Vanja Svajcer, a SophosLabs víruskutatója, a Sophos NakedSecurity blogból
Az AegisLab jelentése szerint az Android Marketen újabb kártevő incidens történt, ismeretlen támadók ugyanis számos SMS-küldő trójait publikáltak. Az incidens nem volt olyan súlyos, mint a legutóbb márciusban történt, amikor 50-nél is több alkalmazás volt Droid Dream kártevő által fertőzött, azonban bármilyen Android Marketet érintő támadást nagyon komolyan kell venni.
A rosszindulatú alkalmazások legújabb hulláma egy legitim, Zsone nevű androidos fejlesztőre mutatnak. Azonban úgy tűnik, hogy ugyanattól a fejlesztőtől származó legitim alkalmazások más verziószámmal rendelkeznek, mint a rosszindulatú változatok.
Amikor egy ilyen rosszindulatú alkalmazást feltelepítünk egy eszközre, egy prémium díjszabású telefonszám-csoportra küld ki SMS üzenetet. Ezek a számok az alkalmazástól függően különbözőek lehetnek. A támadás kínai mobileszközöket vesz célba, mivel a használt SMS előfizetés szolgáltatási számok kínai mobilhálózat szolgáltatóktól vannak.
A Sophos számos SMS küldő képességgel rendelkező alkalmazást kapott, köztük az iCalendar, iMine és iMatch szoftvereket. Az alkalmazások rosszindulatú változatait 1.1.0-ás verziószámmal láttam érkezni.
Eme legújabb alkalmazáscsomag legérdekesebb jellegzetessége egy bizonyos speciális Broadcast receiver használata, amellyel megvizsgálják az összes, készülékre érkezett új SMS üzenetet.
Ha az alkalmazás egy olyan számról kap SMS üzenetet, amelyet korábban a telefon szolgáltatás-beregisztrálására használtak, akkor a Broadcast receiver megpróbálja az AbortBroadcast funkció meghívásával megszakítani az adást. Ez a módszer megakadályozhatja, hogy más SMS alkalmazások feldolgozzák az üzenetet.
A kód egyértelmű célja elfedni azt a tényt, hogy az eszköz előfizetés-alapú szolgáltatástól kap üzeneteket és a felhasználónak fogalma sem lesz arról, hogy pénzt veszít.
A legújabb androidos incidens azt mutatja, hogy közvetlenül a Google marketből telepített alkalmazások is lehetnek kártevővel fertőzöttek.
Egy ideális világban az Androidos alkalmazásoknak nem szabadna megengedni, hogy saját-aláírásúak legyenek és csak megbízható hatóságok által ellenőrzött kulcsokat engedélyeznének számukra. Habár mindez nem akadályozná meg a rosszindulatú alkalmazásokat, viszont segítene nyomonkövetni a csaló alkalmazások szerzőit.
Alkalmazások két külön osztályával, tanúsított kulcsokkal aláírva és saját-aláírással rendelkezve, az Android OS fejlesztői képesek lennének korlátozni a saját-aláírással rendelkező alkalmazások elérhetőségét. Például a saját-aláírású alkalmazások nem küldhetnének SMS üzeneteket. Persze ez a megoldás sem jelent 100%-os garanciát, de valószínűleg egy üdvözítő jel lenne, hogy a Google sokkal komolyabban veszi az Android biztonságát.
A Sophos termékei a rosszindulatú SMS küldő Android alkalmazásokat Andr/AdSMS néven ismerik fel.