A Palo Alto Networks talált egy olyan mobilvírust, ami alapjaiban formálhatja át az androidos készülékek biztonságát. A károkozó úgy kerülhet be a hivatalos alkalmazásboltokban, akár a Google Playbe is, hogy a jelenleg alkalmazott ellenőrzési mechanizmusok nem szúrják ki. Ha pedig valaki telepítette, kiegészítői révén azt lop el a készülékről, amit akar – írja a Biztonságportál az esetről készített összefoglalójában.

Rejtőzködés mesterfokon

A károkozók fejlesztői igyekeznek olyan károkozókat készíteni, melyek hosszú ideig nem ismerhetők fel. Így biztosíthatják ugyanis, hogy sok eszközt tudjanak megfertőzni, és káros tevékenységüket hatásosan ki tudják fejteni.

Az androidos károkozóknál például ez azért is fontos, hogy a kód valamilyen hordozó alkalmazáson keresztül bejusson a hivatalos alkalmazásboltokba, mindenekelőtt a Google Playbe. Ehhez azonban olyan technika kell, amivel át lehet verni a Google biztonsági megoldásait, melyekkel az alkalmazásokat ellenőrzik a Google Playbe kerülés előtt. Ezt a rejtőzködést fejlesztette tökélyre a PluginPhantom.

Az elv, amit követ, egyébként egyszerű: a károkozó alapmodulja, azaz maga a host alkalmazás teljesen ártalmatlan. Amikor azonban települ – és megkapja a felhasználótól a különféle jogosultságokat –, elkezd különféle bővítményeket letölteni magának, melyek viszont már alkalmasak adatlopásra és folyamatos kémtevékenységre.

Az alapja is teljesen legális

A trójai program alapjai is legális, ugyanis a kínai gyökerű DroidPlugin keretrendszerre épül. Ennek a keretrendszernek épp az a célja, hogy modulárisan szerveződő alkalmazásokat lehessen vele fejleszteni: a DroidPluginra épülő alkalmazások minden esetben egy gazda alkalmazásból és arra települő bővítményekből épülnek fel. A csavar a kiegészítőkben, azaz a pluginokban van: azokat ugyanis különösebb telepítgetés nélkül is hadra lehet fogni.

Így épül fel a PluginPhantom is. Van három központi modulja. Ezeknek csak az a feladatuk, hogy kommunikáljanak a vezérlőszerverekkel, frissítéseket töltsenek le, és bővítményeket telepítsenek. Annak a variánsnak, amit a Palo Alto Networks elemzett, hat pluginje van, melyek mindegyike alkalmas valódi károkozásra. Le tudnak kérdezni fájlinformációkat, fényképet készíthetnek a beépített kamerákkal, rögzíthetik a telefonbeszélgetéseket, ellophatják és törölhetik is a híváslistákat és az üzeneteket, valamint megszerezhetik a wifi-hozzáférési és a helyfüggő adatokat.

Még nem találták meg a Google Playben

A kutatók egyelőre nem találták meg a károkozót a Google Playben, bár a jelenlegi ellenőrzési mechanizmusokon simán átcsúszhatott volna. Az eddigi fertőzések kiinduló pontjai valószínűleg a nem hivatalos alkalmazásboltok lehettek. Abból, hogy a helymeghatározáshoz a Baidu Mapset és az Amap Mapset használja, arra következtetnek, hogy egyelőre kínai felhasználók ellen irányul a trójai.

Így működik a PluginPhantom

Az azonban csak idő kérdése, hogy a módszer szélesebb körben is elterjedjen. A statikus kódvizsgálatok ugyanis mitsem érnek ez ellen a technika ellen.

És ahogy terjednek a bővítményekre épülő fejlesztési eljárások, és a pluginek készítését támogató fejlesztőeszközök, úgy válhat egyre népszerűbbé a módszer kártékony programok fejlesztői körében is.

A fejlesztőeszközök veszélyei

Nem ez az első eset, hogy fejlesztőeszköz válik károkozás forrásává. Bár a módszer – és az alapprobléma is más volt, bő egy éve találtak egy olyan vírust, amely az az Apple alkalmazásboltjába költözött be egy fertőzött fejlesztőeszköz révén.

A két eset között az a legfőbb párhuzam, hogy mindkettő a hivatalos alkalmazásbolt védelmi mechanizmusait tudta megkerülni, az Apple esetében az Xcode egy preparált változata, az XcodeGhost volt a bűnös, melyet szintén a Palo Alto Networks szakemberei találtak meg. És persze mindkettőnek a forrása Kína.