Vadiúj telefonokhoz kémprogram is jár

Biztonsági kutatók egy banki trójai programot mutattak ki vadontatúj okostelefonokon. Már a boltok polcain fertőzöttek voltak ezek a készülékek.
 

Sajnos nem számít egyedülálló jelenségnek, hogy vadonatúj mobil készülékek vírusosan kerülnek a tulajdonosaik birtokába. 2014 júniusában a G Data jelezte, hogy a kínai Star N9500 okostelefonokon előre telepített kémprogram található. Még ugyanebben az évben a Palo Alto Networks kutatói a CoolReaper nevű, hátsó kapu kiépítésére alkalmas kódot mutatták ki egyes mobilokon. Azóta több hasonló eset látott napvilágot. Ezek közül a legutolsó az orosz Dr.Web biztonsági cég nevéhez fűződik.
 
A víruskutatók huzamosabb ideje fürkészik a kereskedelmi forgalomba került - kevésbé ismert - gyártók termékeit, amelyeken oda nem illő programokat, kódokat keresnek. A legutóbbi vizsgálataik során arra derítettek fényt, hogy számos kínai okostelefon előretelepített módon rejti a Triada nevű banki trójai programot. 
 
A Triada először 2016-ban akadt fent a biztonsági cégek hálóin. Már akkor bebizonyosodott róla, hogy egy meglehetősen makacs szerzeményről van szó, amelyet sok esetben körülményesen lehet eltávolítani az áldozatául eső készülékekről. Képes rootolni az androidos okostelefonokat, illetve táblagépeket, majd adatlopásban vállal szerepet.
 
Mikor került rá a mobilokra?
 
Adódik a kérdés, hogy a Triada mikor és hogyan került fel a vadontatúj telefonokra. Arra egyelőre semmiféle bizonyíték nincs, hogy a károkozót a gyártók szándékosan telepítették. Ennél sokkal valószínűbb, hogy túlságosan megbíztak az egyik, sanghaji illetékességű fejlesztőcégben, amely különféle szoftveres összetevőkkel látta e gyártókat. Ők pedig vakon megbíztak a vállalatban, amely időközben fertőzött komponenseket is terjesztett. Ráadásul ehhez egy olyan digitális tanúsítványt is használt, amely 2016-ban már szerepet kapott a MulDrop nevű reklámprogram Google Play-en keresztül történő terjesztésében. (Akkor a MulDroppal fertőzött alkalmazásokat a felhasználók több mint egymillió alkalommal töltötték le.)
 
Egyelőre nem lehet tudni, hogy a problémás készülékekből a világ mely országaiban értékesítettek. A Dr.Web szerint nemcsak Oroszország érintett, mert már a lengyel, kínai, cseh, mexikói, szerb piacon is sikerült fertőzött példányokra akadni. A magyar helyzetről egyelőre nem érkeztek hírek.
 
A Dr.Web kutatói az alábbi típusú készülékek esetében mutatták ki a Triada károkozót:
Leagoo M5
Leagoo M5 Plus
Leagoo M5 Edge
Leagoo M8
Leagoo M8 Pro
Leagoo Z5C
Leagoo T1 Plus
Leagoo Z3C
Leagoo Z1C
Leagoo M9
ARK Benefit M8
Zopo Speed 7 Plus
UHANS A101
Doogee X5 Max
Doogee X5 Max Pro
Doogee Shoot 1
Doogee Shoot 2
Tecno W2
Homtom HT16
Umi London
Kiano Elegance 5.1
iLife Fivo Lite
Mito A39
Vertex Impress InTouch 4G
Vertex Impress Genius
Advan S5E NXT
Advan S4Z
Advan i5E
STF AERIAL PLUS
STF JOY PRO
Tesla SP6.2
Cubot Rainbow
EXTREME 7
Haier T51
Cherry Mobile Flare S5
Cherry Mobile Flare J2S
Cherry Mobile Flare P1
NOA H6
Pelitt T1 PLUS
Prestigio Grace M5 LTE
BQ 5510
 
A biztonsági cég felhívta a figyelmet arra, hogy egyéb készüléktípusok is érintettek lehetnek a fertőzés által.
 
Mit lehet tenni?
 
A Dr.Web szerint alapvetően két lehetőség kínálkozik a fertőzött okostelefonok megtisztítására. Egyrészt, ha a készülék rootolt, akkor meg lehet próbálni mobilbiztonsági szoftverekkel, víruskeresőkkel rendbe tenni a telefont. A gyártó az ingyenes kipróbálható Dr.Web Security Space for Android alkalmazását már felkészítette a védelemre, de ez nem jelenti azt, hogy csak e cég szoftvere lenne képes detektálni a kártevőt.
 
Sajnos a vizsgálatok azt mutatják, hogy rootolás nélkül a Triada eltávolítása leginkább csak akkor kivitelezhető, ha az Androidot egy tiszta telepítő segítségével úja lehet installálni. Ezeket a telepítőket pedig leginkább a gyártók weboldalairól célszerű beszerezni, de sajnos korántsem biztos, hogy minden érintett készülékhez elérhetővé válnak a szükséges telepítők.