A közelmúltban foglalkoztunk a Juniper MTC (Mobile Threat Center) felmérés kapcsán azzal, hogy az ellenőrizetlen forrásokból beszerzett mobil alkalmazások nagy kockázatot jelentenek a vállalati rendszerekre, és a veszély különösen az androisod készülékeknél nagy. Az alábbiakban bemutatunk egy módszert, amelynek révén szinte bármilyen alkalmazásból az adatbiztonságra veszélyes eszközt tudnak készíteni a támadók.

Remote Access Tools ■ A módszer ráadásul nem új. Az IT-biztonsági szakemberek már nagy valószínűséggel windowsos környezetben már találkoztak az úgynevezett RAT (Remote Access Tools) eszközökkel. Ezek olyan kártékony programok, melyeken keresztül a fertőzött számítógépek akár távolról vezérelhető is. A RAT programok az utóbbi időszakban megjelentek egyes mobil platformokra is – közülük kétségtelenül a legnépszerűbb az Android. A legismertebb Androidra készített RAT-eszköz ma az AndroRAT, amely 2012 novemberében jelent meg.




Az AndroRAT céljait tekintve erősen hasonlít a windowsos őseihez: alapvetően távoli károkozásokra ad lehetőséget. A funkciói abban segítik a terjesztőjét, hogy átvegye a fertőzött készülékek feletti irányítást: többek között telefonhívásokat kezdeményezhet, SMS-üzeneteket küldhet a fertőzött mobilról, lekérdezheti a mobil aktuális GPS-koordinátáit, aktiválhatja a beépített kamerát és a mikrofont, és persze minden fájlhoz hozzáférhet a távolról felügyelete alá vont okostelefonokon vagy táblagépeken. A hacker mindehhez egy grafikus felületet is kap, melyen keresztül egyszerűen szabályozhatja az AndroRAT működését.

Nyílt forráskód hackerkézben ■ Az AndroRAT egyik érdekessége, hogy nyílt forráskódú eszköz, amely szabványos APK-csomag formájában is telepíthető. Ez az út azonban a bűnözők szempontjából nem feltétlenül jó, hiszen egy különálló program letöltésére viszonylag nehéz rávenni a felhasználókat. Sokkal hatékonyabb, ha a nemkívánatos kódokat teljesen legális alkalmazásokba építve lehet terjeszteni, így a készüléktulajdonos gyakorlatilag gyanútlanul telepíti az általa kiválasztott alkalmazással az AndroRAT-ot is. Ennek a módszernek korábban az volt a korlátja, hogy komoly szaktudást igényelt a „titkos integráció”. Most azonban az AndroRAT-nál sikerült megoldani azt is, hogy különösebb informatikai szaktudás nélkül lehessen becsempészni legális mobil alkalmazásokba a veszélyes kódot, ami gyakorlatilag korlátlan lehetőséget nyit a RAT-eszköz előtt.

A Symantec kutatói eddig 23 esetben akadtak az AndroRAT nyomaira legális mobil alkalmazásokban. Egyelőre az amerikai és a török piacon terjed, de a kutatók szerint rövid időn belül bármely országban, régióban elerjedhet. Különösen amiatt, mert nyílt forráskodú lévén nagyon könnyű módosítani, és ezáltal rohamosan fejlődik. Egyre kifinomultabb módszereket kínál terjesztőinak. Ráadásul más programokba is bekerült már. Az egyik ilyen az Adwind trójai, amely többféle operációs rendszerrel kompatibilis, és az AndroRAT révén már az androidos okostelefonokat, illetve táblagépeket is képes kiszolgáltatottá tenni. (Az Adwind Java kódra épül és platformfüggetlen. Olyan feladatokat hajt végre a fertőzött gépen, melyeket egy távoli szerveren keresztül osztanak ki neki a terjesztői. Alapvető feladata, hogy hátsó kaput létesítsen adatszivárgáshoz.)


Az AndroRAT ismét felhívja a figyelmet a mobilbiztonsági szoftverek alkalmazásának fontosságára, de leginkább arra, hogy mobil appot csak tiszta forrásból szabad beszerezni. Ez sem garantálja száz százalékig, hogy nem lesz fertőzött a beszerzett alkalmazás, ám a valószínűségét mindenképpen növeli.

_{(A cikk a Biztonságportálon megjelent írás szerkesztett változata.)}