Szerző: Biztonságportál | Utolsó módosítás: 2018.07.23.
https://biztonsagportal.hu/igy-verik-at-a-google-vedelmet-a-virusirok.html
Noha a Google Play áruházba kikerülő mobil alkalmazások egy sor biztonsági ellenőrzésen esnek át, mégis elérhetővé válnak kártékony appok. Lehet, hogy nem is olyan nehéz kijátszani a Google védelmét?
A biztonsági cégek gyakorta hangoztatják, hogy androidos alkalmazásokat lehetőleg csak a hivatalos Google Play áruházból töltsünk le, mert így jóval kisebb a valószínűsége annak, hogy olyan program is felkerül a mobilunkra, aminek amúgy semmi keresnivalója nem lenne ott. Sajnos azonban önmagában az a tény, hogy kizárólag a Google Playt használjuk, még nem jelent garanciát arra, hogy nem fertőződik meg az okostelefonunk, tabletünk. Ennek pedig leginkább az az oka, hogy a vírusírók esetenként képesek kijátszani a Google azon védelmi arzenálját, amivel az appokat ellenőrzi.
Gaetan van Diemen, a ThreatFabric biztonsági kutatójában az a kérdés fogalmazódott meg, hogy a Google Play miért nem képes a jelenleginél hatékonyabban fellépni a kártékony alkalmazások ellen. Azért, hogy pontos választ tudjon adni a kérdésre, egy sor vizsgálatot végzett. Arra jött rá, hogy a Google Play leggyengébb láncszeme az, hogy nem képes kellő mértékben fellépni az úgynevezett dropper vagy letöltő programok ellen, és ilyen módon nem mindig képes megakadályozni a több lépcsőben végrehajtott fertőzéseket.
A többlépcsős támadások alapvetően a PC-s vírusoktól származnak, de jelenleg úgy fest, hogy a mobilok esetében még jelentősebb veszélyt jelentenek. Amikor ugyanis egy ilyen, látszólag még teljesen ártalmatlan program felkerül a Google Playre, akkor a Google védelme semmi kirívót nem tapasztal. Egy ilyen app megjelenhet játék vagy bármilyen más formában. Aztán amikor a felhasználó letölti a programot, majd feltelepíti, akkor egy bizonyos idő után az app elkezdi beszerezni a valódi károkozáshoz szükséges fájlokat, és hirtelen minden rosszra fordul.
A problémát nehezíti, hogy míg a letöltő program általában kevés engedéllyel is beéri, addig a káros összetevők már jóval több jogosultságot igényelnek. Ezt azonban a felhasználó nagy valószínűséggel megadja, hiszen egy ideje már használja a programot, például hetek óta játszik vele. Így nem igazán lesz gyanús számára az app.
Egyre nagyobb gond a DaaS
A ThreatFabric szakértője arra is felhívta a figyelmet, hogy a letöltőprogramok napjainkban szolgáltatás (DaaS — Downloader-as-a-Service) formájában is elérhetők az internetes feketepiacon. Ez az oka annak, hogy a Google Playen eddig feltűnt ilyen jellegű appok jelentős része nagyon hasonlóan működik. Ugyanazokat a letöltő összetevőket használják, csak éppen más-más kártékony kódot juttatnak fel a készülékekre. A legtöbbször egyébként olyan banki trójai kerül fel a mobilokra, amely képes a felhasználó banki információinak, felhasználónevének, jelszavának stb. kiszivárogtatására. Ezt a technikát használja egyebek mellett a hírhedt Exobot, LokiBot és BankBot mobil trójai is.
Küzd a Google
A Google mérnökei is pontosan tisztában vannak a többlépcsős támadások által felvetett problémákkal. A vállalat a kockázatok csökkentése érdekében fejlesztette tovább a Play Protect technológiáját is, amely az alkalmazásokat rendszeresen monitorozza, és figyeli a nemkívánatos változásokat az eszközökre telepített appok esetében.
Diemen elismerte, hogy az ilyen jellegű támadásokkal szemben nehéz felvenni a kesztyűt, hiszen nem egyszerű milliónyi appot újra és újra átvizsgálni olyan módon, hogy a valós körülmények a lehető legjobban szimulálhatók legyenek. Márpedig erre szükség lenne, mivel vannak olyan letöltő programok, amelyek vagy csak vezérlőszerverektől érkező parancsok esetén aktiválódnak, vagy intenzív alkalmazáshasználat (például játék) közben kezdik el beszerezni a nemkívánatos összetevőket.
