Ausztria egyik vezető szállodája elismerte, hogy zsarolóvírus áldozatává vált. A működésképtelenné tett számítógépes rendszer az elektronikus zárral felszerelt ajtókat sem engedte kinyitni, így a vendégek nem tudtak bejutni szobáikba. A G Data arra figyelmeztet, hogy hasonló eset itthon is megtörténhet, ugyanakkor a cég kifejlesztett a zsaroló kártevők ellen egy teljesen új védelmi technológiát.
Egymilliónál több androidos készüléket fertőzött már meg a “Googlian” nevű vírus. Gyorsan kiderítheted, hogy az te mobilodon rajta van-e.
Legalább két hónapja zajlik aktív támadás az Android bizonyos verziói ellen – számol be a Blue Coat Labs IT-biztonsági csoport. A támadás kombinál több nyilvánosságra került exploitot (támadókódot) a Dogspectus zsarolóvírus célba juttatására, amely már a szokásos módon, az eszköz lezárásával igyekszik pénzt kinyerni az áldozattól.
Áttételes támadás
A beszámoló szerint a támadást azt teszi különlegessé, hogy az több, különböző sebezhetőséget használ ki ahhoz, hogy az eszközt lezáró alkalmazást a felhasználó tudta és beleegyezése nélkül, a háttérben telepítse. A támadást az teszi különösen veszélyessé, hogy kiindulási pontja a web, egy rosszindulatú JavaScript lefuttatásával már áldozattá lehet válni. A szakértők tudomása szerint ez az első olyan eset, hogy elegendő egy weboldalt megnyitni ahhoz, hogy az eszköz megfertőződjön és teljesen kinyíljon a támadók előtt.
A támadás részletes vizsgálata során kiderült, hogy a támadás első lépcsőjét az olasz Hacking Teamtől származó exploit adja (félreértés ne essék, ezt nem az olaszok fejlesztették, ők is így vásárolták igazi szakértőktől). Ez egy, a libxslt könyvtárban található hibát használ ki, és adja tovább a kilincset egy másik támadókódnak, egy futtatható Linux ELF állománynak, amely egy másik Towelroot exploitot tartalmaz – ez 2014 vége óta ismert, ez tölti le és telepíti a tulajdonképpeni zsarolóappot .apk formátumban. Mivel a Towelroot teljes root joggal bír, meg tudja kerülni a telepítéskor szokásos dialógusablakokat, és teljes csendben, a felhasználó tudta nélkül tudja végezni a tevékenységét.
Ha ezt látod, akkor áldozat vagy, megkaptad a vírust
A Blue Coat elemzése ennél jóval mélyebbre megy, a támadást kiszolgáló infrastruktúra vizsgálata és az irányító szerverek felkutatása szerint legalább 224 különböző androidos modell van a fertőzött eszközök között, ezek Android 4.03 és 4.4.4 közötti verziószámmal rendelkező rendszert futtatnak. Érdekes módon az eszközök nem mindegyike tartalmazza az első sebezhetőséget, így felmerül, hogy azokat más kombinációval tudták megfertőzni a támadók – de hogy ez pontosan mi lehet, egyelőre nem tudni.
A tulajdonképpeni zsarolóprogram egyébként nem az újabb titkosító malware-ek közé tartozik, hanem az eszköz lezárásával igyekszik pénzt szerezni a felhasználótól. Ezt úgy éri el, hogy csak saját magát hagyja futni, minden más alkalmazás futását megszakítja. Az eszköz újraindítása sem segít, ilyenkor ugyanis először töltődik be a zsarolóapp, és végzi áldatlan tevékenységét. Szerencsére az eszközön található adatokat le lehet menteni, és az eszközt gyári állapotba lehet állítani, ezt nem éli túl a kártékony alkalmazás.
Apokalipszis holnap?
