A mobilbiztonsággal foglalkozó Lookout számolt be arról a négy appról, melyeket a Google Play mobilalkalmazás-boltban lehetett elérni, és amik nem egészen azt csinálják, mint amire letöltőik számítottak. Az Overseer névre keresztelt ártalmas kódot futtató szoftverek képesek bemérni a felhasználókat: GPS modul segítségével a szélességi és hosszúsági koordinátákat egyaránt meg tudja határozni. Emellett azt is számon tartja, hogy kikkel e-mailezik a célpont.

„Ezek az információk nagyon értékesek annak a támadónak, aki meg akarja tudni, hogy a megtámadott személy hol tartózkodik és kivel kommunikál” – nyilatkozott a Lookout biztonsági kutatásért felelős termékmenedzsere, Kristy Edwards.

Az egyik ilyen alkalmazás Embassy név alatt fut, és tulajdonképpen úgy működik, ahogyan azt hirdetik róla az androidos szoftveráruházban: megjeleníti a felhasználók számára országaik nagykövetségeit azokban az államokban, ahol éppen tartózkodnak. Csakhogy eközben megfigyeli a telefon fent említett paramétereit és elküldi az e-mailes kapcsolatlistát a Facebook és az Amazon által üzemeltetett szerverekre.

A másik három app hírolvasó alkalmazásnak állítja be magát, de valójában nem működik – az Orverseert azonban tartalmazza.

Twitterről irányított károkozó
Itt az első olyan androidos kártevő, amit már nem klasszikus vezérlőszerverekkel (C&C – command and control) irányítanak. Maga a kártevő, amit a kutatók Android/Twitoor névre kereszteltek, egyelőre nem árasztotta el az androidos készülékeket, de a lehetőség igencsak aggasztó.

Rámutat ugyanis arra, hogy módszer előbb-utóbb a Facebook és a LinkedIn oldalaival is használható lesz. Lényegében tehát Twitter- Facebook- vagy LinkedIn-fiókokból lehet botnet hálózatot létrehozni.

További részletek erre >

Még nem tudni, ki áll a háttérben

Már eltávolította szolgáltatásából a Google az appokat – közölte a Lookout egyik szóvivője, aki azt is elárulta, hogy ezen túl semmilyen egyéb reakciót nem kaptak az óriásvállalattól, a cég nem kívánt további megjegyezést fűzni a történtekhez.

Edwards nem akart találgatásokba bocsátkozni az Overseer alkotóival kapcsolatban, vagyis egyelőre nem tudni, hogy csupán kiberbűnözők állnak a jelenség mögött, vagy valamelyik ország kiberháborús törekvésének egyik szelete vált nyilvánossá. Az egyelőre más mobilalkalmazásokban nem észlelt malware azonban újszerű technikát alkalmazott saját tevékenységének elfedésére, minden bizonnyal ezért is tudott átcsusszanni a Google Play szűrőjén.

Az ártalmas programok gyakran egy külső országban üzemeltetett szerverre küldik el az általuk megszerzett adatokat. Az a tény, hogy az Overseer a Facebook és az Amazon által üzemeltetett kiszolgálókat használja erre a célra, ügyes húzás a viselkedésalapú detektálás kicselezésére.

Napjainkban az alkalmazottak telefonjait megfigyelő vállalatok ilyen megoldásokat használnak az Overseerhez hasonló malware-ek észlelésére, de a gyanús adatforgalmat nehezebb észlelni, ha azok legális, megbízhatónak gondolt szerverek felé irányulnak.