PC-kről ugrik át egy vírus az okostelefonokra

Egy számítógépes vírus arra vetemedett, hogy az áldozatául eső rendszerekhez csatlakoztatott Android és iOS kompatibilis mobilokat könyörtelenül megfertőzze.
 

A Palo Alto Networks beszámolt arról a vizsgálatáról, amelyet a DualToy nevű trójaival kapcsolatban végzett. A szakemberek érdekes felfedezéseket tettek, és egyben bizonyítékát adták annak, hogy a platformfüggetlen vírusterjesztésnek számos módja lehetséges. 

Maga a DualToy alapjaiban nem egy teljesen új szerzemény, hiszen már 2015-ben lelepleződött. Azonban azóta a kutatók több mint nyolcezer egyedi változatát azonosították, vagyis a károkozó nagyon gyorsan képes kisebb-nagyobb mértékben változni. Az első variánsa még inkább a PC-k ostromlására koncentrált, majd Android alapú okostelefonok és táblagépek megfertőzésére alkalmas komponensekkel gyarapodott. A legújabb változatai pedig már az iOS - bizonyos körülmények közötti - kompromittálására is képesek.

Minden a PC-ről indul

Amikor a DualToy egy Windows-os PC-re felkerül, akkor azon jól ismert folyamatokat fertőz meg, és azok mögül végzi a tevékenységét. Így például a Feladatkezelőben is nehezebb kiszúrni a jelenlétét. A számítógépen módosítja a webböngészők beállításait, majd kéretlen reklámokat jelenít meg. Miközben a hirdetéseivel bosszantja a felhasználót, aközben ellenőrzi, hogy a PC-n megtalálható-e az ADB, illetve az iTunes szoftver. Amennyiben nem, akkor feltelepíti azokat. Erre a mobil eszközök megfertőzéséhez van szüksége. 

Amikor a felhasználó a fertőzött PC-jéhez egy androidos okostelefont vagy táblagépet csatlakoztat, akkor a trójai aktivizálódik, és megpróbál ADB-n keresztül alkalmazásokat telepíteni a készülékre. Az eddigi tapasztalatok azt mutatják, hogy a telepített szoftverek általában kínai nyelvű játékprogramok, amik korántsem a hivatalos Google Play áruházból kerülnek fel a mobilokra.
Amennyiben a fertőzött számítógéphez egy iOS-alapú készülék, például egy iPhone vagy iPad csatlakozik, akkor a trójai különféle ipa fájlokkal próbál visszaélni. Ha sikerül feltelepítenie a saját fájljait a készülékre, akkor azon adatlopásba kezd. Olyan adatokat iránt mutat túlzott kíváncsiságot, mint például az IMEI/IMSI azonosítók, az eszköz típusa, a firmware verziója és a telefonszám. Az összegyűjtött adatokat titkosítja, majd feltölti a vezérlőszerverére. Fontos megjegyezni, hogy a kutatók már olyan változattal is találkoztak, amely egy Apple ID és jelszó bekérésre alkalmas felületet jelenít meg. Ha ezen a felhasználó megadja az azonosítóját és a jelszavát, akkor azok rögtön a csalók kezébe kerülnek. 

A Palo Alto Networks kitért arra, hogy a DualToy hatékonyságát szerencsére jelentősen csökkentik az újabb mobil operációs rendszerekbe épített védelmi vonalak. Így az ADB (USB-debugging) tiltása, valamint az iOS sandbox is keresztbe tud tenni a kártevőnek. Ennek ellenére a vírusvédelmet célszerű úgy kialakítani, hogy az a PC-k mellett a mobil eszközökre is kiterjedjen.