A telefon mozgatását figyeli a kártevő
A Google gigászi harcot vív a Play Áruházba felkerülő kártevők ellen, a rengeteg újítás és szigorítás ellenére a egyes kártevőknek mégis sikerül felkerülniük a hivatalos áruházba. A kutatók nemrég fedeztek fel két hasonló kártékony alkalmazást, amelyek úgy rejtették el magukat, hogy a telefon mozgatását figyelték.
Biztonsági szakemberek nemrég fedeztek fel két kártevőt, a Currency Converter és a BatterySaverMobi-t néven futó alkalmazásokat, melyeknek sikerült bejutniuk a hivatalos Google Play Áruházba. Az alkalmazásokat szerencsére nem töltötték le túl sokan, mielőtt a szakemberek kiszúrták őket, a Google munkatársai pedig már eltávolították azokat az áruházból.
Mindkét alkalmazás a megszokott trükköt alkalmazta: valamilyen hasznos kiegészítőnek álcázták magukat, majd hamis visszajelzések segítségével magasra tornászták saját rangsorolásukat. A kutatókat is meglepte azonban egy újonnan bevetett trükk, amivel az alkalmazások megpróbáltak rejtve maradni az átvilágítás során.
A kártevő alkalmazások ugyanis figyelték a készülék mozgásérzékelőjét, és ha abból nem érkeztek adatok, akkor azt feltételezték, hogy egy szimulált környezetben, biztonságos homokozóban fut az operációs rendszer. Biztonságos homokozóban pedig többnyire tesztelők vagy biztonsági szakemberek dolgoznak. Ezt érzékelve a kártevő nem is próbálta futtatni magát, így rejtve maradt a szakemberek előtt. Ha viszont érkeztek mozgásadatok, akkor a kártevők aktiválódtak és a valós környezetben lefutottak.
Úgy csalnak, mint az autógyártók
Hasonló trükköt vetettek be korábban az autókat érintő dízelbotrányban: ha az autó szoftvere azt érzékelte, hogy tesztkörnyezetben van, és az autó helyben áll, akkor alacsonyabb légszennyezési értékkibocsátásra állította át a motort, egyébként viszont magasak voltak ezek az értékek.
Banki kártevőt telepít
A jelen esetben, ha a kártevő érzékeli a mozgást, akkor az áldozatot arra próbálja rávenni, hogy az Anubis kártevőt telepítse készülékére. Ez a másodlagos kártevő az Android stabil verziójának (egy frissítésnek) álcázza magát. Ha a felhasználó engedélyezi a hamis rendszerfrissítést, akkor legitim szolgáltatások (Twitter vagy Telegram) segítségével kapcsolódik a bűnözők szerveréhez, hogy az Anubis kártevőt letöltse és telepítse.
Miután az Anubis már a kiszemelt készüléken van, egy beépített billentyűzetfigyelő vagy képernyő mentéseket végző alkalmazás segítségével lopja el az áldozat banki adatait. Az Anubis egyébként eléggé elterjedt, 93 különböző országban bukkant fel eddig, és 377 különböző verzióját azonosították eddig.
Forrás: https://virusirto.hu