Videó: Android Virus Series #9 - Lycorisradiata (November 2024)
Már jó ideje a trojanizált alkalmazások voltak az egyetlen rosszindulatú program az Androidon. Nevetségesen egyszerű az alkalmazás dekompilálása, hozzáigazítása az engedélyekhez, egy rosszindulatú modul beillesztése, és az alkalmazás új verziójának létrehozása, amely mindent megtesz, amit a régi tett, plusz valami új és csúnya, például szöveges üzenetek küldése a prémiumszámokra. Igen, a hivatalos Android-alkalmazásboltok mindent megtesznek ezen trójaiak felismerése és elutasítása érdekében, de rengeteg nem hivatalos alkalmazásletöltő oldal található. Egyes országokban csak ezekben az alkalmazásokhoz juthat el hely. Míg a trojanizált alkalmazások továbbra is dominálnak, az F-Secure kutatói most már egyre több és több különféle típusú vadon élő Android malware-t látnak.
Profit motívum
A jelentés kimondja, hogy az Android jelenlegi fenyegetéseinek több mint 75% -a pénzt keres az alkotóik számára. Megkérdeztem Sean Sullivan-t, az F-Secure Labs biztonsági tanácsadóját, mi motiválja a többit. "Kémkedés, követés, információlopók és hasonlók" - válaszolta Sullivan. "Szintén elérhetőségi adatok gyűjtése SMS spam célokra (nagy Kínában)." Ebben az esetben elmondta, hogy a kapcsolattartási információkat eladni fogják, de a rosszindulatú szoftverek írója "közvetlenül nem profitál."
A Stels nevű, viszonylag új Android trójai spam-e-mailekre támaszkodik a terjesztés során. Kapcsolatban áll a Cutwail botnettel, amely világszerte hatalmas spamforrás. Az IRS-től e-mailt küldve egy rosszindulatú linket jelenít meg, amely átirányítja az Android-felhasználókat egy oldalra, amely a Flash Player frissítésének szükségességéről szól. Az állítólagos frissítés telepítése valójában engedélyt ad a trójai számára telefonhívások kezdeményezésére; míg alszol, pénzt keres alkotójának, ha felhívja a prémium számokat.
A jelentés utal erre a trójai telefonhívásra: "hosszú sorú (más néven rövid leállítású) hívások." A mondatok egyike sem csengetett nekem. Sullivan kifejtette, hogy különösen a fejlődő országokban egyes számlázási szolgáltatások a VOIP-t használják a hívás rövidebb hazai részéhez, a hagyományos telefonálás pedig a "hosszú" híváshoz. "Ezt az egyébként legitim típusú számlázási szolgáltatást rosszindulatú programok visszaélhetnek" - mondta Sullivan. "Meglehetősen nehéz megmondani, hogy kinek a hosszú sorú száma tartozik a számla felülvizsgálatakor."
Zitmo eladó
A trójai bankok, például a Zeus ellopják az online banki hitelesítő adataikat vagy hozzákapcsolt adataikat az online banki munkamenetek során, hogy saját tranzakcióikat készítsenek. Amikor a bankok kéttényezős hitelesítést adtak hozzá mobil eszközökkel, a rossz fiúk feltalálták a Zeus-in-the-mobile készüléket. Röviden Zitmo néven ez a technika lehetővé teszi, hogy a trójai aláássák a két tényezős hitelesítést. A jelentés szerint a Zitmo használata már nem korlátozódik a "csúcskategóriás Zeus operátorokra", mivel a Perkele nevű új elem már elérhető a "bűnözői termékek piacán".
A jelentés megjegyzi, hogy "Most bárki, aki egy Zeus botnet-et üzemeltet, megfizethető lehetőségeket találhat a Zitmo számára." A kutatók azt találták, hogy ez a trójai olasz, thaiföldi és ausztráliai bankokra irányul, mindegyik példányt úgy alakították ki, hogy hasonlítson a célbank márkanevére.
Mi a következő lépés?
A jelentés rámutat számos további rosszindulatú program taktikára, amelyek most megjelennek az Android arénában. Célzott támadásokat alkalmaztak a tibeti aktivisták ellen. Az a veszély, hogy az F-Secure SmSilence-t hív, személyes információkat lop el, különösen a dél-koreai körzetszámmal rendelkező telefonokról. A hamis állásajánlat-csalások az áldozatokat alkalmazzák, felszámítják a folyamatdíjat, majd semmit sem szállítanak.
A Windows és az Android közötti malware technikák folyamatos "jellemző kúszására" gondolkodva megkérdeztem Sullivan-tól, hogy mit vár tovább. "Már kissé meglepett vagyok - mondta. - Még nem látottunk olyan tinédzsereket (lányokat) célzó adat- / fénykaparó alkalmazásokat, amelyeket azután az áldozatok további anyagának zsarolására vagy kitoloncolására tettünk." Beszélj a funkció kúszásokról!
A teljes jelentés természetesen sokkal részletesebb részleteket tartalmaz. Megtekintheti az F-Secure Labs webhelyen.
