Vanja Svajcer, a SophosLabs víruskutatója, a Sophos NakedSecurity blogból
A Windowsos kártevők világában a SpyEye egy olyan széleskörben elterjedt rosszindulatú segédeszköz, amellyel botneteket lehet létrehozni és menedzselni. Elsődlegesen a banki azonosítók és más bizalmas információk eltulajdonítására hozták létre.
A SpyEye a hírhedt Zeus kártevő legfőbb konkurense.
A Zeus (ZBot néven is ismert) elég nagy érdeklődést generált néhány hónappal ezelőtt a mobil biztonsági közösség berkein belül, amikor felfedezték Android rendszerre írt verzióját.
Természetesen nem kellett sokat várnunk ahhoz, hogy az Androidra megírt SpyEye-t is kifejlesszék, és néhány napja bizony már fel is fedeztek egy rosszindulatú SpyEye Androidos alkalmazást .
A Zeus és a SpyEye funkcionalitása Windows rendszeren eléggé hasonló, éppen ezért kiváncsi voltam, hogy az Androidos verziók hogyan viszonyulnak egymáshoz.
Az Androidos Zeus a Trusteer Rapport biztonsági szoftverének mutatja magát. Ezt a közösségi átverést azért használják, hogy a felhasználó elhigyje, teljesen legitim szoftvert telepít.
Az Androidos SpyEye, amelyet a Sophos termékei Andr/Spitmo-A néven észlelnek, egy kicsit különböző, de hasonló átverést használ.
Amikor egy a Windowsos SpyEye verziójával fertőzött PC felhasználója meglátogat egy megcélzott banki weboldalt, és amikor az oldal mobil tranzakciós hitelesítő számokat használ, a SpyEye trójai olyan HTML tartalmat injektálhat be, amely arra utasítja a felhasználót, hogy töltse le és telepítse a tranzakció hitelesítéséhez használható Androidos programot.
A SpyEye alkalmazáscsomag nem jelenik meg ikonként az „All apps" menüben, ezért a felhasználó csak akkor fogja tudni megtalálni a csomagot, amikor a „Manage Applications" lehetőséget indítja el a mobileszköz beállításaiból.
Az alkalmazás a „System" nevet használja, ezért egy teljesen sztenderd Androidos rendszer alkalmazásnak tűnik.
A Zeus Androidos verziója telepítése után egy hamis aktivációs képernyőt mutatott és a Spitmo ebben is hasonlít rá.
Azonban a Spitmo egy teljesen más taktikát használ a felhasználó meggyőzésére, hogy egy legitim alkalmazásról van szó.
A következő Androidos engedélyeket alkalmazza:
android.provider.Telephony.SMS_RECEIVED
android.intent.action.NEW_OUTGOING_CALL
Ezzel a kártevő képes lesz elfogni a kimenő telefonhívásokat.
Amikor egy szám tárcsázása történik, a hívást még azelőtt elfogja, mielőtt a kapcsolat kiépülne és a tárcsázott telefonszám össze lesz vetve egy a támadó által megadott speciális számmal.
Ha a számok egyeznek, a Spitmo egy hamis aktivációs számot fog megjeleníteni, amely minden esetben a 251340.
Telepítés után a Zeus és a SpyEye képességei majdhogynem ugyanazok lesznek.
Egy broadcast receiver elfogja az összes beérkezett SMS üzenetet és kiküldi azokat egy parancs és vezérlő szervernek egy HTTP POST kérés használatával. A feladott információk tartalmazzák a küldő telefonszámát és az üzenet teljes tartalmát.
Eddig nem tűnik úgy, hogy ez a támadás széleskörben elterjedt volna, de megmutatja, hogy a fejlesztője szorosan figyeli konkurensét és beépíti a legújabb képességeit.
Az is egyértelműen látszik, hogy az Android támogatása egyre fontosabb része lesz termék stratégiájuknak.
További információ angol nyelven