Facebookos jelszavakat lop a GhostTeam vírus

A Facebook fiókokra is veszélyes GhostTeam kártékony program több mint 50 olyan mobil alkalmazásban volt kimutatható, amelyek a hivatalos Google Play áruházba is felkerültek.
 
hirdetés
Sajnos már nem számít szokatlan jelenségnek az, amikor a biztonsági cégek arról számolnak be, hogy a Google Play áruházban kártékony alkalmazásokra akadtak. A napokban is ez történt, amikor az Avast és a Trend Micro szakemberei egy olyan károkozót lepleztek le, amely eddig 53 androidos szoftverben volt kimutatható. A GhostTeam néven emlegetett ártalmas kód már 2017 áprilisában is jelen lehetett a Google alkalmazásboltjában, és azóta fertőzte az okostelefonokat, táblagépeket.
 
A GhostTeam több lépcsőben, meglehetősen alattomosan fertőz. Először ugyanis egy teljesen ártalmatlan, legitim funkciókkal rendelkező alkalmazás formájában kerül fel a rendszerre azáltal, hogy egy ilyen appot a felhasználó letölt és telepít. Majd egy kis idő múlva ez az alkalmazás önálló életre kel, és kapcsolódik egy kiszolgálóhoz, amelyről egy további szoftvert szerez be. Emellett hamis üzeneteket is megjelenít annak érdekében, hogy a felhasználó megtévesztésével különféle engedélyekhez, jogosultságokhoz jusson.
 
Amint a második fertőzési fázis is lezajlik, akkor a károkozó rögtön, meglehetősen agresszív és bosszantó módon hirdetéseket kezd megjeleníteni. De ez még mindig csak a kezdet, ugyanis van ennél problémásabb jellemzője is a szerzeménynek.
 
Veszélyben a Facebook fiókok
 
A GhostTeam egy nagyon fontos képessége, hogy alkalmas Facebook profilokhoz tartozó hitelesítő adatok kikémlelésére, illetve kiszivárogtatására. Mindezt igencsak trükkösen hajtja végre, ugyanis nem azzal a gyakori technikával él, amivel a hivatalos Facebook appot meghamisíthatná. Ehelyett azt figyeli, hogy a felhasználó mikor kezd facebookozni. Ekkor gyorsan megjelenít egy saját ablakot, benne a közösségi oldal bejelentkező felületével. A trükk lényege, hogy ebbe az oldalba a kártevő beilleszt egy olyan JavaScript kódot, amely a bejelenetkezéskor lementi a felhasználó által megadott hitelesítő adatokat, amiket a GhostTeam egy kis idő múlva feltölt a vezérlőszerverére.


Egy kártékony alkalmazás - Forrás: Trend Micro
 
A Google cselekedett, de már későn
 
A GhostTeammel fertőzött mobil alkalmazásokat a Google eltávolította a Play áruházból. Azonban az appok még sok készüléken megtalálhatók lehetnek. A Trend Micro közzétette a problémás szoftverek listáját, és azt tanácsolta, hogy aki telepítette valamely appot, az mihamarabb távolítsa el azt. Emellett egy fertőzést követően célszerű megváltoztatni a Facebook jelszót, és bevetni a kétfaktoros hitelesítés adta lehetőségeket.
Vélemények
 
  1. 3

    A NetBSD fejlesztői két sebezhetőségről számoltak be.

  2. 3

    A SharePoint fejlesztői két biztonsági rést foltoztak be.

  3. 4

    Az Adobe több tucat biztonsági frissítést adott ki az Acrobat, illetve a Reader alkalmazásaihoz.

 
Partnerhírek
G DATA vs. Tamás zsarolóvírusa

Kaptunk egy új zsarolóvírus mintát Tamástól, aki azt írta nekünk, hogy a VirusTotal szerint ezt az új kártevőt egy neves vírusirtó sem tudja megállítani.

Jól fizet a hibavadászat

A legjobban kereső etikus hackerek 2,7-szer jobban keresnek, mint a hazájukban dolgozó szoftverfejlesztő mérnökök – derült ki egy friss felmérésből.

hirdetés
Közösség
1