:

Szerző: Hlács Ferenc

2014. február 26. 14:51

Tor hálózatot használ a trükkös androidos malware

A Kaspersky Lab felfedezte az első, Tor hálózatra támaszkodó androidos kártevőt. Hasonló rosszindulatú szoftverekre Windows platformon jó néhány példa akad, Androidra azonban eddig még nem találtak hasonlót.

A Tor hálózatot használó andoridos malware-re bukkant a Kaspersky Lab. Ez az első eset, mikor egy a nyílt forráskódú mobil operációs rendszert fenyegető rosszindulatú szoftver az anonim hálózatot veszi igénybe, hasonlóra eddig csak Windowst futtató számítógépeken dokumentált kártevők esetében volt példa. Az eset ugyanakkor nem meglepő, hiszen a hasonló kártevők fejlesztői gyakran merítenek inspirációt a Microsoft rendszerét pusztító szoftverekből.

Tor weboldal mint parancsszerver

A Tor (The Onion Router) egy olyan program, amellyel anonim módon folytathatunk online tevékenységet, mivel a titkosított adatforgalmat a világ számos pontján lévő szerverekből álló hálózaton vezeti át - így akár titkos weboldalak is működtethetők vele. Roman Unuchek, a Kaspersky Lab szakértője szerint egy ilyen oldalt használ a szóban forgó malware is parancs- és irányítószerverként, amelytől az utasításokat kapja.

Modern SOC, kiberhírszerzés és fenntartható IT védelem (x)

Gyere el meetupunkra november 18-án, ahol valós használati eseteken keresztül mutatjuk be az IT-biztonság legújabb trendjeit.

Modern SOC, kiberhírszerzés és fenntartható IT védelem (x) Gyere el meetupunkra november 18-án, ahol valós használati eseteken keresztül mutatjuk be az IT-biztonság legújabb trendjeit.

Az, hogy az eddig csak windowsos számítógépeket fenyegető megoldás az Androidot futtató készülékekre is utat talált, jól mutatja, hogy az okostelefonok és tabletek egyre vonzóbb célpontot jelentenek a bűnözők számára, legfőképp a rajtuk tárolt értékes személyes adatok miatt. A kártevő, amelyet a Kaspersky Backdoor.AndroidOS.Torec.a-nak nevezett el, képes hozzáférni az SMS-ekhez, megkaparintani a telefonszámokat, a fertőzött eszköz IMEI azonosítóját, illetve megtudni, hogy az éppen melyik országban tartózkodik, és akár annak GPS koordinátáit is megszerzi.

Egy nagyobb botnet része lehet

Hasonló Tor weboldalakat használtak a már lebuktatott Silk Road online piactér működtetéséhez is. Az ilyen oldalak a “.onion” tartománynév alatt üzemelnek, és csaknem lehetetlen visszakövetni valós IP-címüket, mivel azt a hálózat elfedi - ennek megfelelően, ahogy Unuchek fogalmazott, egy ilyen weblapon működtetett irányítószervert gyakorlatilag lehetetlen leállítani. A malware az Orbot névre hallgató szoftvercsomagot használja, amit az anonim hálózatot is megalkotó The Tor Project fejlesztett, hogy Androidról is lehetőség legyen a névtelen internetezésre. A Backdoor.AndroidOS.Torec.a is ezt a klienst veszi igénybe, hogy csatlakozzon az irányítószerverhez.

A Malwarebytes egyik szakértőjének, Adam Kujawának a blogbejegyzése szerint könnyen lehet, hogy a kártevő valójában “Slempo” névre hallgat és a “Stoned Cat” botnet része. A vállalat szerint a fertőzött gépekből álló hálózat használatáért az azt létrehozó hackerek először 1000 dollárt, később pedig havonta újabb 500-at is elkérnek. Noha a rosszindulatú program kommunikációját nem egyszerű követni, hiszen az a Toron keresztül zajlik, működése a telefon adatforgalmán is megmutatkozik, így azt érdemes figyelemmel kísérni, akárcsak az adott készülék szokatlanul gyors merülését, az anonim hálózattal fenntartott folyamatos kapcsolat ugyanis az akkumulátort is az átlagnál jobban megterheli.

November 25-26-án 6 alkalmas K8s security és 10 alkalmas, a Go és a cloud native szoftverfejlesztés alapjaiba bevezető képzéseket indítunk. Az élő képzések órái utólag is visszanézhetők, és munkaidő végén kezdődnek.

a címlapról