Az Android a számítógépes biztonság szempontjából viszonylag fejlett operációs rendszernek számít, amely a modern biztonsági mechanizmusok nagy részét implementálja. Ez azonban nem jelenti azt (nyilván), hogy a rendszerben, a különböző könyvtárakban és alkalmazásokban ne lennének kritikus hibák. Az okos architektúra meg tudja azt ideig-óriág akadályozni, hogy egy hibától a teljes rendszer kinyíljon, a hibák megfelelő kombinációjával azonban a mélységi védelem is áttörhető.
Emiatt olyan nagyon fontos, hogy az operációs rendszereket rendszeresen frissítsük: az egyes sebezhetőségek ugyanis felhalmozódnak, így egy idő után összegyűlik elegendő információ ahhoz, hogy a támadó egy teljes láncot fel tudjon építeni. Ez csupán idő és befektetett energia kérdése. A befektetett energia adott, a lassan kétmilliárdos telepített bázis igen csábító a támadók számára – az időt kell tehát minimalizálni.
És ezen a ponton csúszik szét az Android biztonsága, az eszközök túlnyomó többsége ugyanis nem kap rendszeres biztonsági frissítést, így lehetséges, hogy sokéves (esetünkben 2014-es) sebezhetőséggel még mindig támadható rengeteg modell. Ez pedig olyan környezetet teremt, ami legutoljára talán a 90-es évek legvégén és a 2000-es évek legelején állt fenn: hálózatra kötött eszközök tízmilliói, minden védelem nélkül, kiszolgáltatva a támadók kényének-kedvének. Akkor a Melissa, Slammer, és számtalan más vírus, worm és malware sorozatban futott végig az interneten, aminek az eredménye sok milliárd dollárnyi kár, és a Windows biztonsági megszilárdítása volt.
Ha egy ilyen fertőzés most csap szét az androidos gépek között, annak beláthatatlan következményei lennének. A malware-megoldások ugyanis már sokkal fejlettebbek, némi bosszúság helyett használhatatlanná váló eszközökkel, titkosított dokumentumokkal, adatszivárgással kell számolni, ami egy fokkal kegyetlenebb lesz, mint a 15-20 éve végigfutó hullám.
forrás: hwsw.hu
A G Data vírusstatisztikája szerint az új androidos kártevők száma 6,1 százalékkal emelkedett a tavalyi évhez képest. A kínai áruházakból letölthető alkalmazások egynegyede lehet fertőzött, emellett a német cég szakértői előre telepített trójait találtak a Xiaomi nem hivatalos forrásból származó telefonjain is.
Az Android egyértelműen a világ legnépszerűbb okostelefonos operációs rendszere, az IDC piacelemző cég szerint részesedése megközelíti a 80 százalékot. Népszerűsége azonban vonzóvá teszi a Google platformját a bűnözők számára is.
„Az okostelefonokat és a tableteket egyre gyakrabban használjuk internetes bankolásra és pénzügyi tranzakciókra, ami motiválja a kártevők készítőit arra, hogy egyre összetettebb módszerekkel próbálják megszerezni adatainkat ezeken a készülékeken keresztül” – magyarázza Christian Geschkat, a G Data androidos védelmi programjainak termékmenedzsere.
2014 második felében a biztonsági szakértők majdnem 800 ezer új androidos kártevőt regisztráltak, így a teljes tavalyi évre vonatkoztatva ezek száma elérte a másfél milliót. A német Initiative D21 kutatóintézet felmérése szerint mindeközben az internetbankolók 34 százaléka használja okostelefonját vagy tabletjét pénzügyeinek intézésére, a Roland Berger tanácsadócég szerint pedig az okostelefonnal rendelkezők 60 százaléka érdeklődik a mobilbankolás iránt.