A biztonsági kutató ugyanakkor azt nem érti, hogy a Google Play miért nem tud még mindig fellépni azon letöltő program ellen, amely egyebek mellett az Emotet trójai terjesztését is végzi, és már hónapok óta ugyanazokat a trükköket veti be. Ebből az is kirajzolódik, hogy a vírusírókon nincs is mindig nagy nyomás, hogy újabb és újabb technikákat építsenek be a kártevőikbe a Play védelmének megkerüléséhez.
A felhasználók szempontjából az sem jó hír, hogy még a mobil antivírusok sem mindig képesek megbirkózni a letöltő programok által jelentett kihívásokkal. Ezért Diemen szerint mind a Google, mind a biztonsági cégek oldaláról nagyobb figyelmet kellene szentelni e fenyegetettségeknek. A felhasználóknak pedig a már telepített alkalmazások esetében is nagyon megfontoltan kellene osztogatniuk az engedélyeket.
A többlépcsős támadások alapvetően a PC-s vírusoktól származnak, de jelenleg úgy fest, hogy a mobilok esetében még jelentősebb veszélyt jelentenek. Amikor ugyanis egy ilyen, látszólag még teljesen ártalmatlan program felkerül a Google Playre, akkor a Google védelme semmi kirívót nem tapasztal. Egy ilyen app megjelenhet játék vagy bármilyen más formában. Aztán amikor a felhasználó letölti a programot, majd feltelepíti, akkor egy bizonyos idő után az app elkezdi beszerezni a valódi károkozáshoz szükséges fájlokat, és hirtelen minden rosszra fordul.
A problémát nehezíti, hogy míg a letöltő program általában kevés engedéllyel is beéri, addig a káros összetevők már jóval több jogosultságot igényelnek. Ezt azonban a felhasználó nagy valószínűséggel megadja, hiszen egy ideje már használja a programot, például hetek óta játszik vele. Így nem igazán lesz gyanús számára az app.
Egyre nagyobb gond a DaaS
A ThreatFabric szakértője arra is felhívta a figyelmet, hogy a letöltőprogramok napjainkban szolgáltatás (DaaS — Downloader-as-a-Service) formájában is elérhetők az internetes feketepiacon. Ez az oka annak, hogy a Google Playen eddig feltűnt ilyen jellegű appok jelentős része nagyon hasonlóan működik. Ugyanazokat a letöltő összetevőket használják, csak éppen más-más kártékony kódot juttatnak fel a készülékekre. A legtöbbször egyébként olyan banki trójai kerül fel a mobilokra, amely képes a felhasználó banki információinak, felhasználónevének, jelszavának stb. kiszivárogtatására. Ezt a technikát használja egyebek mellett a hírhedt Exobot, LokiBot és BankBot mobil trójai is.
Küzd a Google
A Google mérnökei is pontosan tisztában vannak a többlépcsős támadások által felvetett problémákkal. A vállalat a kockázatok csökkentése érdekében fejlesztette tovább a Play Protect technológiáját is, amely az alkalmazásokat rendszeresen monitorozza, és figyeli a nemkívánatos változásokat az eszközökre telepített appok esetében.
Diemen elismerte, hogy az ilyen jellegű támadásokkal szemben nehéz felvenni a kesztyűt, hiszen nem egyszerű milliónyi appot újra és újra átvizsgálni olyan módon, hogy a valós körülmények a lehető legjobban szimulálhatók legyenek. Márpedig erre szükség lenne, mivel vannak olyan letöltő programok, amelyek vagy csak vezérlőszerverektől érkező parancsok esetén aktiválódnak, vagy intenzív alkalmazáshasználat (például játék) közben kezdik el beszerezni a nemkívánatos összetevőket.
A biztonsági kutató ugyanakkor azt nem érti, hogy a Google Play miért nem tud még mindig fellépni azon letöltő program ellen, amely egyebek mellett az Emotet trójai terjesztését is végzi, és már hónapok óta ugyanazokat a trükköket veti be. Ebből az is kirajzolódik, hogy a vírusírókon nincs is mindig nagy nyomás, hogy újabb és újabb technikákat építsenek be a kártevőikbe a Play védelmének megkerüléséhez.
A felhasználók szempontjából az sem jó hír, hogy még a mobil antivírusok sem mindig képesek megbirkózni a letöltő programok által jelentett kihívásokkal. Ezért Diemen szerint mind a Google, mind a biztonsági cégek oldaláról nagyobb figyelmet kellene szentelni e fenyegetettségeknek. A felhasználóknak pedig a már telepített alkalmazások esetében is nagyon megfontoltan kellene osztogatniuk az engedélyeket.
