Miután a Google több tucat, kártevőt tartalmazó programot azonosított az Android Marketen, eltávolította azokat az alkalmazás-piactérről - és távolról, a felhasználók mobiljáról is törölte azokat.

Március elején nagy vihart kavart, amikor kiderül, hogy a Google mobilos letöltőközpontjába, az Android Marketre minden előzetes szűrés és ellenőrzés ellenére felkerült jó néhány vírusos alkalmazás. A DroidDream nevű kártevőt hordozó több mint 50 alkalmazást hamarosan kidobták a Marketről, és most második hullámban a Google távoli irányítással letörölte a fertőzött fájlokat a felhasználók telefonjairól is.

Miután a Google azonosította a kártékony programokat, azonnal eltávolította azokat az Android Market kínálatából, így új fertőzések már nem történhettek. Minden felhasználó, akinek a mobilján 2.2.2-nél régebbi az Android és letöltötte valamelyik  programot, potenciális áldozat volt. A Google szerint a támadók csak a készülékspecifikus adatokhoz juthattak hozzá, például az IMEI számhoz, egyedi azonosítókhoz, illetve az Android pontos verziószámához, de előfordulhatott volna, hogy további bármilyen adat előtt megnyílnak a kapuk, ezért a Google úgy döntött, hogy beavatkozik.

Tiltás, törlés, beavatkozás

A vállalat kitiltotta a szóban forgó programokat az Android Marketből, felfüggesztette az érintett fejlesztői fiókokat, felvette a kapcsolatot a hatóságokkal és letörölte az alkalmazásokat azokról az eszközökről, amikre gazdájuk már feltelepítette. Sokakban nyilván ez utóbbi okozhat megrökönyödést, hiszen eddig csak az elvi lehetőségről tudtunk, de a Google (nyilvánosan legalábbis) nem használta még ezt az eszközt. A távoli törlést lehetővé tévő program csak egy a Google biztonságot garantáló eszközei közül, amivel képes megvédeni felhasználóit a támadásoktól. Ha a jövőben elszabadulna egy vírus, vagy egy féregprogram, akkor a mostanihoz hasonló módszerrel pillanatok alatt véget lehetne neki vetni. Ez az, amire például a Windows történetében sosem volt példa.

A törlést követően egyébként az érintett készülékek kaptak egy biztonsági javítást is a Market szoftverében, ami befoltozza a kihasznált biztonsági rést, illetve az android-market-support@google.com e-mail címről is érkezni fog egy levél a felhasználókhoz, ami arról értesíti őket, hogy az “Android Market Security Tool March 2011” feltelepült. A felhasználónak nem szükséges beavatkoznia, semmit nem kell tennie, a program önmaga elvégez minden szükséges javítást. 24 órán belül, mikor a folyamat befejeződött, egy második levél érkezik ennek nyugtázására.

Az igazi probléma viszont még ekkor sem oldódik meg, hisz egyes esetekben a kártevők root jogosultságot szereznek a mobilon, az pedig további problémákat vet fel: "Egy root hozzáféréssel rendelkező kártevő bármilyen, a telefonon tárolt adathoz hozzáférhet, és kiküldheti azt akárhová. Ide tartoznak a kapcsolat információk, dokumentumok és még a tárolt jelszavak is. Root hozzáférés birtokában lehetséges a felhasználói felületen láthatatlan komponenseket telepíteni, melyeket aztán csak nehezen lehet eltávolítani. Emiatt minden kompromittált telefont vissza kell állítani a gyári állapotba - ehhez néhány esetben vissza kell vinni a telefont az üzletbe, ahol vásárolták." - írja összefoglalójában a BuheraBlog.

Az Android Market csapata úgy tűnik, komolyan veszi a felhasználók biztonságát. Ha valakiben további kérdések merülnek fel, akkor az Android Market Help Centerében talál válaszokat, ha mégsem, akkor ugyanitt lehetőség van személyes üzenet küldésére is. Az androidos kártevők működéséről további információk olvashatók az IBM X-Force blogján, magyarul pedig a BuheraBlogon.

A problémák fő okozója

(aki a BuheraBlog magyarázatát bonyolultnak találja, olvassa el ezt)

A múlt héten már bebizonyosodott, hogy a szóban forgó, Android kompatibilis kártékony alkalmazások mögött egy DroidDream nevű kód áll, amely elsősorban adatlopási célokkal készült. A károkozóról azonban azóta az is beigazolódott, hogy egy meglehetősen kifinomult programról van szó.

A Lookout Mobile Security elemzése szerint a DroidDream alapvetően két lépésben hajtja végre a számára kijelölt feladatokat. Először leginkább arra törekszik, hogy root hozzáférést szerezzen a készülékeken, amelynek felhasználásával tulajdonképpen bármit megtehet. Emellett összegyűjti az IMEI (International Mobile Equipment Identity) valamint az IMSI (International Mobile Subscriber Identity) azonosítókat, amelyeket továbbít egy Kaliforniában működő szerverre. Amint ezzel végez, akkor letölt a készülékekre egy DownloadProviderManager.apk nevű állományt, és megpróbálja megakadályozni, hogy azt a felhasználó eltávolítsa.

A DroidDream második lépcsőben további bizalmas adatokat igyekszik kiszivárogtatni. Így például a telefonszámok, a készülék technikai paraméterei, nyelvi beállításai iránt is fokozott érdeklődést mutat. Eközben pedig egy távoli szerverhez csatlakozik, és tulajdonképpen egy botnet kialakításában próbál részt venni. Ennek során további ártalmas kódokat képes feljuttatni a mobil eszközökre.

A DroidDream két exploitot használ fel a terjedéséhez, és a feladatainak ellátásához. Az egyik az exploid, míg a másik a rageagainstthecage nevet kapta. A kártékony program további érdekes és egyben alattomos jellemzője, hogy kizárólag este tizenegy és reggel nyolc óra között aktivizálódik, vagyis akkor, amikor a legtöbb felhasználó éppen alszik. Így észrevétlenül végezheti el a feladatait.

Harcba szállt a Google

A Google a DroidDream távoli eltávolításával jelentős lépésre szánta el magát, amivel nem meglepő módon megosztotta mind az IT szakembereket, mind a felhasználókat. Vannak ugyanis, akik szerint jó dolog, ha a Google figyel, és automatikusan eltávolítja a nemkívánatos alkalmazásokat. De természetesen azok tábora sem kicsi, akik viszont rossz szájízzel fogadták a Google által foganatosított védelmi intézkedést, mondván nem szép mások telefonjában turkálni.

(forrás: hwsw.hu, index.hu, biztonsagportal.hu)