Újabb példa bizonyítja, hogy Androidosnak lenni nem csak játék és mese.
Két új rosszindulatú programcsalád jelent meg Androidon, amelyekre érdemes odafigyelni. A kiberbiztonsági szakértők most hozták nyilvánosságra az FvncBot és a SeedSnatcher nevű kártevőket, és emellett egy továbbfejlesztett ClayRat-változatot is észleltek az internet sötétebb szegleteiben. A három fenyegetésről az Intel 471, a CYFIRMA és a Zimperium számolt be.
FvncBot: banki kártevő
Ez egy olyan kártevő, amely egy mBank által fejlesztett biztonsági alkalmazásnak álcázza magát. A célpontjai a lengyel mobilbanki felhasználók. A jelentések szerint nem egy korábbi, kiszivárgott forráskódú Android banki trójai módosítása, hanem teljesen a nulláról írták meg. A kártevő olyan funkciókat tartalmaz, mint a billentyűnaplózás (az Android akadálymentesítési szolgáltatásain keresztül), webes injektálás, képernyőstreamelés, sőt rejtett HVNC-funkció is. Az Intel 471 szerint mindezt azért teszi, hogy sikeres pénzügyi csalást hajtson végre.
A malware egy apk0day nevű kriptószolgáltatással védi magát, amely a Golden Crypthez köthető. Ez egy rosszindulatú alkalmazás, amely töltőprogramként működik, és telepíti a kártevőt. Amikor a felhasználó elindítja az appot, az egy „Google Play-komponens” telepítésére kéri, hogy „biztosítsa az alkalmazás biztonságát és stabilitását”. Természetesen nem ez történik, ekkor települ a malware. Ezt a trükköt már más kártevők is használták, hogy megkerüljék az Android 13-tól szigorodó akadálymentesítési korlátozásokat.
A kutatók szerint a kártevő jelenleg kizárólag Lengyelországot célozza, és még korai fejlesztési szakaszban jár. A program akadálymentesítési engedélyt kér, és ha megadod, magasabb jogosultságokhoz jut, külső szerverhez csatlakozik, regisztrálja az eszközt, majd parancsokat fogad. Nem ismert, hogyan terjed, de a banki trójaiak általában SMS-es adathalászattal vagy harmadik féltől származó appboltokkal jutnak a telefonokra. Bár jelenleg Lengyelország a célpont, semmi sem garantálja, hogy később más régiókban ne jelenjen meg.
SeedSnatcher: kriptovaluta-lopásra fejlesztve
A SeedSnatcher jelenleg „Coin” néven terjed a Telegramon. Célja a kriptovaluták ellopása. A kártevő elfogja az SMS-üzeneteket és a kétfaktoros kódokat, így könnyedén átveheti a fiókok feletti irányítást. A beszámolók szerint képes eszközadatokat, fájlokat, hívásnaplókat, névjegyeket és más érzékeny adatokat is ellopni, valamint átfedéseket megjeleníteni a képernyőn. A működtetői állítólag kínaiak vagy kínaiul beszélnek (Telegramon kínai nyelvű útmutatók is terjednek).
+1: ClayRat – frissített verzió
A ClayRat egy továbbfejlesztett változata is felbukkant. A frissítés lehetővé teszi számára az akadálymentesítési szolgáltatások és az SMS-engedélyek kihasználását. Az új verzió már naplózhatja a billentyűleütéseket, hamis rendszerfrissítési képernyőt jeleníthet meg, és álértesítéseket hozhat létre.
Ez gyakorlatilag teljes eszközátvételt tesz lehetővé. Képes automatikusan feloldani a készüléket, felvenni a képernyőtartalmat, összegyűjteni az értesítéseket és megtévesztő átfedéseket mutatni. A kártevőt hamis adathalász domain-ek terjesztik, amelyek többek között a YouTube-ot is imitálják (például „Pro verziót” reklámozva).
Egy kis odafigyelés csodákra képes
Ezek a kártevők leginkább azért ijesztők, mert elég egy rossz kattintás, és máris megvan a baj. A jó hír az, hogy egy kis óvatossággal a legtöbb ilyen problémát el lehet kerülni. Ha kizárólag hivatalos forrásból telepítesz, és nem adsz érzékeny jogosultságot kétes appoknak, máris jóval nagyobb biztonságban vagy, mint az átlagfelhasználó. A „túl szép, hogy igaz legyen” letöltések a legveszélyesebbek. Hagyd ki őket, és a telefon is tiszta marad.
