Mellékleteink: HUP | Gamekapocs
Keres
Július 19-én SYSADMINDAY: egy teljes security meetup, számos szórakoztató program, és Felméri Péter standupja várja az érdeklődőket!

A szűz iOS-t is megtámadja az új kémprogram

Hlács Ferenc, 2015. február 06. 10:00
Ez a cikk több évvel ezelőtt születetett, ezért előfordulhat, hogy a tartalma már elavult.
Frissebb anyagokat találhatsz a keresőnk segítségével:

Két új kémprogram fenyegeti az iOS-es eszközöket, amelyek egyike akár a jailbreak nélküli készülékeket is megtámadhatja. Androidon pedig a Google Play kínálatában találtak újra kártevőket.

hirdetés

Noha a mobilplatformokra írt malware-ek jó része az Androidot veszi célba, időről időre felbukkan egy-egy iOS-re szánt rosszindulatú szoftver is. A Trend Micro biztonsági vállalat által felfedezett XAgent és MadCap egy kormányzati, gazdasági és katonai célpontokat valamint a média egyes dolgozóit célzó, nagyszabású online adatszerző akció - a már hónapok óta tartó Operation Pawn Storm - részét képezik.

Jailbreak nélkül is

Miután az XAgent települt az adott eszközre, azonnal elrejti a hozzá tartozó ikont, és futni kezd a háttérben. A kártevőt az adott folyamat leállításával nem lehet eliminálni, az szinte rögtön újraindul. A szoftver eredetileg vélhetően iOS 7-re íródott, mert bár az Apple mobil operációs rendszerének újabb verzióit is képes megfertőzni, azon ikonja látható marad, illetve a folyamatot bezárva a malware nem indul újra. Miután telepítéséhez nincs szükség jailbrake-elt készülékre, kiemelten veszélyes kártevőről van szó.

Az XAgent a fertőzött készüléket szinte teljes egészében képes megfigyelni: a szöveges üzenetek begyűjtése mellett az eszközön tárolt képekhez, a címtárhoz, a telefon vagy tablet földrajzi pozíciójához, a futó folyamatokhoz, a Wi-Fi állapotához és a telepített appok listájához is hozzáfér, sőt, hangfelvételt is indíthat. A malware tevékenységi naplóját áttekinthető, színkódolt HTML formátumban küldi továbbítja a vezérlőszervernek - biztonsági szakértők szerint egy jól karbantartott, folyamatosan frissített kártevőről van szó. A begyűjtött tartalmakat az XAgent FTP szerverre is képes feltölteni. A MadCap, amely csak nevében azonos a teljesen ártalmatlan iOS-es játékkal, nagyon hasonlít az előző malware-hez, ugyanakkor ez már csak jailbrake-elt eszközökre telepíthető.

Különösen aggasztó, hogy a szakértők egyelőre egyik kémprogram esetében sem tudják biztosan, hogy azokat a támadók milyen módszerrel juttatják el a kiszemelt készülékekre. Mindössze annyi ismert, hogy az XAgent időnként az iOS ad hoc provisioning funkcióját meglovagolva jut be a rendszerbe - utóbbi lehetővé teszi, hogy a felhasználók egy linket lekattintva rögtön telepítsenek egy-egy alkalmazást. A kutatók azt sem tartják kizártnak, hogy a malware-eket korábban megfertőzött windowsos PC-k, USB-kábelen keresztül juttatják a csatlakoztatott eszközökre.

Az újonnan felfedezett rosszindulatú szoftverek a Trend Micro szakéritői szerint közeli rokonságban állnak a Windowst támadó, ugyancsak illegális adatszerzésre használt SEDNIT malware-rel, amelyet az online kémkedésre szakosodott Sednit csoport már korábban is bevetett a Pawn Storm keretein belül.

A kártevők megint a Play Store-ban vannak

Eközben Androidon sem jobb a helyzet, az Avast kutatói ugyanis már a Google Play eddig biztonságosnak vélt tartalmai között is találtak kártékony appokat, melyeknek sikerült átcsúszniuk az online áruház szűrőin. A vállalat három ilyen szoftvert talált: a Durak nevű 5-10 milliós telepített bázissal rendelkező kártyajátékot, továbbá egy történelmi oktatóappot és egy IQ tesztet. Az alkalmazásokat a Google a bejelentést követően azonnal eltávolította szoftverboltjából, ugyanakkor ha fenti három app elkerülhette a keresőóriás figyelmét, jó esély van rá, hogy további kártevők is akadnak még Google Play repertoárjában.

Az itt elcsípett malware-ek nem kémprogramok, az adware-ek sorait bővítik, azaz nem kívánt reklámokkal bombázzák a felhasználókat, illetve potenciálisan káros weboldalakat és alkalmazásokat ajánlanak nekik. A hasonló szoftverek bevált trükkje, hogy tevékenységüket nem azonnal, hanem akár 30 napos várakozás után kezdik meg, így a felhasználó sokáig nem gyanakszik rájuk.

Facebook

Mit gondolsz? Mondd el!

Adatvédelmi okokból az adott hír megosztása előtt mindig aktiválnod kell a gombot! Ezzel a megoldással harmadik fél nem tudja nyomon követni a tevékenységedet a HWSW-n, ez pedig közös érdekünk.
A IT-üzemeltetők világnapján egy teljes security meetup, számos szórakoztató program, és Felméri Péter standupja várja az érdeklődőket az Ankertbe.