Lebukott az eddigi legdurvább adatlopó mobilvírus

Biztonsági kutatók az eddigi egyik legösszetettebb, androidos mobilvírust fedezték fel. A szerzemény több mint száz banki és egyéb online szolgáltatáshoz képes jelszavakat kipuhatolni.
 

Az Android alapú okostelefonokat és táblagépeket fertőző kártékony programok továbbra is rohamosan fejlődnek. Nem könnyű tartani velük a lépést, már csak azért sem, mivel egyre komplexebb módon veszélyeztetik a mobilokon lévő értékes adatokat. Ezek felhasználásával pedig könnyedén pénzügyi károkat okozhatnak a felhasználók számára.
 
A mobilvírusok evolúciójának egyik legújabb példáját a Gustuff nevű kártékony program szolgáltatja. A károkozót a Group-IB biztonsági kutatói fedezték fel, majd alaposan szemügyre is vették a szerzeményt. Az elemzések során akadt munka bőven, ugyanis az ártalmas programnak sorba jöttek elő az újabb és újabb képességei. Az azonban jól kirajzolódott, hogy a kártevő készítőinek elsősorban az adatlopás körül forogtak a gondolatai.
 
Komplex vírus
 
A Gustuff összetettségét már az is jól szemlélteti, hogy több mint 100 bank és online szolgáltatás kapcsán képes adatokat megkaparintani. Egyebek mellett 27 amerikai, 16 lengyel, 10 ausztrál és kilenc német pénzintézet ügyfeleit képes rászedni. Arról egyelőre nem érkeztek hírek, hogy magyar bank is lenne a kártevő listáján, de ettől még résen kell lenni, mivel olyan szolgáltatások esetében is tud adathalász támadásokat indítani, mint amilyen például a PayPal, az eBay, a Skype vagy a WhatsApp.
 
A kártékony program nem alkalmaz alapvetően új taktikát. Elsősorban alkalmazások képernyőinek elfedésével, illetve logókkal ellátott felbukkanó üzenetek, értesítők révén igyekszik rászedni a felhasználókat. Ha ez sikerül számára, akkor egy megtévesztő űrlapon bekéri a felhasználónevet és a jelszót, amiket rögtön eljuttat az adattolvajok által üzemeltetett vezérlőszerverekre.
 
A Gustuff rendelkezik egy olyan összetevővel, amely bizonyos esetekben (a tesztek szerint a fertőzések 70 százalékában) képes hatástalanítani - nemes egyszerűséggel kikapcsolni - a Google Play Protect védelmi szolgáltatást. Ezt követően nemcsak az adathalász típusú támadásokra koncentrál, hanem egyebek mellett az alábbi műveleteket is végrehajtja:
- eszközinformációk kiszivárogtatása
- SMS-üzenetek kiolvasása és küldése (saját APK-fájljára mutató linkeket tartalmazó üzenetek terjesztése)
- SOCKS5 Proxy létrehozása
- fájlok, fényképek, dokumentumok feltöltése a vezérlőszerverre
- képernyőképek készítése és kiszivárogtatása.
 
A károkozó arra is alkalmas, hogy a támadóktól kapott megfelelő utasítás hatására gyári beállításokra visszaállítsa a készüléket, ezzel törölve az azon lévő adatokat, fájlokat.
 
Rákaphat az alvilág
 
A Gustuff további vizsgálata során arra is fény derült, hogy az első változatai már 2018 áprilisában feltűnhettek egyes alvilági fórumokon. Jelenleg pedig 800 dollárért vásárolható meg az interneten. Vagyis a kártevő készítői nem saját maguk próbálják terjeszteni a szerzeményüket, hanem inkább értékesítik azt. 
 
A kártékony program ellen leginkább megfontolt alkalmazástelepítéssel, biztonságtudatos mobilhasználattal és mobilbiztonsági alkalmazások telepítésével lehet védekezni.