Kasuliku varjupool: Google’i mobiiliteenus jäi kurjategijatele silma

30.08.2013

Uus infotehnoloogia ja uued seadmed avardavad mitte ainult arendajate, vaid ka kurjategijate võimalusi, kes väsimatult otsivad värskeid vahendeid omakasupüüdlike eesmärkide saavutamiseks. Hiljuti avastasid Kaspersky Labi eksperdid uue nn vahekäigu, mille kaudu saavad viirusekirjutajad oma pahavara lihtsasti juhtida. Kasutades teenust Google Cloud Messaging (GCM), mis võimaldab rakenduste arendajatel saata laiali sõnumeid, edastavad kurjategijad käske oma troojalastele, mis nakatavad Androidi platvormil töötavaid telefone. See pahavara aga omakorda saadab lühisõnumeid tasulistele numbritele, varastab sõnumeid ja kontakte ning näitab reklaame, milles peitub muu pahavara.

 

Loomulikult levitatakse kogu sellist pahavara kasulike rakenduste ja mängude ettekäändel. Pahavara loojate uuenduslikkus ja eriline originaalsus seisneb aga selles, et nad kasutavad oma juhtimiskeskusena GCM-teenuse serverit: just siin registreeritakse kõik troojalased ja tagaukseviirused peale nende paigaldamist nutitelefoni, siit saavad nad ka käske. Selline lähenemine välistab võimaluse blokeerida ligipääs juhtserverisse vahetult nakatatud mobiililt. Ainus võimalus seista vastu käskude saamisele on blokeerida nende arendajate kasutajakontod, kelle ID-tunnusega pahavara on registreeritud.

 

Kõige populaarsem GCM-teenuseid kasutavate mobiilitroojalaste funktsioon on lühisõnumite saatmine tasulistele erinumbritele. Klassikaline näide on Kaspersky Labi avastatud Trojan-SMS.AndroidOS.OpFake.a, mida oli paigaldatud üle miljoni korra. Selle pahavara funktsionaalsus on päris lai: lisaks võimalusele edastada tasulistele erinumbritele lühisõnumeid suudab see pahavara varastada sõnumeid ja kontakte, kustutada lühisõnumeid ning saata laiali sõnumeid, mis sisaldavad linki talle endale või mõnele teisele pahavarale; samuti võib see rakendus iseseisvalt käivituda, oma tegevust peatada ja automaatselt uueneda.

 

Iga kuu avastab Kaspersky Lab üle 12 tuhande uue mobiilseadme platvormidele loodud pahavara. Seejuures on Android kõige haavatavam: 97% mobiiliohtudest sihivad just seda platvormi. GCM-teenuse kasutamine kurjategijate poolt on üks sellistest ohtudest. Praegu pole mobiilseadme pahavarade hulk kuigi suur, kuid mõni neist on väga populaarne. Võidelda saab nendega ainult juhul, kui ühendada oma jõud GCM-teenuse loojatega ja blokeerida viiruseloojatele sidekanalid, mille kaudu nad pahavara juhivad.

 

Loe GCM-teenust kasutava mobiilseadmete pahavara kohta täpsemalt siit:

http://www.securelist.com/en/blog/8113/GCM_in_malicious_attachments