Az ESET kutatói az új malware esetében azt tapasztalták, hogy tipikusan a klasszikus PC számítógépes férgekre jellemző jellegzetes terjedési technikákat használja. Ott ugye azt tapasztaljuk, hogy tulajdonképpen többé-kevésbé automatikusan igyekeznek mind levélmellékletben, külső adathordozókkal Autorun-os konstrukcióban, illetve URL linken keresztül, valamint azonnali csevegő és Facebook üzenetként is tovább terjedni. Nos itt pedig az történik, hogy a fertőzött készülék tulajdonosának minden ismerőse kap egy SMS üzenetet azzal a szöveggel, hogy “Это твои фото?” magyarul "ez a te fényképed?". A melléklet "természetesen" egy preparált kártékony .APK állomány, amelyre óvatlanul kattintva a következők történhetnek.
Trójaiként igyekszik saját magát legitim hasznos alkalmazásnak feltüntetni, ehhez pedig a "com.android.tools.system v1.0" álnevet használja. Települése után viszont az alkalmazás sem grafikus felületet, sem pedig megjeleníthető ikont nem jelenít meg. A downloader típusú kártevőkhöz hasonlóan megkísérel további kártékony kódokat a telefonra letölteni, illetve kémkedik is utánunk. Magyarul a készüléken tárolt bizalmas információkat, beleérte a kontaktlistánkat és a szöveges üzeneteinket is, rejtve feltölti egy távoli szerverre.
Emellett a klasszikus módit is beveti, vagyis feliratkozik a nevünkben emelt díjas SMS szolgáltatásokra, illetve ezen felül a telefon hívások blokkolására is képes, valamint az ébresztő beállításait is tudja manipulálni, kikapcsolni. A támadáshoz használt, és a kártevőelemzők által beazonosított szerver doménjét mindössze pár napja, 2014. április 24-én regisztrálták csak be. A védekezésben nyilvánvalóan az is fontos momentum, hogy új ismeretlen alkalmazások esetén ne csak bambán next-next-finish módjára telepítsünk, hanem valóban nézzük át és ellenőrizzük az app által igényelt engedélyeket.
A kártevőt az ESET termékei Android/Samsapo.A néven detektálják. A trükk egyébként nem véletlenül lehet ismerős a social engineering iránt érdeklődőknek illetve törzsolvasónknak, hagyományos PC-s környezetben elkövetett hasonló cselről ugyanis írtunk már korábban, nagyjából két éve. Vagyis a kíváncsiság, a meglepetés, az ijedtség és a düh rafinált egyvelege sokkal hatékonyabb kattintásmágnes, mint önmagában egyedül csak a kíváncsiság. A tanácsaink a szokásosak: használjunk Androidon is antivírust, plusz javasolt az óvatosság a Google Playen kívüli ismeretlen programok telepítésénél, illetve hasznos a biztonságtudatos hozzáállás a kéretlen e-mailek, közösségi üzenetek esetében. A kutatók csak és kizárólag orosz nyelven és ebben a régióban találkoztak az említett kártevővel, amihez viszont bátran hozzátehetjük azt is, hogy egyelőre.
Új haladócsoportos Android kártevő
Nem csak mennyiségi, hanem minőségi fejlődés is megfigyelhető az Androidos kártevők folyamatos evolúciójában. Nyilván statisztikailag a rejtett feliratkozás emelt díjas SMS-re és az adatlopás vezeti a sort gyakoriságban, de mai trójainkban mindezeket egyszerre látjuk, kiegészülve emellett számos más változatos büntető rutinnal, valamint közösségi oldalakról ismert social engineering terjedési módszerrel.
Hozzászólások
A hozzászóláshoz bejelentkezés szükséges.