A kikapcsolt mobilon figyel a kémprogram

Mobiltelefon-összehasonlítás. mobiltelefon Samsung Galaxy S5
Mobiltelefon-összehasonlítás.
Vágólapra másolva!
Egy új androidos kártevő átveszi a kontrollt a bekapcsológomb felett: azt imitálja, hogy kikapcsoltuk a telefont. Közben pedig felhív egy számot.
Vágólapra másolva!

A vírusirtó szoftveréről ismert AVG kiberbiztonsági cég kutatói nagyon trükkös mobilkártevőt fedeztek fel, amely androidos mobilokra képes feltelepülni.

Csak úgy csinál, mintha kikapcsolna

A PowerOffHijack.A névre keresztelt kártevő Android 5.0-nál régebbi rendszereken tud aktiválódni. Egy rendkívül ötletes, de hatékony megoldást alkalmaz a felhasználók átveréséhez: úgy módosítja a rendszert, hogy átvegye az irányítást a bekapcsológomb felett - olvasható az AVG blogján.

Ezzel a technikával képes imitálni az okostelefon kikapcsolását: lejátssza az Android kikapcsolásakor megjelenő animációt. A készülék azonban valójában nem kapcsol ki, csak a kijelzője sötétül el. A telefon egyéb moduljai aktívak maradnak, a mobil képes titokban hívást indítani vagy a beépített kamerával fotót, videót rögzíteni.

Tízezer telefont fertőzött meg

Bár a kártevő az AVG szerint legalább tízezer eszközt fertőzött meg, ezek döntő többsége azonban kínai felhasználók mobiljaira települt, mivel kezdetben ázsiai appboltokban terjesztették a kártevőt. A fertőzött androidos mobilokat csak az akkumulátor kivételével lehet teljesen kikapcsolni, már ha a készülékből egyáltalán kivehető a telep, és nincs fixen beszerelve.

Zelenák János, a Secfone nevű magyar titkosítótechnológia szabadalmának feltalálója szerint a kikapcsolást szimuláló kártevő működésének kulcsa, hogy kiemelt, rootnak nevezett jogosultságot kell szereznie a futó programok között. Csak ilyen magas szintű jogosultsággal lehet olyan rendszerszintű funkciók felett átvenni a vezérlést, mint például a bekapcsológomb által indított folyamatok.

Forrás: AFP/Hubert Link

Rendszerhibán keresztül aktiválódhat

Alapesetben azonban egy alkalmazás nem szerezhet ilyen jogosultságot az androidos mobilon, hacsak annak gazdája saját maga el nem végzi a "rootolást", vagyis nem szerez a rendszer módosításával legfelsőbb szintú jogosultságot a saját telefonjához. Ha ez az eset nem áll fenn, például az Android-rendszerben lévő esetleges rések kiaknázásával szerezhet ilyen jogosultságot egy kártevő. Az AVG ismertetőjében ugyan szerepel, hogy a kártevőnek meg kell szereznie a jogosultságot, ám azt nem részletezik, hogy milyen módon teszi meg ezt. Nagyon valószínű, hogy csak régebbi Androidnál képes erre, melyeken nincsenek telepítve a hibákat orvosló frissítések - magyarázta Zelenák.

A szakértő szerint nagyon fontos lenne tudni, hogy miként próbál kiemelt jogosultságot szerezni a program a fertőzött rendszereken, mert ebből lehet megítélni a veszélyességét. Ha ugyanis például nem “rootolt” mobilokat nem tud támadni, a felhasználók többségére nem jelent veszélyt. Egyébként "rootolt” mobilok esetében is van módszer a jogosultságok kézben tartására, de ehhez elég jól kell érteni a mobilokhoz.

Az AVG ismertetője szerint a kártevő egyszerűen átírja azt a függvényhívást, ami az androidos mobilok kikapcsolási funkcióját hívja meg. Ezt követően a funkció felett a kártevő gyakorol teljes kontrollt. Az eredeti kikapcsoló függvény helyett ő maga fut le, ezért valójában nem kapcsol ki a készülék. Zelenák János szerint azonban ha egy program már ilyen jogosultságokkal rendelkezik, az nem csupán a kikapcsolás szimulálására, de bármilyen más feladatra, például adatok, jelszavak ellopására is alkalmas.

Az iPhone-osok után is kémkedtek

Az iPhone estében egy hasonló rendszert az Edward Snowden által kiszivárogtatott dokumentumok, és Jacob Applebaum biztonsági szakértő lepleztek le. Zelenák ezt veszélyesebb problémának ítéli, ugyanis a kiszivárgott dokumentumok alapján a Dropoutjeep nevű technika gyárilag működhet minden iPhone készüléken, és lehetővé teszi azok kompromittálását, akár kikapcsoltnak látszó állapotban is, bár csak legfeljebb néhány száz méteres távolságból. Súlyosbítja a helyzetet, hogy az iPhone-ból nem szerelhető ki egyszerűen az akkumulátor.

A rendszer veszélyességét mutatja, hogy a Forbes cikke szerint a rendszer hatékonysága döbbenetes: iPhone estében a kompromittálás sikeressége 100 százalékos volt, azaz egyetlen egy olyan iPhone sem akadt, amelyik esetében kudarcot vallottak volna – függetlenül bármely körülménytől, így attól is, hogy a felhasználó telepített-e bármilyen védelmi vagy kódoló szoftvert.

Természetesen Edward Snowden kiszivárogtatása óta az iPhone-nak több változata is megjelent, nincs kiszivárgott információ arról, hogy az új rendszerek esetében milyen változtatások vagy fejlesztések zajlottak ezen a téren - véli a szakértő.