Trójai vírussal fertőzött app halálfejet formáz a forráskódban.

Már több mint 100 ezren töltöttek le a Google Play Áruházból egy olyan Android-alkalmazást, amely trójai vírussal fertőzi meg a felhasználók készülékeit – írja a Bleeping Computer.



A szóban forgó applikáció a „Craftsart Cartoon Photo Tools” nevet viseli. A vírussal fertőzött alkalmazás egy manapság igen népszerű trendet próbál kiaknázni. Egyfajta fotóapplikációként jelenik meg, amely lehetővé teszi, hogy a letöltők fényképeket töltsenek fel és átalakítsák azokat rajzfilmszerű képekké.

A Pradeo mobilbiztonsági cég szakértői egy „FaceStealer” nevű trójai vírust fedeztek fel az alkalmazásban, amely a felhasználók Facebook-fiókjainak hitelesítő adatait lopja el.

A módszer viszonylag egyszerű. Mielőtt használatba vehetnénk, az app feldob egy űrlapot, amely a megszólalásig hasonlít a Facebook bejelentkezési képernyőjére. A program csak akkor indul el, ha a felhasználó „bejelentkezik a Facebook-fiókjába”.

A Jamf szoftvercég biztonsági kutatója, Michal Rajčan szerint, amikor a felhasználók megadják hitelesítési adataikat, az alkalmazás azonnal továbbítja azokat egy távoli szerverre, ahonnan a hackerek könnyedén kinyerhetik az információkat.

A megtévesztés mesterei

A Pradeo jelentésében kifejti, hogy az ilyen jellegű appok fejlesztői automatizálták az újracsomagolási folyamatot, amely során egy rosszindulatú kódot „fecskendeznek be” egy egyébként legitim alkalmazásba. Ennek köszönhetően ki tudják játszani a Play Áruház vírusvédelmi ellenőrzéseit.

Mint említettük, a program csak akkor indul el, ha a felhasználó megadja Facebook adatait. Amint ez megtörtént, és valaki feltölt egy képet, az app tovább küldi a fájlt egy online szerkesztőbe (http://color.photofuneditor.com/), amely egy grafikus szűrővel átalakítja a képet. Az új, „meseszerű” kép ezután megjelenik az alkalmazásban, ahonnan a felhasználó letöltheti vagy elküldheti ismerőseinek. Ez azt jelenti, hogy ugyan korlátozottan, de a vírusos app biztosítja azt a funkcionalitás, amely miatt a felhasználó letöltötte, ez jelentősen megnehezíti a detektálást. Ráadásul rengeteg, biztonságos app is csak akkor működik, ha előtte bejelentkezünk a közösségi fiókunkba, így a felhasználók túlnyomó többsége már rá se hederít, ha egy ilyen kéréssel találkozik.

Hogyan lehet kiszűrni?

Cikkünk írásának pillanatában az applikáció még elérhető volt a Google Play-en, de ez bármikor változhat. Fontos azonban, hogy a piactérről történő eltávolítás nem jelenti azt, hogy a fertőzött telefonokról is eltűnik, így érdemes saját kezűleg is megszabadulni a programtól, ha ez még nem történt volna meg.

Mint említettük, nehéz azonosítani, mely appok biztonságosak, van azonban néhány intő jel, ami egyértelműen arra utal, hogy jobb, ha elkerüljük az adott appot. Nézzük a Craftsart Cartoon Photo Tools esetét!

  • a legszembetűnőbb intő jel az, hogy az maximális 5 csillagból alig 1,7 csillagos értékelést kapott az app, illetve rengeteg negatív kommentet írtak a letöltők
  • a kommentelők közül sokan figyelmeztetnek, az app funkciói meglehetősen limitáltak, illetve be kell jelentkezni a Facebookra is
  • ha megvizsgáljuk az alkalmazás leírását, a fejlesztő neve mellett a „Google Commerce Ltd.” áll, ami azt sugallja, a Google alkotta meg, erre viszont vajmi kevés esély van
  • ha mindez nem lenne elég, a fejlesztő elérhetőségéhez egy véletlenszerű gmail címet írtak be

Ha ezeket a lépéseket minden letöltés előtt elvégzed, nagy valószínűséggel kiszűrheted a kártékony alkalmazásokat.

The Conversation

Ne hagyd ki!