A megfertőződés egyik leggyakoribb forrását a független alkalmazás-áruházak jelentik. A szakértők szerint az európai és észak-amerikai áruházak viszonylag biztonságosnak számítanak, bár még ezekben is három-négy alkalmazás fertőzött minden százból. Az orosz és a kínai áruházakban azonban ennél sokkal rosszabb a helyzet – utóbbiakban az alkalmazások akár egynegyede is fertőzött lehet. Ezeknek fele vírust tartalmaz, másik fele pedig a potenciálisan kéretlen program (PUP) kategóriába tartozik, azaz valami olyan műveletet hajt végre a telefonon, amihez a felhasználók nagy valószínűséggel nem járulnának hozzá.
Nem mindig kell azonban az internetről letölteni a kártevőt, akad olyan eset is, amikor a telefon már fertőzötten érkezik a vásárlóhoz. A G Data tavaly publikálta a Star N9500 mobilok esetét, melyekre a gyárban telepítettek komplex kémprogramot. A biztonsági szakemberek már akkor azt jósolták, hogy az eset valószínűleg nem egyedülálló. Nemrég ez a sejtésük beigazolódott, mivel sikerült azonosítaniuk olyan Xiaomi Mi4 készülékeket, melyek nem hivatalos forrásból származtak, és előre telepített trójai programot tartalmaztak. A G Data szakértői úgy sejtik, hogy az utóbbi fertőzéshullám mögött egy közbeeső kereskedő állt, amelyik módosította a készülékek gyári programját az eladás előtt.
A G Data előrejelzése szerint mindezek mellett idén még három veszéllyel kell szembenéznünk. Az elsőt az SSL titkosítás hiányosságait kihasználó kémprogramok jelentik, melyek az asztali számítógépek után a mobilokon is jelentkezni fognak. A második a hamis banki alkalmazásokhoz kapcsolódik, melyek kifejezetten a bankoláskor megadott adatainkat próbálják megszerezni. Végül a németek veszélyt látnak a különböző fitnesz- és egyéb egészségügyi alkalmazásokban is, melyek nagy tömegben rögzítik a felhasználók legszemélyesebb adatait.
Egy friss felmérés szerint elsöprő fölénnyel vezeti az okostelefonokra telepített operációs rendszerek magyarországi piacát az Android. A Google platformjának részesedése 65%, míg az Apple csupán 4%-ot tudhat magáénak. A magyar felhasználók szívesen kerülik meg a korlátozásokat.
A G Data megbízásából készített felmérés során kiderült, hogy a magyar, 18‒75 éves internetező lakosság közel fele rendelkezik jelenleg okostelefonnal. A legnépszerűbbek egyértelműen az androidos készülékek, a felhasználók 65 százaléka választotta ezt az operációs rendszert, míg a Symbian 12, a Windows Mobile 8, az iOS 4, a Blackberry pedig csupán 2 százalékot tudhat magáénak.
A vírusirtócég felmérése az egyes rendszerek elterjedtsége mellett ugyanakkor azt is megvizsgálta, hogy mennyire biztonságosan használjuk az okostelefonokat. Ez egyre fontosabb kérdéssé válik, mivel az androidos kártevők száma 2012 második felében ötszörösére növekedett az előző félévhez képest. Ma már több százezer okostelefonos vírust ismerünk, és folyamatosan derül fény az Android olyan sérülékenységeire is, melyek segítségével a bűnözők távolról átvehetik a készülékek irányítását.
A mostani felmérés eredményei szerint a magyar felhasználók egynegyede telepített már olyan alkalmazást androidos mobiltelefonjára, mely nem a Google hivatalos piacteréről származott. A válaszadók saját bevallása szerint ráadásul az ilyen szoftverek egyharmada valamilyen feltört vagy kalóz verzió volt.
„Ha egy androidos okostelefonon különböző külső alkalmazásokat szeretnénk használni, akkor érdemes legalább egy alapszintű, ingyenes vírusvédelmi szoftvert telepítenünk a készülékre” – figyelmeztet ennek kapcsán Petrányi-Széll András, a G Data kommunikációs vezetője. Ilyet többek között a német vállalat is biztosít a felhasználók számára a Google piacterén keresztül.
