Szerző: Hlács Ferenc

2019. szeptember 12. 09:20:00

Két tucat malware-rel fertőzött app bukkant fel a Play Store-ban

A Joker kártevőt tartalmazó, hirdetéseket kattintgató és felhasználói adatokat is begyűjtő appok összesen közel félmillió letöltést halmoztak fel.

Újabb malware kampány vette célba az Android platformot, és akárcsak korábban több más kártevő, fertőzött alkalmazásival a Play Store védvonalain is át tudott csúszni. Az eset ismét rávilágít a Google mobilos platformjának erősen foghíjas biztonságára, ami a hónapról hónapra felbukkanó új fenyegetések dacára sem látszik javulni.

A szóban forgó kártevőt a CSIS Security Group biztonsági szakértői fedezték fel, a trójai összesen 24, a Play Store-ból letölthető alkalmazásban volt ott - amelyek összesített letöltésszáma meghaladja a 472 ezret. A Jokerként emlegetett rosszindulatú szoftver a készülékekre jutva a háttérben interakciót szimulál különböző, hirdetéseket tartalmazó weboldalakkal, illetve a készülékadatokat, sőt az adott felhasználó kontaktlistáját és SMS üzeneteit is továbbítja a támadók szervereire.

andrmalw

A malware tevékenysége az adatlopáson túl ráadásul nem merül ki a hirdetések kattintgatásában, de prémium szolgáltatásokra is előfizet a felhasználó nevében - ehhez az adott weboldalakra szabott automatizált interakciót követően a bejövő jóváhagyó SMS-ekből másolva ki a megerősítő kódokat. A fertőzött alkalmazások jelentős része egy MCC (Mobile Country Code) listát is tartalmaz, és csak az abban megtalálható országokban kiadott SIM-eket észlelve lé működésbe. A kutatók szerint összesen 37, főként európai és ázsiai országról van szó, akadnak ugyanakkor régiófüggetlenül működő fertőzött appok is a 24 renitens alkalmazás között.

Machine learning és Scrum alapozó képzések indulnak! (x) A HWSW októberben induló gyakorlatorientált, 10 alkalmas, 30 órás online képzéseire most early bird kedvezménnyel lehet regisztrálni!

A kártevő vizsgálatát megnehezíti, hogy HTTP-n keresztül parancsokat és dinamikus kódot is fogad, utóbbit pedig JavaScript-to-Java callbackeken keresztül futtatja. Ezzel a támadók nagyban megnehezítik a fertőzött appok statikus analízisét, hiszen egy sor utasítás nincs magába az alkalmazásba kódolva. A rejtőzködést az is segíti, hogy a Joker indítókomponensét a készítők az appokban található hirdetési keretrendszerekbe ágyazták, ami ismét nehezebbé teszi annak elcsípését a szakértők számára.

A kutatók szerint a Joker nagyjából idén június eleje óta lehet aktív, de nem kizárt, hogy annak készítői már korábban is futtattak a kártevőre építő kampányokat. A biztonsági szakértők jelezték a problémát a Google felé, a keresőóriás pedig gyorsan törölte is a fertőzött alkalmazásokat a Play Store-ból. A vállalat hivatalos alkalmazásboltjában is érdemes tehát továbbra is nyitott szemmel járni, és az appok letöltése előtt vetni egy pillantást a potenciálisan gyanús működésre utaló felhasználói véleményekre, illetve az alkalmazás által igényelt engedélyekre is.

a címlapról