A BankBot elnevezésû trójai program folyamatosan fejlõdött az év eleje óta, és jelent meg különbözõ verziókban a Google Play áruházban és azon kívül is. Az ESET által felfedezett változat, amely szeptember 4-én tûnt fel a mobilos alkalmazástérben, elsõként ötvözi a kártevõ fejlõdése során elért összes funkciót: javított kód elrejtés, kifinomult kódbejuttatási funkció és az Android hozzáférhetõségi szolgáltatását kihasználó ravasz fertõzõ mechanizmus.
Az Android hozzáférhetõségi szolgáltatásának kihasználását számos korábbi trójai programnál figyelték meg, a legtöbb esetben a Google Play áruházon kívül. A SfyLabs és a Zscaler elemzései beigazolták, hogy a BankBot vírust terjesztõ kiberbûnözõk korábban sikeresen feltöltöttek egy alkalmazást a Google Play áruházba az Android hozzáférhetõségi szolgáltatásának kihasználásával, amely akkor azonban magát a banki kártevõt még nem tartalmazta.
A mostani incidensnél a vírus egy Jewels Star Classic elnevezésû játékba elrejtve került fel az áruházba. Fontos megjegyezni, hogy a támadók ezúttal a népszerû Jewels Star játék nevét használták, amely eredetileg az ITREEGAMER fejlesztése, és semmilyen formában nem kötõdik a támadáshoz. A tapasztalatok szerint sajnos évek óta gyakori forgatókönyv, hogy a népszerû mobiljátékok nevével visszaélve, azok hasonmásaiba, klónjaiba rejtenek el kártékony kódokat."
Az ESET szakemberei haladéktalanul jelezték a vírus felbukkanását a Google biztonsági csoportjának, ám kártékony appot az eltávolítás elõtt már sajnos közel 5000 felhasználó töltötte le és telepítette.
Hogyan mûködik?
Miután a gyanútlan felhasználó letöltötte a GameDevTony által fejlesztett Jewels Star Classic játékot, egy mûködõ androidos játékot kap ugyan, de a program emellett trójai funkciókkal is rendelkezik: az alkalmazásban rejtõzködõ banki kártevõ és a rosszindulatú szolgáltatások az elõre beállított késleltetést követõen várják az indítást.
A rosszindulatú folyamatok 20 perccel a játék elsõ indítás után veszik kezdetüket. A fertõzött eszköz képernyõjén egy figyelmeztetés jelenik meg, és arra kéri a felhasználót, hogy engedélyezzen egy „Google szolgáltatást”, amelynek tartalma mindig a felhasználó aktuális tevékenységétõl függ, és nincs kapcsolatban a játékkal. Miután a felhasználó rányom az ’OK’ gombra, amely a figyelmeztetés eltüntetésének egyetlen módja, a program az Android Hozzáférések menübe navigálja, ahol a szolgáltatások és a hozzáférések kezelhetõk. A hivatalos szolgáltatások között megjelenik egy új pont, amelyet a kártevõ hozott létre. Rákattintva a Google felhasználói feltételei jelennek meg.
Ha a felhasználó aktiválja a szolgáltatást, megjelennek a kért engedélykérések: a felhasználó tevékenységének megfigyelése, az ablakok tartalmának lekérdezése, a böngészés bekapcsolása érintéssel, továbbfejlesztett webes lehetõségek bekapcsolása és a mozgások végrehajtása. Ezek jóhiszemû jóváhagyása viszont sajnos elérést biztosít a kártevõ saját hozzáférési szolgáltatásához, és szinte minden feladat végrehajtását lehetõvé teszi számára, amelyre innentõl a vírusnak csak szüksége lehet.
A jóváhagyás után, miközben a felhasználó a frissítés betöltésére vár, a kártevõ az alábbi folyamatokat hajtja végre:
• Engedélyezi az ismeretlen forrásból származó alkalmazások letöltését,
• telepíti és elindítja a BankBot kártevõt,
• a kártevõ eszközadminisztrátorrá teszi a BankBot programot,
• alapértelmezett SMS küldõ alkalmazásnak állítja be a BankBot vírust
• engedélyt ad más alkalmazásoknak is.
Ezek után a vírus következõ feladatán, a bankkártyaadatok ellopásán dolgozik. Amikor a felhasználó elindítja a Google Play alkalmazást, a BankBot közbelép, és felülírja a hivatalos programot egy hamis ûrlappal, amelyben a bankkártyaadatokat kéri. Ha ezeket a felhasználó beírja, akkor a program el is érte célját. A BankBot az SMS kommunikáció során is közbelép, megkerülve így az eredetileg a biztonságunkat szolgáló kétfaktoros azonosítást.
Hogyan távolítsuk el a kártevõt?
A Jewels Star Classic játék utáni kutatás önmagában nem elég, a támadók gyakran változtatják a terjesztéshez használt alkalmazást. Ahhoz, hogy megtudjuk fertõzött-e az eszközünk, az alábbi jeleket keressük:
• Google Update elnevezésû alkalmazás (Beállítások-> Alkalmazások->Google Update)
• Aktív készülékadminisztrátor „System Update” (rendszerfrissítés) néven (Beállítások->Biztonság-> Készülékadminisztrátorok)
• A „Google Service” figyelmeztetés többszöri megjelenése.
A készülék manuális megtisztításához le kell tiltani a „System Update” adminisztrátori jogosultságát, majd törölni kell a “Google Update” és a fertõzött alkalmazást is.
Hogyan maradjunk biztonságban?
• Használjunk megbízható mobilbiztonsági megoldást mobilon és táblagépen egyaránt, valamint tartsuk be az alábbi néhány tanácsot.
• Használjuk a hivatalos áruházat, amikor csak lehetséges. Bár idõnként itt is elõfordulnak incidensek, de még így is erõteljesebb a biztonság az alternatív áruházakhoz képest, a Google Play rendszeres ellenõrzési eljárásainak köszönhetõen.
• Ha kétségeink vannak egy alkalmazásról, akkor nézzük meg a népszerûségét a telepítések száma, az értékelések és a visszajelzések alapján.
• Miután bármit is elindítunk mobileszközünkön, nézzük meg, hogy milyen engedélyeket kér az alkalmazás. Ha a program a funkcióihoz nem társuló jogosultságokat kér, akkor olvassuk el figyelmesen ezeket, és csak akkor adjuk meg az engedélyt, ha teljesen biztosak vagyunk az alkalmazás megbízhatóságában.
Az elemzésrõl bõvebben a WeLiveSecurity blogon olvashat.