A vírusírók túljártak a Google eszén

A Trend Micro, a Sophos és az IBM biztonsági kutatói is vizsgálták azt a két androidos alkalmazást, amelyek kikerültek a hivatalos Play Áruházba, de korántsem azzal a céllal, amiről a leírásuk szólt – hívja fel a figyelmet a Biztonságportál.

A két szoftvert több ezer alkalommal telepítették a felhasználók, mire sikerült kimutatni, hogy valami nagyon nincs rendben.

A probléma forrását a korábbról már ismert, Anubis nevű „banki trójai” okozta, amelynek célja, hogy értékes adatokat szivárogtasson ki a fertőzött készülékekről.

Az egyik kártékony alkalmazás a Currency Converter, míg a másik BatterySaverMobi nevén vált letölthetővé a Play Áruházban. Amikor elindultak egy-egy mobilon, és megkapták a működésükhöz szükséges engedélyeket, akkor kapcsolódtak egy vezérlőszerverhez. Az is előfordult, hogy Twitter vagy Telegram üzenetek révén kommunikáltak a vírusírókkal, akik ilyen módon juttatták el a trójaihoz annak az APK-fájlnak a linkjét, amely az adatlopást lehetővé tette.

Az Anubis kétféle módon képes adatokat zsákmányolni. Egyrészt naplózza a felhasználó által beírt szövegeket, felhasználóneveket, jelszavakat, másrészt pedig rendszeresen képernyőképeket ment le, majd tölt fel a kiszolgálóira. E funkciói akkor aktivizálódnak, amikor a készülék tulajdonosa valamilyen banki, pénzügyi alkalmazást használ.

A biztonsági kutatók szerint az Anubis jelenleg 377 különféle banki appot ismer.

Egyebek mellett adatokat igyekszik kipuhatolni a Santander, az RBS és a Citibank ügyfelektől is. Mindezek mellett akkor is kémkedik, amikor a készüléken az Amazon, az eBay vagy a PayPal használatát érzékeli.

A Google folyamatosan fejleszti azon technológiáit, amelyek révén képessé válik a nemkívánatos appok kiszűrésére, eközben azonban a kiberbűnözők sem pihennek, akik rendszeresen megújuló trükkökkel támadnak. Ezúttal egy nem mindennapos technika mellett tették le a voksukat: a fertőzött rendszer szenzorai alapján megállapítják, hogy a készülék mozgásban van-e. Ha azt érzékeli a vírus, hogy a mobil nem mozog, akkor nem is aktivizálódik, mivel ekkor azt feltételezi, hogy egy virtuális, vagy „sandbox” rendszerbe került, ahol éppen a Google – vagy valamely biztonsági cég – a lebuktatásán dolgozik.