Antivírus blog

vírusok, férgek, botnetek, kártevők

Cabir, de nem Bedi

2016. november 04. 13:18 - Csizmazia Darab István [Rambo]

A mobiltelefonokra írt vírusok sokáig számítottak ritka állatfajnak, többségük körül a felhajtás néha nagyobb volt, mint az igazi veszély. Kellemetlenséget persze bőven tudtak okozni, és Bluetooth kapcsolaton keresztül terjedő Cabir kapcsán felelevenítünk pár régi mobil kártevős emléket.

2004. júniusában igen érdekes jelenségről számoltak be a hírportálok. A Symbian operációst rendszert futtató mobiltelefonok kerültek ugyanis veszélybe az akkor még igencsak kezdetleges Cabir vírus miatt.

A zseniális újdonság az volt benne, hogy a fertőzött készülék a bekapcsolt vezeték nélküli Bluetooth kapcsolatán keresztül igyekezett továbbterjedni, és tovább tudta adni a vírust egy bizonyos hatótávolságban (néhány méter) található másik telefon készülékre.

Ehhez kiválasztott egy aktív Bluetooth vevővel rendelkező telefont, majd ezek után erre az egy készülékre folyamatosan küldte tovább magát.

A PoC (Proof of Concept, kísérleti) kártevőt az akkoriban megszűnt 29A formáció ValleZ nevű tagja készítette demonstrációs célból: valódi "büntetőrutint" nem is tartalmazott, sőt a forráskódja is elérhető volt az interneten. Illetve a tényleges büntetés tulajdonképpen az volt, hogy a telefon igen hamar lemerült a Bluetooth kapcsolat miatt.

Azt ez követő időszakban aztán seregnyi újabb kihívó érkezett. 2005-ben bukkant fel a CommWarrior, amely már számos tulajdonságában felülmúlta a Cabirt. Nemcsak egyetlen készüléket választott ki a fertőzéshez, hanem minden, a hatótávolságában lévő és aktív Bluetooth kapcsolattal felvértezett telefont igyekezett megfertőzni. Ennél is érdekesebb, hogy saját magát már el is rejtette a feladatkezelőben - szemben a Cabirral, amelyet megtalálása után simán kilőhettünk az akkori FExplorerrel, emiatt sokkal életképesebbnek bizonyult.

A Commwarrior Q a telefonkönyvben szereplő számokra MMS-üzeneteket küldött, emellett a beérkező SMS- és MMS-üzenetekre automatikusan egy fertőzött MMS kiküldésével válaszolt. Nemcsak a telefont, hanem a benne lévő memóriakártyát is megfertőzte.

Ugyancsak 2004-es esemény volt, hogy megjelent a Skulls, azaz Koponyák nevű kód, amely szintén Symbian-alapú mobiltelefonokat tudott megtámadni. Nem volt benne kifejezett büntetőrutin, hanem azt használta ki, hogy a rendszer automatikusan bemásolta a rendszerfájlok nevével egyező nevű fájlokat a telefonba.

Települése után megfertőzte a készülékeket, és ez nemcsak abban nyilvánult meg, hogy minden ikont egy koponyával helyettesített, hanem az alkalmazásokat is elérhetetlenné tette. Ilyenkor két eset közül választhattunk: vagy leformáztuk a telefont - ekkor elveszett minden személyes adatunk, vagy szervizbe kellett menni vele.

A Skulls féreg mérete igen változatos volt - pár tíz kilobájttól egészen az 1-2 megabájtos SIS-csomagig terjedt, és gyakran a Cabir, később a CommWarrior kódját is magában hordozta. Összességében voltak még apróbb-nagyobb kellemetlenséget okozó próbálkozások, például a Fontal nevezetű kártevő, amely az alapértelmezett fontkészletet cserélte le zagyvaságra, ily módon kezelhetetlenné téve a telefont.

Illetve 2008-ból lehet emlékezetes a Windows Mobile rendszerre íródott InfoHijack. Ez a Kínában terjedő károkozó kikapcsolta a Windows CE telepítéssel kapcsolatos biztonsági beállítását, és a megfertőzött készülék gyári sorozatszámát, a futó operációs rendszer adatait, valamint egyéb információkat elküldte a kártevő szerzőjének. Az így manipulált eszközök a későbbiekben védtelenek maradnak káros kódok letöltésénél, hiszen a biztonsági figyelmeztetések már nem jelentek meg.

A "Mérföldköveket" időrendben olyan kártevők tették le, mint a 2006-os Java 2 Micro Edition rendszereb futó RedBrowser, a 2007-es  hívási információkat kikémlelő FlexiSpy, a 2009-es iOS-os OpenSSH-t támadó Ikee, a 2010-es Zeus Zitmo nevű trójai verzió, amely a fertőzött telefonon elfogta a banki SMS aláírási üzenetet. A 2011-es kémkedő DroidDream sajnos már sokezres letöltést tudott elérni a Google Play piactéren, de a 2012-es Boxes nevű SMS trójai is emlékezetes lehet azoknak, akiknek rejtetten kártékony alkalmazásokat telepített.

2013-ból a Fake Defender köszön ránk, ez egy kezdetleges zsaroló program volt, amit aztán 2014-ben a Simplocker követett, ez beolvassa az SD kártya teljes tartalmát, majd titkosítja az adatokat, és csak váltságdíj fizetése után hajlandó ezeket visszaállítani. 2015-ből a Gazon trójait említhetjük, amely kéretlen reklámokkal árasztotta el a felhasználót, és az idei 2016-os évhez elérve az SMS Thief programot lehet érdemes még kiemelni, amely nevéhez híven a szöveges üzeneteinket lopja el.

Szóval a kezdeti "hőskor" elteltével a mai sokkal intenzívebb mobil kártevős időszakban már jóval gyakrabban számíthatunk incidensekre: a készüléklopástól kezdve a megbízhatatlan forrásból letöltött trójai kártevőkig sok dolog veszélyezteti napjaink okostelefonjait. A különféle adattolvaj kémprogramok is mindennaposak, sőt még botnetes fertőzések is előfordultak már.



Emiatt programtelepítésre mindig inkább használjuk a hivatalos piactereket, ez Android esetében a Google Play-t jelenti. Természetesen ez sem 100%-osan biztos garancia, viszont az esetlegesen felbukkanó kártékony trójai kódok felfedezése után kitiltják azokat. Érdemes alaposan megnézni nem csak az applikáció értékeléseit is, hogy a fejlesztő milyen visszajelzéseket kapott, hanem még a telepítés előtt az kért engedélyeket is. Ez utóbbiakból ha indokolatlanul túl sok van, gyanakodjunk, és ne telepítsünk.

És persze a lopásvédelem is fontos - ez utóbbi már alapvető eleme a modern vírusvédelmi alkalmazásoknak, amelyet erősen javasolt a mobileszközökön is használni.

1 komment

A bejegyzés trackback címe:

https://antivirus.blog.hu/api/trackback/id/tr7211929627

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Hóhér az utolsó barátod · http://internetszemete.blog.hu 2016.11.04. 16:02:27

Off: symbian helyett egy m betűvel kevesebbet írtam a gúgliba. Érdekesek a találatok. :D

On: google playben hogy a 'csába lehet megnézni a nem max. pontszámos, netán az egy csillagos értékeléseket? Én csak olyat tudok, hogy csökkenő pontszámok/időrend. Pár ezer értékelésnél már lehetetlen végiglapozni az érdemi, negatív véleményeket is tartalmazó értékelésekig.