[ESET] Az ESET szakemberei olyan trójai programokat fedeztek fel a Google Play áruházban, amelyek időjárás előrejelző alkalmazásnak álcázzák magukat, azonban képesek ellopni a felhasználó banki adatait, illetve lezárni, vagy feloldani az eszköz képernyőjét. Google biztonsági mechanizmusát sikeresen megkerülő Good Weather és a World Weather elnevezésű hamis alkalmazások trójai programokat tartalmaztak.

A Google Play áruházban az első variáns 2017. február 4-én jelent meg, ezt két nappal később jelentették az ESET szakemberei. A Good Weather alkalmazást ekkor azonnal visszavonták az áruházból, de addigra ezen rövid idő alatt is sajnos már mintegy 5000 felhasználó töltötte azt le.

A veszélyes trójai - többek között - a Good Weather nevű alkalmazásban bújik megA veszélyes trójai - többek között - a Good Weather nevű alkalmazásban bújik meg

Az eredeti, hiteles alkalmazásból átvett időjárás előrejelzési funkció mellett, a beépült trójai program, Trojan.Android/Spy.Banker.HU - 1.1-es verzió (itt a .HU nem Magyarországra, hanem az angol abc betűs elnevezés alapján a .HT után soron következő kártevő verzióra utal) révén képes volt távolról lezárni, vagy feloldani a fertőzött eszközöket, illetve megfigyelni a szöveges üzeneteket. Mindemellett a Good Weather alkalmazásba rejtett trójai program 22 különféle törökországi banki alkalmazás felhasználóit is megcélozta, akiknek a belépési adatait hamis belépőformulákkal csalták ki a kiberbűnözők.

Néhány héttel később, az ESET szakemberei felfedezték a trójai program új verzióját (Trojan.Android/Spy.Banker.HW - 1.2-es verzió), amely egy másik időjárási alkalmazásként - World Weather – jelent meg a Google Play áruházban. Az ESET által felfedezett trójai program február 14-20 között volt elérhető az áruházban, és ekkor már 69 különböző brit, osztrák, német és törökországi banki alkalmazás felhasználóit támadta, fejlettebb félrevezető technológiát alkalmazva.

A szakemberek kiderítették, hogy mindkét trójai program egy online is elérhető szabad forráskódú programon alapult. Az androidos kártevő alapja és a webes irányítófelületet is magában foglaló C&C szerver (távoli vezérlőszerver) 2016. december 19-től elérhető volt orosz fórumokon. Az ESET szakértőinek figyelmét felkeltette a Dr. Web felületén megjelent elemzés a kártevő egy másik variánsáról (ezt szintén az ESET fedezte fel december 26-án, és Android/Spy.Banker.HH néven azonosította), amely nincs közvetlen kapcsolatban a Google Play oldalain talált kártevővel, de a kutatók az 1.0-ás verzióhoz hasonló detektálási néven fedezték fel. A kapcsolatot a vizsgálat során még futó botnet C&C szerver vizsgálata mutatta ki. A vezérlőszerver irányítópultjának elemzése során az ESET szakemberei információt tudtak gyűjteni a kártevő összes verziójáról, amelyek több mint 2800 fertőzött bot révén futottak.

Hogyan működik a kártevő?

Az alkalmazás telepítés után a fertőzött eszköz hamis rendszerképernyőt mutat, és rendszeradminisztrátori jogosultságot kér egy fiktív „Rendszerfrissítés” keretében. Ezt engedélyezve, a kártevő jogosultságot kap a képernyőfeloldó jelszó megváltoztatására és a képernyő lezárására. A szöveges üzenetekbe való beavatkozás jogosultságával együtt a trójai program így már készen áll a működésre.

A felhasználó boldogan használja az új időjárás alkalmazását, azonban a háttérben a trójai program folyamatosan információkat oszt meg a támadó C&C szerverrel, és az érkező parancsoktól függően akár a beérkező szöveges üzeneteket is elküldheti a távoli szervernek, vagy átállítva a képernyőzár jelszavát lezárhatja, valamint feloldhatja a készüléket, illetve titokban begyűjtheti a bankolási adatokat is. Az üzenetekhez való hozzáféréssel a kártevő megkerülheti az SMS alapú kétfaktoros azonosítást is.

Honnan tudhatjuk, hogy fertőzött a készülékünk?

Ha nemrégiben telepítettünk időjárási alkalmazást a Google Play áruházból, akkor mindenképpen érdemes megnézni a készülékünket, nem vagyunk-e érintettek. Ha letöltöttük a Good Weather alkalmazást, akkor nézzük meg az ikonját az alkalmazások alatt. Ha a lenti ábrán megjelenő sárga ikont látjuk, akkor biztonságban vagyunk. Ha nem találjuk az ikont, vagy az app widget-ként működik csak, akkor menjünk a Beállítások-> Alkalmazások-> menüpontba, és ha a kék ikont találjuk ott, akkor a rosszindulatú programot töltöttük le.

Az eszköz megtisztításához használhatunk mobilbiztonsági megoldást (ESET Mobile Security), vagy töröljük manuálisan az alkalmazást: Először deaktiváljuk a készülékadminisztrátori jogokat a Beállítások -> Biztonság -> Rendszerfrissítés menüpontban. Utána töröljük az alkalmazást a Beállítások-> Alkalmazások-> Good Weather (illetve a másik alkalmazás esetében a Beállítások-> Alkalmazások-> Weather) útvonalat követve.

Hogyan maradjunk biztonságban?

Az alkalmazásokat már visszavonták a Google Play áruházból, így az eredeti Good Weather alkalmazás biztonságosan letölthető. Azonban további hamis alkalmazások továbbra is beszivároghatnak a Google Play áruházba, így néhány alapvető szabály betartásával elkerülhetjük ezeket:

  • Ha letöltünk egy alkalmazást a Google Play áruházból, ismerjük meg, hogy mihez kér engedélyt a program, és az automatikus elfogadás helyett olvassuk el, és gondoljuk át mit jelent ez az alkalmazás és az eszközünk számára.
  • Ha gyanús dolgokkal találkozunk a leírásban, vagy az értékelések között, akkor erősen fontoljuk meg az alkalmazás letöltését.
  • A futtatás során folyamatosan figyeljük, hogy mihez kér engedélyt az alkalmazás. Ne telepítsünk olyan alkalmazást, amely a funkcióihoz nem társuló jogosultságokat kér.
  • Használjunk megbízható, naprakész mobilvédelmi megoldásokat.