a kártevő beilleszt egy olyan JavaScript kódot, amely a bejelenetkezéskor lementi a felhasználó által megadott hitelesítő adatokat, amiket a GhostTeam egy kis idő múlva feltölt a vezérlőszerverére.


Egy kártékony alkalmazás - Forrás: Trend Micro
 
A Google cselekedett, de már későn
 
A GhostTeammel fertőzött mobil alkalmazásokat a Google eltávolította a Play áruházból. Azonban az appok még sok készüléken megtalálhatók lehetnek. A Trend Micro közzétette a problémás szoftverek listáját, és azt tanácsolta, hogy aki telepítette valamely appot, az mihamarabb távolítsa el azt. Emellett egy fertőzést követően célszerű megváltoztatni a Facebook jelszót, és bevetni a kétfaktoros hitelesítés adta lehetőségeket.
Vélemények
 
  1. 3

    A VMware 3D-gyorsítás funkciója kapcsán egy biztonsági hibát kell megszüntetni.

  2. 3

    A Wireshark legújabb biztonsági frissítésével három sebezhetőséget lehet megszüntetni.

  3. 1

    A CoinMiner trójai kriptopénz bányászatba vonja be a linuxos számítógépeket.

 
Partnerhírek
Adat szivároghat a jelkóddal lezárt iPhone-okból

Az Apple új verziójú mobil operációs rendszerében akkor is hozzá lehet férni egyes adatokhoz, ha egyébként a telefont jelkóddal lezárták.

​Az ESET új nagyvállalati portfóliója

Az ESET idén is támogatóként jelent meg Magyarország egyik legnagyobb szabású IT biztonsági rendezvényén, az ITBN 2018. konferencián.

hirdetés
Közösség
1