Extra Külföld 

RottenSys – így vehetik át a hackerek az uralmat több millió mobil felett

Biztonsági szakemberek felfedeztek egy folyamatosan terjedő malware kampányt, amely már közel 5 millió mobileszközt fertőzött meg világszerte.

A RottenSys nevű malware-t, a mobiltelefon rendszerének Wi-Fi szolgáltatásaként álcázott kártevőjét, előre telepítették több millió új okostelefonra, amit a Honor, a Huawei, a Xiaomi, az OPPO, a Vivo, a Samsung és a GIONEE hozzáadott valahol az ellátási lánc mentén. Mindezeket az eszközöket a Tian Pai, a Hangzhou-alapú mobiltelefon-forgalmazón keresztül szállították, de a szakemberek egyenlőre nem tudják, hogy a vállalat közvetlenül részt vesz-e ebben a kampányban.

A Check Point Mobile Security Team, tárta fel ezt a kampányt. A kiberbiztonsági cég szerint a RottenSys egy olyan fejlett malware-program, amely nem nyújt semmilyen biztonságos Wi-Fi-kapcsolatot, de szinte minden Android jogosultságot igénybe vesz a rosszindulatú tevékenységek engedélyezéséhez.

 “Megállapításaink szerint a RottenSys malware, 2016. szeptemberében kezdett el feltűnni. 2018. március 12-én pedig már 4 964 460 eszközt fertőzött meg. A RottenSys rendkívül agresszív hirdetési hálózat. Az elmúlt 10 napban egyedülálló módon 13.250.756 alkalommal váltott ki agresszív hirdetés megjelenéseket a mobiltelefonokon, amelyekből 548 822 hirdetéskattintást idéztek elő. A hackerek 115 ezer dollárt kerestek ezzel csaknem 10 nap alatt– mondták a kutatók.

Kaszáltak vele rendesen:

Az azonnali észlelés elkerülése végett, a hamis System Wi-Fi szolgáltatás eredetileg nem tartalmaz rosszindulatú összetevőket, és nem azonnal indít rosszindulatú tevékenységeket. Ehelyett a RottenSys úgy lett megtervezve, hogy kommunikáljon a vezérlő szervereivel, hogy megkapja a szükséges összetevők listáját, amelyek tartalmazzák a tényleges rosszindulatú kódot.

A RottenSys ezután letölti és telepíti mindegyiküket a “DOWNLOAD_WITHOUT_NOTIFICATION” engedély használatával, amely nem igényel semmilyen felhasználói interakciót.

A rosszindulatú program egy adware-összetevőt helyez el az eszközre, amely agresszíven jeleníti meg a hálózat hirdetéseit az eszköz kezdőképernyőjén, felugró ablakokként vagy teljes képernyős hirdetésekként, reklámbevételek generálásához.

A RottenSys-t úgy tervezték meg, hogy az új komponenseket egy C & C szerverről töltse le és telepítse. A támadók pedig könnyen “lefegyverezhetik” és teljesen ellenőrzhetik a több millió megfertőzött eszközt.

A vizsgálat rámutatott arra is, hogy a RottenSys-el támadók már megkezdték a fertőzött eszközök millióinak tömeges botnet-hálózatba való bevonását.

Minden jel arra utal, hogy a RottenSys-t rohamléptekben fejlesztik is. Egyes fertőzött eszközökön már találtak is egy új RottenSys összetevőt, amely a támadók számára szélesebb körű lehetőségeket is biztosít, beleértve a további alkalmazások csendes telepítését, UI-automatizálást.

“Érdekes módon a botnet vezérlőmechanizmusának egy része Lua szkripteken alapul. Beavatkozás nélkül a támadók felhasználhatják rosszindulatú programjukat, és hamarosan átveszik az irányítást több millió eszközön ” – jegyezte meg a Check Point Mobile Security Team szakembere.

Hogyan lehet eltávolítani a rosszindulatú programokat az Android eszközökről?

Ha ellenőrizni szeretnéd, hogy a készülék fertőzött-e ezzel a rosszindulatú programmal, menj a következő menüpontokra: >>Android rendszerbeállítások → Alkalmazáskezelő<<, majd keresd meg az alábbi kártékony programcsomag-neveket:

  • com.android.yellowcalendarz
  • com.changmi.launcher
  • com.android.services.securewifi
  • com.system.service.zdsgt

Ha a fentiek közül bármelyik szerepel a telepített alkalmazások listájában, egyszerűen távolítsd el.

Kapcsolódó tartalmak