Tor hálózatot használ a trükkös androidos malware
A Kaspersky Lab felfedezte az első, Tor hálózatra támaszkodó androidos kártevőt. Hasonló rosszindulatú szoftverekre Windows platformon jó néhány példa akad, Androidra azonban eddig még nem találtak hasonlót.
A Tor hálózatot használó andoridos malware-re bukkant a Kaspersky Lab. Ez az első eset, mikor egy a nyílt forráskódú mobil operációs rendszert fenyegető rosszindulatú szoftver az anonim hálózatot veszi igénybe, hasonlóra eddig csak Windowst futtató számítógépeken dokumentált kártevők esetében volt példa. Az eset ugyanakkor nem meglepő, hiszen a hasonló kártevők fejlesztői gyakran merítenek inspirációt a Microsoft rendszerét pusztító szoftverekből.
Tor weboldal mint parancsszerver
A Tor (The Onion Router) egy olyan program, amellyel anonim módon folytathatunk online tevékenységet, mivel a titkosított adatforgalmat a világ számos pontján lévő szerverekből álló hálózaton vezeti át - így akár titkos weboldalak is működtethetők vele. Roman Unuchek, a Kaspersky Lab szakértője szerint egy ilyen oldalt használ a szóban forgó malware is parancs- és irányítószerverként, amelytől az utasításokat kapja.
Modern SOC, kiberhírszerzés és fenntartható IT védelem (x) Gyere el meetupunkra november 18-án, ahol valós használati eseteken keresztül mutatjuk be az IT-biztonság legújabb trendjeit.
Az, hogy az eddig csak windowsos számítógépeket fenyegető megoldás az Androidot futtató készülékekre is utat talált, jól mutatja, hogy az okostelefonok és tabletek egyre vonzóbb célpontot jelentenek a bűnözők számára, legfőképp a rajtuk tárolt értékes személyes adatok miatt. A kártevő, amelyet a Kaspersky Backdoor.AndroidOS.Torec.a-nak nevezett el, képes hozzáférni az SMS-ekhez, megkaparintani a telefonszámokat, a fertőzött eszköz IMEI azonosítóját, illetve megtudni, hogy az éppen melyik országban tartózkodik, és akár annak GPS koordinátáit is megszerzi.
Egy nagyobb botnet része lehet
Hasonló Tor weboldalakat használtak a már lebuktatott Silk Road online piactér működtetéséhez is. Az ilyen oldalak a “.onion” tartománynév alatt üzemelnek, és csaknem lehetetlen visszakövetni valós IP-címüket, mivel azt a hálózat elfedi - ennek megfelelően, ahogy Unuchek fogalmazott, egy ilyen weblapon működtetett irányítószervert gyakorlatilag lehetetlen leállítani. A malware az Orbot névre hallgató szoftvercsomagot használja, amit az anonim hálózatot is megalkotó The Tor Project fejlesztett, hogy Androidról is lehetőség legyen a névtelen internetezésre. A Backdoor.AndroidOS.Torec.a is ezt a klienst veszi igénybe, hogy csatlakozzon az irányítószerverhez.
A Malwarebytes egyik szakértőjének, Adam Kujawának a blogbejegyzése szerint könnyen lehet, hogy a kártevő valójában “Slempo” névre hallgat és a “Stoned Cat” botnet része. A vállalat szerint a fertőzött gépekből álló hálózat használatáért az azt létrehozó hackerek először 1000 dollárt, később pedig havonta újabb 500-at is elkérnek. Noha a rosszindulatú program kommunikációját nem egyszerű követni, hiszen az a Toron keresztül zajlik, működése a telefon adatforgalmán is megmutatkozik, így azt érdemes figyelemmel kísérni, akárcsak az adott készülék szokatlanul gyors merülését, az anonim hálózattal fenntartott folyamatos kapcsolat ugyanis az akkumulátort is az átlagnál jobban megterheli.