Az RSA Conference 2012 rendezvényen a mobilbiztonsági előadások is fontos szerephez jutottak. Ez nem is meglepő, hiszen az elmúlt hónapokban jelentős mértékben növekedett a mobil operációs rendszerekkel, különösen az Androiddal kompatibilis károkozók mennyisége. A Juniper Networks nemrégen közzétett felmérése szerint a mobil károkozók száma 155 százalékkal emelkedett a tavalyi év utolsó hónapjaiban. A legjelentősebb változás az Android-alapú készülékeket fenyegető károkozók kapcsán volt megfigyelhető, míg a Java Mobile Edition és a Symbian alapú nemkívánatos kódok mennyisége az előző évekhez képest visszafogottabb mértékben nőtt. Néhány esetben pedig az Apple iOS operációs rendszere, valamint a BlackBerry készülékek is célkeresztbe kerültek - írja a Computerworld.

A biztonsági rendezvényen az egyik legnagyobb érdeklődésre az az előadás tartott számot, amely egy Android-kompatibilis károkozó fejlesztését, terjesztését és az általa jelentett potenciális fenyegetettségeket mutatta be. A prezentációt George Kurtz és Dmitri Alperovitch, a McAfee egykori szakértői tartották, akik nemrégen alapították meg a CrowdStrike nevű vállalatot. A két szakember az Android (2.2) kompatibilis kártékony programokban rejlő veszélyeket igyekezett szemléltetni, miközben azt is elárulták, hogy miként lehet egy ilyen alkalmazást kifejleszteni és terjeszteni.

A bemutatott károkozó legfontosabb jellemzői közé tartozik, hogy az egy WebKit sebezhetőséget használ ki, és számos komponensből épül fel. Ezen összetevők egy részét (egészen pontosan húszat) a biztonsági kutatók különféle internetes feketepiaci forrásokból szerezték be összességében 1400 dollárért. Ezt követően elkezdtek összeállítani egy egységes kódot, amely a saját bevallásuk szerint sokkal nehezebb feladatnak bizonyult, mint azt először gondolták. Elárulták, hogy a károkozó kifejlesztése - minden költséget, munkadíjat, stb. beleszámítva - 14 ezer dollárjába került a CrowdStrike-nak.

Funkcionalitás

A végleges kártékony kód számos olyan funkcióval rendelkezik, amelyek a vadon terjedő androidos károkozók esetében is megtalálhatóak. A kutatók demonstrálták, hogy a programjuk miként képes telefonbeszélgetéseket rögzíteni, videókat felvenni, szöveges üzeneteket kiszivárogtatni és jogosulatlan távoli hozzáférést biztosítani a támadók számára. Ez utóbbi feladat elvégzéséhez a trójai olyan összetevőket is tartalmaz, melyek korábban már az elsősorban Kínában problémákat okozó Nickispy trójaiban is megtalálhatóak voltak.

Terjesztés

Az RSA konferencián bemutatott kártékony program további fontos jellemzője, hogy elsősorban sms-ek révén terjed. A rövid üzenetek a felhasználók megtévesztését szolgálják, és arra próbálják rávenni a készülékek tulajdonosait, hogy töltsenek le különféle programokat. Az előadók szerint ilyen üzenetek összeállítása egyáltalán nem nehéz feladat. A rendezvényen például egy mobilszolgáltató nevében küldtek sms-t, és azt közölték, hogy egy fontos frissítést kell telepíteni a telefonra, amit a megadott hivatkozásra való kattintással lehet elindítani. Az ehhez hasonló megtévesztő trükkök a számítógépes vírusok esetében már jól ismertek.

Kurtz úgy látja, hogy ami korábban vírusfronton a PC-s világban bekövetkezett, az a mobilok esetében megismétlődhet. A szakember ugyanakkor azt is megemlítette, hogy nem célszerű azt gondolni, hogy csak az Android kapcsán merülhetnek fel kockázatok. Az előadáson bemutatott károkozó által célkeresztbe állított WebKit ugyanis egyéb platformokon is problémát okozhat, legalábbis, ha a felhasználók nem fordítanak kellő figyelmet a frissítések telepítésére.

"A mobil készülékek felhasználóinak el kell kezdeniük foglalkozni az okostelefonjaik frissítésével, és nagyobb óvatosságot kell tanúsítaniuk a káros letöltések, valamint az adathalász támadások miatt. Jelenleg a mobil trójai programok egy új korszakának kezdetén járunk. Ezek a károkozók azonban már most is alkalmasak arra, hogy telefonhívásokból, üzenetekből, emailekből bizalmas adatokat gyűjtsenek" - vélekedett George Kurtz.