Ismét lecsapott az okostelefonokra a Gustuff vírus

A Cisco biztonsági szakértői rossz hírekkel szolgáltak: visszatért az androidos telefonokat fertőző, banki adatokra éhes Gustuff vírus.
 

A Gustuff mobil trójai eddigi története nem hosszú, de annál érdekesebb. A szerzeményt előszőr a Cisco Talos biztonsági kutatói azonosították idén áprilisban. A felfedezésük publikálását követően a kártékony program készítői - eddig ismeretlen okból - egyszerűen lekapcsolták a vezérlőszervereiket, így látszólag elvesztették a kontrollt az addig megfertőzött készülékek felett. Ekkor akár azt is gondolhattuk volna, hogy megijedtek, és inkább felhagytak a ténykedésükkel, de júniusban kiderült, hogy erről szó sincs. Egész egyszerűen az történt, hogy a vezérlőszerveik helyett SMS-üzenetekkel kezdték terjeszteni, illetve utasítani a kártékony kódjukat. Ez ugyan kevésbé volt hatékony számukra, de úgy látták, hogy így hosszabb távon tudják fenntartani a kialakított botnet hálózatukat. A kártevő mögött meghúzódó csoport nyár óta folyamatosan végzi a nemkívánatos tevékenységét, és az elmúlt napokban egy újabb Gustuff variáns terjesztésébe kezdett.
 
A Gustuff eredetileg sem volt egy nulláról megírt mobilvírus, ugyanis arra a Marcher nevű banki trójaira épült, amely már évek óta ismert a biztonsági cégek előtt. A legújabb variánsa viszont számos újdonságot hozott, és mind felépítésben, mind funkcionalitásban egyre jobban távolodik a Marcher-féle gyökerektől. Ez egyebek mellett abban is megnyilvánul, hogy az új változat már nem kizárólag banki adatokat, bank- és hitelkártyaszámokat igyekszik megkaparintani, hanem kormányzati szervek által üzemeltetett szolgáltatásokhoz tartozó hitelesítő adatokat is kémlel. A szerzemény eddig elsősorban ausztrál célpontok ellen fordult, így ausztrál banki, adóhivatali és társadalombiztosítási szolgáltatások iránt mutat fokozott érdeklődést.
 
A kártékony program jelentős mértékben épít a JavaScript adta lehetőségekre. Amikor felkerül egy készülékre, akkor azon türelmesen várakozik, majd egyszer csak megjelenít egy webes űrlapot, amelyen arra kéri a felhasználót, hogy frissítse a hitelkártyájának adatait. (A késleltetésre azért van szükség, hogy a felhasználó a kártékony app telepítését követően kevésbé fogjon gyanút, és kisebb valószínűséggel vonjon párhuzamot a történtek között.)
 
A Gustuff nem véletlenszerűen teszi azt, amit tesz. Ha például a felhasználó az ausztrál kormány meghatározott weboldalát böngészi, akkor a kártevő egy hamis bejelentkező képernyőt jelenít meg. Ha ezt a trükközést nem veszi észre a készülék tulajdonosa, és megadja a bejelentkező adatait, akkor azok rögtön az adattolvajok kiszolgálóira kerülnek. A még tavasszal leállított vezérlőszerverek ugyanis ismét aktivak, és képesek a fertőzött mobilok vezérlését ellátni. A kártevő rendszeresen kapcsolódik ezekhez, és vagy egy egyszerű "ok" üzenetet kap vissza, vagy egy végrehajtandó parancsot.  
A terjedésről
 
A Gustuff első variánsainak terjesztésére szolgáló hivatkozások számos alkalommal bukkantak fel a Facebookon. Aztán a nyári újjászületést követően a Facebookkal megtámogatott vírusterjesztést felváltották a szintén megtévesztő, instagramos bejegyzések. Most pedig az SMS lett a legfontosabb csatornája a vírusíróknak. Előfordult például egy fertőzött okostelefonról óránként 300 SMS-üzenetet küldtek ki a háttérben a mobilvírus minél szélesebb körű terjesztése érdekében.

Védekezési tanácsok

A Cisco szerint a Gustuff - és minden hasonló funkcionalitású kártékony program - elleni védelem kialakítása során nagyon fontos szerepe van a kétfaktoros hitelesítés alkalmazásának, és a biztonságtudatos mobilhasználatnak. Mindezek mellett célszerű mobilbiztonsági alkalmazásokat is használni.