Szinte kitörölhetetlen Android vírusok terjednek álcázott appokkal

A Kaspersky Lab szakértői felfedezték a Triada nevű új trójait, amely Android eszközöket céloz és bonyolultság tekintetében felveszi a versenyt a Windows alapú vírusokkal.

Lopakodó, moduláris, kitartó és hihetetlen szakértői tudással lett megírva. Az Android OS 4.4.4.-et és a korábbi verziókat futtató eszközök vannak a legnagyobb veszélyben. A Kaspersky Lab legutóbbi Mobile Virusology kutatása szerint a top 20 2015-ös trójai közel fele olyan rosszindulatú program volt, amely képes szuper felhasználói jogokat szerezni. A szuper felhasználói jogosultságok lehetővé teszik a kiberbűnözők számára, hogy a felhasználó tudta nélkül telepítsenek programokat a telefonra.

Ez a fajta malware olyan alkalmazásokkal terjed, amelyeket a felhasználók megbízhatatlan forrásból töltenek le/telepítenek. Ezek az alkalmazások néha megtalálhatók a hivatalos Google Play áruházban is úgy, hogy játéknak vagy szórakoztató alkalmazásnak álcázzák őket. A már meglévő népszerű alkalmazások frissítésekor is települhetnek, esetenként pedig előre telepítették őket az új mobileszközökre. Azok vannak a legnagyobb kockázatnak kitéve, akik az Android OS 4.4.4.-et vagy az operációs rendszer egy korábbi verziót használják.

11 olyan mobil trójait ismerünk, amely root jogosultságokat használ. Ezek közül három, a Ztorg, a Gorpo és a Leech együttműködik egymással. Az ilyen trójaikkal megfertőzött eszközök általában hálózatba szervezik magukat egyfajta reklám botnetet alkotva, amelyet a hackerek különféle adware-ek telepítésére használnak. Röviddel azután, hogy rootolják az eszközt a fent említett trójaik letöltenek és telepítenek egy hátsó ajtót. Ez utána letölt és aktivál két modult, amely képes letölteni, telepíteni és elindítani alkalmazásokat.



A megkülönböztető funkciója ennek a vírusnak a Zygote androidos folyamat használata, amely tartalmazza az eszközre telepített minden alkalmazás által használt rendszerkönyvtárakat és keretrendszereket. Más szóval ez egy démon, amelynek célja, hogy Android alkalmazásokat indítson el. Ez egy standard alkalmazásfolyamat, mely minden újonnan telepített alkalmazás esetében működik. Ez azt jelenti, hogy amint bejut a trójai a rendszerbe, az alkalmazásfolyamat részévé válik és előre telepítve lesz minden alkalmazás elindításánál a készüléken, sőt akár meg is változtathatja az alkalmazás működését.

Ennek a malware-nek nagyon fejlettek a lopakodó képességei. Miután megfertőzte a felhasználó készülékét, a Triada majdnem az összes munkafolyamatba implementálja magát és megmarad a rövid távú memóriában. Ezért vírusellenes megoldásokkal szinte lehetetlen észlelni és törölni. A Triada észrevétlenül működik, ami azt jelenti, hogy minden kártékony tevékenysége mind a felhasználó, mind más alkalmazások előtt láthatatlan marad.

A Triada trójai bonyolult funkcionalitása azt bizonyítja, hogy a mobil platformot nagyon jól ismerő, komoly szaktudással rendelkező kiberbűnözők állnak a malware mögött. A Triada képes módosítani a más alkalmazások által kiküldött sms-eket. Ez jelenleg a malware egyik legfontosabb funkciója. Amikor a fehasználó alkalmazásokon belülről fizet androidos játékokért sms-sel, a kiberbűnözők valószínűleg módosítják a kimenő sms-eket, így a játékfejlesztők helyett ők kapják meg a pénzt.

Mivel szinte lehetetlen ezen malware-ek eltávolítása a készülékekről, a felhasználóknak két lehetőségük van, hogy megváljanak tőlük örökké. Az egyik a készülék rootolása és a malware manuális törlése. A második az Android rendszer jailbreakelése az eszközön.

Kommentek

comments powered by Disqus