Itt az első mobil botnet

2009. július 17. 10:55 - Csizmazia Darab István [Rambo]

Ha valaki eddig teljesen feleslegesnek tartotta a mobileszközön futó vírusirtót, mostantól könnyen lehet, hogy megváltozik a véleménye.

A TrendMicro kutatói figyeltek fel a egy olyan Symbian S60 platformon terjedő féregre, amely képes volt arra, hogy a telefon internetes kapcsolata esetén egy távoli szerverről adatokat letöltve SMS üzeneteket küldözgessen például a telefonból kiolvasott címjegyzékre. Ugyanakkor az is újszerű, hogy képes a telefonból kiolvasni előfizetői és egyéb adatokat, amiket pedig erre a szerverre küld el. A kártevő egy korábbról már ismert, de most extra tulajdonságokkal felruházott új variáns. A kutatók legrosszabb forgatókönyve szerint elképzelhető egy ilyen fertőzéssel növekvő, spam terjesztést végző botnet kialakulása.

Ha valaki emlékszik még a mobil kártevők múltjára, csak néhány és inkább bosszantó, mint óriási kárt okozó egyedek szerepeltek a listán, és elterjedtségük is csekély volt. A veszélyeknek pedig látszólag befellegzett, amikor kiadták az S60 R3 jelű, illetve a Symbian 9.0 verziókat, hiszen ezek számos jelentős, a biztonság szempontjából kulcsfontosságú változtatást tartalmaztak. A legfontosabb talán az a változás volt, hogy ettől kezdve már csak a Symbian és a hozzá tartozó szoftverházak partnerei által digitálisan aláírt csomagokat lehetett telepíteni. Emiatt is érthetetlen, hogyan mehetett át a szűrőn ez a mostani fertőzött alkalmazás. Most persze lehet, hogy jól jönne nekik is egy olyan nagy testvéres, iPhones lehetőség, mint a megadott alkalmazás távoli központi törlése és visszahívása az összes telefonról.

Napjaink okostelefonjai egyre több hálózati képességgel rendelkeznek, és kiváló célpontjai lehetnek a jövőben a kéretlen SMS küldésnek éppúgy, mint a telefonban örzőtt bizalmas adatok ellopásának.

12 komment

A bejegyzés trackback címe:

https://antivirus.blog.hu/api/trackback/id/tr811250831

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

FK 2009.07.17. 14:06:57

Mekkora a botnet? Hány telefont fertőztek meg? Mire használják? Mert ha a legrosszabb forgatókönyv szerint elképzelhető hogy talán kialakulhat egy esetleg veszélyes hasonló... legalább 5 éve erről hallunk, és még sosem alakult ki. Akkor most tényleg itt van, vagy inkább csak szenzációhajhászunk és reklámot csinálunk a mobil vírusirtónak?

FK 2009.07.17. 14:07:49

Ja, hogy hozzá se lehet szólni... az más. Rögtön érthetőbb így :)

FK 2009.07.17. 14:09:31

Ekszkúzmi, hozzá lehet. Lassúinda...

Joindulat SC 2009.07.17. 14:13:13

Na ezért nincs olyan telefonom amin netezni lehet. (de lehet,hogy azért ,mert csóró vagyok) Elég ha a pc-ből lesz zombi gép... De azért ezt jó tudni.
"Napjaink okostelefonjai egyre több hálózati képességgel rendelkeznek" - a juzerek meg még mindig nem értenek hozzá.

D9 2009.07.17. 15:23:29

Elso korben ez nem virus, es nem fereg, mert nem tud terjedni, ez egy egyszeru malware, nemletezo fertozesi vectorral. Ilyet kb. fel ora alatt ossze lehet dobni a vilag akarmelyik hw/os platformjara, csak semmi ertelme.

Masodik korben, eljen a szakerto internetes ujsagiras, amely felfujja a semmit, es szenzaciot probal belolle gyartani. Az eredeti oldalon (blog.trendmicro.com/signed-malware-coming-to-a-phone-near-you/) nagyon korekten leirtak hogy ez egy "signed malware", es kb. a cikk lajan vagy egy (hibasan) elejtett megyjezes hogy "it appears to be a botnet" Aztan a geek-com-on rogton felfujtak hogy "itt az elso mobil botnet", amit aztan a "szakerto" szo szerint at is vett mindenfele ellenorzes nelkul.

Innen mar csak remenykedni lehet hogy ez egyszeru figyelmetlenseg, es nem az idezett AV gyarto forgalom-novelo huzasa.

(es mindezektol fuggetlenul, az egyedul erdekes kerdes az egesz temaban az, hogy 1. hogy is van ez digitalisan alairva, 2. miert nem lehet az S60-ban alairasokat visszavonni, de vegul is ezek szakmai kerdesek, amik nem erdekelnek senkit)

mash/the collective 2009.07.17. 16:07:40

"miert nem lehet az S60-ban alairasokat visszavonni, de vegul is ezek szakmai kerdesek, amik nem erdekelnek senkit"

Mert a Symbian egy rakás kaka! Azért.

Csizmazia Darab István [Rambo] · http://antivirus.blog.hu 2009.07.17. 21:45:52

Idézek a posztból:

"Emiatt is érthetetlen, hogyan mehetett át a szűrőn ez a mostani fertőzött alkalmazás. Most persze lehet, hogy jól jönne nekik is egy olyan nagy testvéres, iPhones lehetőség, mint a megadott alkalmazás távoli központi törlése és visszahívása az összes telefonról."

Vagyis szerintem volt szó az aláírással kapcsolatos érdekes kérdésről.

Dancho papa is nézegette már a mintát:
ddanchev.blogspot.com/2009/07/transmitterc-mobile-malware-in-wild.html

prof. Perselus Piton 2009.07.20. 08:03:03

Sziasztok!

Nem ebbe a témába tartozik, de nem tudtam, hová írjam.

Mit jelent az a Nod víruskeresési naplójában, hogy "hiba- ismeretlen tömörítési eljárás" ?

Egészen pontosan a System Volume Information különböző összetevőinél jelenik meg.

A válaszokat előre is köszönöm!

Csizmazia Darab István [Rambo] · http://antivirus.blog.hu 2009.07.21. 12:51:50

Szia!

Elképzelhető, hogy esetleg valamiféle egészen új tömörítő, de pontosat akkor lehetne mondani, ha az adott állományt és a képernyőképet elküldöd a support KUKAC sicontact PONT hu címre.

prof. Perselus Piton 2009.07.22. 18:28:02

Az állományt nem lehet megnyitni és így elküldeni sem tudom. Azt írja, lépjek kapcsolatba az alkalmazás forgalmazójával és ellenőriztessem, hogy a csomag érvényes Windows telepítőcsomag-e.
És itt beüt a pánik :-(