Xenomorph kalandjai GooglePlay országban

2022. február 22. 12:51 - Csizmazia Darab István [Rambo]

Nem egy jó felütés, ha valakiről az az első lényegi megosztható információ, hogy ő az Alien rokona, legalábbis forráskód alapján. Jelen esetben a besorolás egy banki trójai adatlopó kártevő családfára utal, ami talán csak egy fokkal jobb, mintha a Nostromo űrhajó fedélzetén lenne igazi szörnyeteg. De persze a hivatalos androidos piactérre való észrevétlen beszivárgás is lehet adott esetben ijesztő kockázat.

Fast Cleaner néven jelent meg az az alkalmazás a Google hivatalos áruházában, amely azt állította magáról, hogy az androidos eszközök teljesítményét növelik - itt akár deja vu érzésünk is lehet, hasonlókat már átéltük Windows esetében is. Ezek vagy hamis antivírusok voltak, vagy valamilyen memória vagy teljesítmény többszörözést ígérő kamu programok.

Mindenesetre az akkori tanulság a mai korra áttranszformálva biztosan hasznos még ma is: "Soha ne használjunk és ne telepítsünk olyan programot, amelyre rákeresve a Google szinte összes találata 'How to remove...' szófordulattal kezdődik."

Szóval ez a Fast Cleaner android app elsőre teljesen tiszta, és kiállta az elsődleges ellenőrzést a piactérre való feltöltéskor, ugyanis a kártékony funkciókat csak a későbbi frissítéskor tölti le az eszközökre.

A rosszindulatú program onnantól képes figyelni az értesítéseket, az SMS üzeneteket, így például már megszerezheti a bankszámlák védelmére használt kétfaktoros hitelesítő adatokat és az egyszer használatos (OTP) jelszavakat is.

Az engedélyek között megtaláljuk a 2021. márciusában elhíresült FedEx-es csalásnál is használt akadálymentesítési szolgáltatás engedélyeinek kérését is (Accessebility Service), amely abban segít a kártevőnek, hogy észrevétlenné tegye a rosszindulatú működést, teljes jogosultságot ad a támadóknak az eszköz felett, és a későbbi mentesítést, uninstallt is megnehezíti.

A kártékony alkalmazást a beazonosítás előtt már több, mint 50 ezren töltötték le.

A Bleeping Computer cikke szerint a ThreatFabric szakértői folyamatos fejlesztés nyomait látják a Xenomorph kártevő kódjában, ami a mostani 56 európai bankra jelentett alacsonyabb kaliberű veszély körét tovább tágíthatja, és ebbe beleérthetjük a későbbiekben akár hazai bankok elleni modulok megjelenését is.

Egy sajnos biztos, hogy nem utoljára bukkant fel ez a kártevő, továbbfejlesztett új verziói más, szép ígéreteket hordozó újabb trójai alkalmazásokban még sok borsot fognak törni a gyanútlan és felkészületlen felhasználók orra alá.

Védekezés, megelőzés terén nem tudunk újat mondani, csak a szokásos régi okosságokat újra felsorolni. A Maginot-vonalat, azaz a legerősebb védelmi falat ma is egy korszerű és hatékony vírusvédelmi alkalmazás adhatja meg. Ezenfelül lehet, sőt kell a naprakész rendszeres rendszer és alkalmazás frissítéseket alkalmazni. A sok kétes és noname alkalmazás áruház, és letöltési piactér mellett a hivatalos Google Play változatlanul tanácsos, noha önmagában ez nem elég az üdvösséghez.

És emellé kell még a biztonságtudatos alkalmazástelepítés is, ami részben a tudatos program kiválasztást jelenti, beleértve az értékelések, visszajelzések figyelését, valamint a kért és megadott engedélyek alapos átgondolását, felülvizsgálatát is.

4 komment

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

kéki béla 2022.02.23. 12:21:54

"A Maginot-vonalat, azaz a legerősebb védelmi falat ma is egy korszerű és hatékony vírusvédelmi alkalmazás adhatja meg"

Ha kicsit félretesszük, hogy "hazabeszélsz", androidon, ha csak google playről telepítesz alkalmazást, mi értelme a víruskeresőnek?
A play ellenőrzi a felkerülő kódokat, ha van benne kereső által felfedezhető malware, azt megtalálja. Ha nem, akkor jó eséllyel a mobilra telepített kereső sem veszi észre.
Akkor meg minek?

Csizmazia Darab István [Rambo] · http://antivirus.blog.hu 2022.02.23. 13:50:51

Szia.

A vírusirtónak van a legnagyobb értelme, legyen szó adathalászatról, távoli rosszindulatú USSD kódokról, trójaikról, például a Fedexes incindesnél azonnal blokkolta a kártevőt a védelem.

Itt éppen arról van szó, hogy a piactéri feltöltés előtti engedélyhez szükséges ellenőrzés azért nem vette észre, mert akkor még nem is volt benne a későbbi kártékony frissítés. De később bármikor is "mérgezik" meg az appot, nálad az AV azonnal ráugrik és detektálja, blokkolja, megvéd téged. Ez az értelme.

kéki béla 2022.02.23. 14:15:53

@Csizmazia Darab István [Rambo]: bocs, lehet, hogy félreertettem, de ez az eset nem úgy lett felderítve, hogy az ezzel foglalkozó szakemberek fedezték fel a letöltött kártevőket és nem a lokális víruskeresők?

Csizmazia Darab István [Rambo] · http://antivirus.blog.hu 2022.02.23. 14:42:51

Gondolom a bankoknál is lehetett gyanús tevékenység, amit jelentettek, és közben egyes felhasználóknál kár keletkezett vagy beriasztottak náluk a különböző víruskeresők és tudni akarták, hogy ez most vakriasztás vagy komoly. És mikor kielemezték, úgy tűnik komoly lett:

www.threatfabric.com/blogs/xenomorph-a-newly-hatched-banking-trojan.html
süti beállítások módosítása