SMS küldő trójai Android operációs rendszert futtató okostelefonokra

Novemberi vírus-helyzetkép a Kaspersky-től

A Kaspersky víruslabor megfigyelései szerint 2011 novembere meglehetősen csendes volt a hagyományos, kiberbűnözési célú kártevők területén: a hackerek a már meglévő teremtményeiket fejlesztették tovább, igazán jelentős új fertőzés nem került elő. Másrészről a professzionális, kémkedési célú Duqu trójai, amely még az ősszel bukkant fel a hírekben, november hónapban is sok munkát adott a visszafejtésén dolgozó kutatóknak - különös tekintettel arra a "nulladik napi" biztonsági hibára, amelynek jelenléte a win32k.sys rendszerfájlban lehetővé tette, hogy a katonai kártevő egy speciálisan formázott Microsoft Word dokumentum megnyitásakor bejuthasson a számítógépbe.

Twitter megosztás
Cikk nyomtatása
    A Kaspersky kutatói az Iránt támadó Duqu rendszer feltételezhetően 2007-2008 óta tartó előtörténetének és központi vezérlő infrastruktúrájának kutatására is jelentős erőfeszítést fordítottak. Így sikerült azonosítaniuk az eredeti fertőzési forrást Szudánban. Több egyedi C&C szerverre is rátaláltak, a gyanút fogott botmesterek által távolról letörölt kiszolgálókról azonban csak adattöredékeket sikerült visszanyerni.
    Érdekes egybeesés, hogy a Duqu haditrójai által alkalmazott, "galaktikus" JPEG-képhez ragasztott adatforgalmazási trükk mellett, immár a bűnözési célú kártevők készítői is rákaptak a szteganográfiára, azaz a titkosítás helyett vagy mellett használt, nem feltűnő üzenet-rejtegetés módszerére.

Ez a trükk elvileg háromféle előnyt kínál a kiber-bűnbandáknak:
  • Amennyiben feltört szervereken tárolják, terjesztik az ártó kódot, az üzemeltetők nem fogják olyan könnyen megtalálni és eltávolítani az illegális tartalmat.
  • A szteganográfia révén elrejthetik a káros kódot a víruslaborok automatizált elemző rendszerei elől.
  • A kisebb létszámmal, szerényebb felszereléssel vagy szakértelemmel dolgozó biztonsági laboroknak esetleg nincs elég erőforrásuk arra, hogy kézi elemzéssel birkózzanak meg a többféleképpen elrejtett kártevő visszafejtésével.

    Ilyen megoldással először szeptemberben találkoztak a víruselemzők az SST botnet esetében, amely a hírhedt TDSS/TDL kártevő egyik leszármazottjának tekinthető. Novemberben a JPEG/BMP alapú szteganográfia ötlete ismét felbukkant, ezúttal egy brazil webes bankokat támadó trójai programban, ahol netes bűnözők a képbe rejtés mellett titkosított blokkok láncolatával is védték a felismerés ellen a kártékony kódokat és adatokat.

Nem csak a Windows operációs rendszerekre koncentráltak

    A Kaspersky víruslabor mérései szerint az új kártevők novemberben az Apple személyi számítógépes platformot sem kerülték el, bár a fájlmegosztó torrent weboldalakon át terjesztett "Miner" hátsóajtó program eddig egyelőre csak néhány tucat Mac OS X rendszerű gépet fertőzött meg. Az ilyen típusú ártó kód célja egyébként a bonyolult és hosszas számításokkal előállítható Bitcoin virtuális pénz termelése anélkül, hogy erre a célra a saját villanyszámlájukat kellene megterhelniük a hackereknek.
    Asztali számítógépes területen említést érdemel még a Valve/Steam számítógépes játék-terjesztő hálózat felhasználói fórumának, majd fő adatbázisának novemberben történt feltörése, amely akár 35 millió fogyasztó személyes adatait és potenciálisan a netes vásárláshoz használt bankkártyáik biztonságát sodorhatta veszélybe.

Rövid üzenet, hosszú számla

    Az Android okostelefon-platformra készült "Foncy" SMS-küldő trójai kód révén az emelt díjas hívószámokkal trükköző kártevők idén novemberben kitörtek abból a korlátozott földrajzi régióból (Kína és a volt szovjet tagállamok területéről), ahol a működésüket eddig észlelték. A módszer nagy profitabilitása miatt a Kaspersky kutatói attól tartanak, hogy ez a mobilos csalásfajta sajnos világszerte gyorsan el fog terjedni.
    Az immár Nyugat-Európában és Kanadában is aktív Foncy trójait egy népszerű, az SMS-ek, hanghívások és a mobilnetezés költségét monitorozó segédprogram feltöréssel álcázták a netes bűnözők. A valóságban a nem hivatalos letöltő portálokon elérhető ártó kód nem csinál semmit - azon kívül, hogy egy hamis hibaüzenetet követően négy emelt díjas SMS-sel leszívja az előfizető egyenlegét, gyorsan és könnyen gazdaggá téve ezzel a rövidített hívószámokat bérlő hackereket.