Olyan képességekkel bővítették a Godless nevű károkozó tudását, amivel a forgalomban lévő androidos készülékek jelentős tömegére jelent veszélyt. Ráadásul még az sem garantálja, hogy elkerüljük, ha kizárólag a Google Playből szerzünk be appokat – írja öszefoglalójában a Biztonságportál. Mivel a Godless az 5.1-es Lollipop verziótól visszafelé az összes eddigi változaton működik, gyakorlatilag az androidos készülékek 90 százalékát veszélyezteti. (A 6.0-s Marshmallow június elejére jutott el oda, hogy már az összes használatban lévő Android-verzió 10 százalékát adja.)
A root jogosultság a legveszélyesebb
Azok a legveszélyesebb androidos károkozók, melyek valamilyen úton módon képesek a fertőzött készülékek rootolására, azaz teljes uralmat tudnak szerezni a telefon fölött. Maga a rootolás nem az Android sajátossága. Ez a Unix-szerű operációs rendszerekből (jelen esetben a Linuxból) származó, képesség azt jelenti, hogy egy felhasználó teljes hozzáférést kap a rendszerhez.
Az Androidban a telepítéskor az alkalmazások is kaphatnak jogosultságokat, amiket aztán automatikusan tudnak használni. Ez roppant kényelmes. Valószínűleg kevés olyan telefontulajdonos van, aki pontosan átlátja, hogy egy-egy alkalmazásnak valójában a rendszer mely elemeihez kell hozzáférnie ahhoz, hogy az alkalmazás megfelelően működjön. Ezért a kérelmeket beépítik a fejlesztők az alkalmazásba, amit a felhasználónak jó esetben jóvá kell hagynia.
És itt lépnek a képbe az olyan alkalmazások, mint a Godless, melyeket arra okosítottak fel, hogy teljes hozzáférést szerezzenek a rendszer fölött, azaz rootingot hajtsnanak végre. Így bármit meg tudnak tenni a felhasználó tudta és beleegyezése nélkül. És a bármi, itt tényleg bármit jelent: észrevétlenül telepíthetnek újabb programokat, hátsó kaput (backdoor) nyithatnak a készülékeken, adatokat szivárogtatnak róla, a felhasználó zsarolásával is megpróbálkozhatnak és így tovább.
A Godless legújabb változata is erre épít, és azt is jól mutatja, hogy milyen hatékony a módszer. A Trend Micro elemezte a károkozó eddig megjelent variánsait. A telemetrikai adatok alapján meglehetősen elterjedt károkozó, amely eddig legalább 850 ezer okostelefonot és táblagépet megfertőzött. Ez persze önmagában nem nagy szám, csak androidos okostelefonból mintegy 250 millió darabot adnak el negyedévente. (A használatban lévő készülékek száma több milliárd.)
Ennek ellenére érdemes nagyon figyelni, mivel a Godless már a Google Playből is támad, több, a hivatalos alkalmazásboltból letölthető játékba, wifi-s szoftverbe és elemlámpa programba is beépült már. Ezeket a Google már eltávolította a Playből, de ott vannak a nem hivatalos alkalmazásboltok, ahonnan olyan appokkal kerülhetnek a készülékre, melyet a Google Playen ártalmatlannak minősítettek. Ez a Godless komoly fejlesztése, mivel a károkozó korábbi változatai még csak kamu Google Play alkalmazással próbáltak fertőzni. A nem hivatalos boltokba ugyanis ugyanazzal a fejlesztői tanúsítvánnyal kerülnek fel ezek az alkalmazások, mint a Google-ébe, így a felhasználó joggal tekinti azokat megbízhatónak.
Rootolás mesterfokon
A Godless legújabb verziója magas szintre emelte a rootolási képességeit. Egyelőre főleg Ázsiában terjed (lésd a fenti grafikont), de csak idő kérdése, hogy más kontinenseken is hasonló intenzitással támadjon. A károkozó a GitHubról letölthető nyílt forráskódú android-rooting-tools keretrendszert használja ahhoz, hogy root jogosultságot szerezzen az operációs rendszerben.
De nem rohan ajtóstul a házba. A fertőzést és a rootolást több lépcsőben végzi el, hogy lehetőség szerint a felhasználó ne vegye észre működését. A Google Play ellenőrző mechanizmusát azzal játssza ki, hogy magukat az exploitokat és a payload kódokat utólag, az internetről tölti le. Van még egy módszere, hogy elrejtőzzön: amikor már minden fent van a készüléken a károkozáshoz, nem kezd azonnal dolgozni, hanem megvárja, amíg a kijelző kikapcsol.
Amikor az előkészületekkel végzett, a Godless telepít egy rendszeralkalmazást. Azt, hogy ez mit fog csinálni, a vírusterjesztők választhatják meg: enyhébb esetben reklámok megjelenítésére használják, de bevethető adatlopáshoz, hátsó kapu nyitásához, majd adatokat szivárogtatásához is.
Nem új a módszer
Bár a funkcionalitás terén a Godless ma talán a legsokoldalúbb, az általa követett módszer közel sem új. Tavaly ősszel a mobilbiztonságra specializálódott Lookout például épp arra hívta fel a figyelmet, hogy három hirdetésterjesztésre specializált malware-család is a rootingra épít, és mintegy 20 ezer népszerű andoridos alkalmazást fenyeget. A szakemberek már akkor arra hívták fel a figyelmet, hogy ezek a károkozók sokkal súlyosabb károkat is okozhatnak, ráadásul nagyon nehéz őket később tökéletesen eltávolítani.
A Trend Micro a Godless kapcsán arról ír, hogy a rooting alapvetően jó eszköz, hiszen többek között a telefonok teljesítményének növelését és bizonyos tevékenységek automatizálását is segítheti. Cserébe azonban a felhasználónak sokkal körültekintőbbnek kell lennie az alkalmazások telepítésekor. És bár a Google Play sem jelent garanciát arra, hogy nem fertőződik meg a készülékünk, még mindig jóval biztonságosabb onnan beszerezni appokat, mint megbízhatatlan alkalmazásboltokból.
Adathelyreállítás pillanatok alatt
A vírus- és végpontvédelmet hatékonyan kiegészítő Zerto, a Hewlett Packard Enterprise Company platformfüggetlen, könnyen használható adatmentési és katasztrófaelhárítási megoldása.
CIO KUTATÁS
TECHNOLÓGIÁK ÉS/VAGY KOMPETENCIÁK?
Az Ön véleményére is számítunk a Corvinus Egyetem Adatelemzés és Informatika Intézetével közös kutatásunkban »
Kérjük, segítse munkánkat egy 10-15 perces kérdőív megválaszolásával!
Nyílt forráskód: valóban ingyenes, de használatának szigorú szabályai vannak