Ismét lecsapott az okostelefonokra a Gustuff vírus

A Cisco biztonsági szakértői rossz hírekkel szolgáltak: visszatért az androidos telefonokat fertőző, banki adatokra éhes Gustuff vírus.
 

A Gustuff mobil trójai eddigi története nem hosszú, de annál érdekesebb. A szerzeményt előszőr a Cisco Talos biztonsági kutatói azonosították idén áprilisban. A felfedezésük publikálását követően a kártékony program készítői - eddig ismeretlen okból - egyszerűen lekapcsolták a vezérlőszervereiket, így látszólag elvesztették a kontrollt az addig megfertőzött készülékek felett. Ekkor akár azt is gondolhattuk volna, hogy megijedtek, és inkább felhagytak a ténykedésükkel, de júniusban kiderült, hogy erről szó sincs. Egész egyszerűen az történt, hogy a vezérlőszerveik helyett SMS-üzenetekkel kezdték terjeszteni, illetve utasítani a kártékony kódjukat. Ez ugyan kevésbé volt hatékony számukra, de úgy látták, hogy így hosszabb távon tudják fenntartani a kialakított botnet hálózatukat. A kártevő mögött meghúzódó csoport nyár óta folyamatosan végzi a nemkívánatos tevékenységét, és az elmúlt napokban egy újabb Gustuff variáns terjesztésébe kezdett.
 
A Gustuff eredetileg sem volt egy nulláról megírt mobilvírus, ugyanis arra a Marcher nevű banki trójaira épült, amely már évek óta ismert a biztonsági cégek előtt. A legújabb variánsa viszont számos újdonságot hozott, és mind felépítésben, mind funkcionalitásban egyre jobban távolodik a Marcher-féle gyökerektől. Ez egyebek mellett abban is megnyilvánul, hogy az új változat már nem kizárólag banki adatokat, bank- és hitelkártyaszámokat igyekszik megkaparintani, hanem kormányzati szervek által üzemeltetett szolgáltatásokhoz tartozó hitelesítő adatokat is kémlel. A szerzemény eddig elsősorban ausztrál célpontok ellen fordult, így ausztrál banki, adóhivatali és társadalombiztosítási szolgáltatások iránt mutat fokozott érdeklődést.
 
A kártékony program jelentős mértékben épít a JavaScript adta lehetőségekre. Amikor felkerül egy készülékre, akkor azon türelmesen várakozik, majd egyszer csak megjelenít egy webes űrlapot, amelyen arra kéri a felhasználót, hogy frissítse a hitelkártyájának adatait. (A késleltetésre azért van szükség, hogy a felhasználó a kártékony app telepítését követően kevésbé fogjon gyanút, és kisebb valószínűséggel vonjon párhuzamot a történtek között.)
 
A Gustuff nem véletlenszerűen teszi azt, amit tesz. Ha például a felhasználó az ausztrál kormány meghatározott weboldalát böngészi, akkor a kártevő egy hamis bejelentkező képernyőt jelenít meg. Ha ezt a trükközést nem veszi észre a készülék tulajdonosa, és megadja a bejelentkező adatait, akkor azok rögtön az adattolvajok kiszolgálóira kerülnek. A még tavasszal leállított vezérlőszerverek ugyanis ismét aktivak, és képesek a fertőzött mobilok vezérlését ellátni. A kártevő rendszeresen kapcsolódik ezekhez, és vagy egy egyszerű "ok" üzenetet kap vissza, vagy egy végrehajtandó parancsot.


Forrás: Cisco Talos
 
A terjedésről
 
A Gustuff első variánsainak terjesztésére szolgáló hivatkozások számos alkalommal bukkantak fel a Facebookon. Aztán a nyári újjászületést követően a Facebookkal megtámogatott vírusterjesztést felváltották a szintén megtévesztő, instagramos bejegyzések. Most pedig az SMS lett a legfontosabb csatornája a vírusíróknak. Előfordult például egy fertőzött okostelefonról óránként 300 SMS-üzenetet küldtek ki a háttérben a mobilvírus minél szélesebb körű terjesztése érdekében.

Védekezési tanácsok

A Cisco szerint a Gustuff - és minden hasonló funkcionalitású kártékony program - elleni védelem kialakítása során nagyon fontos szerepe van a kétfaktoros hitelesítés alkalmazásának, és a biztonságtudatos mobilhasználatnak. Mindezek mellett célszerű mobilbiztonsági alkalmazásokat is használni.
 
Vélemények
 
  1. 4

    Az Apple Safari legújabb verziója négy biztonsági rést segít befoltozni.

  2. 4

    Az Apple iOS és az iPadOS 14-es kiadása biztonsági hibajavításokkal is szolgál.

  3. 2

    ​A WastedLocker zsaroló program nagy felfordulást képest okozni a számítógépeken, és biztonsági mentések hiányában akár helyreállíthatatlan károkat is előidézhet.

 
Partnerhírek
​Az ESET kutatói felfedezték a KryptoCibule-t

Egy korábban nem ismert rosszindulatú trójai szoftvercsaládot fedeztek fel az ESET kutatói, amely kártékony torrenteken keresztül terjedve többféle trükköt is bevet annak érdekében, hogy annyi kriptovalutától fossza meg áldozatait, amennyitől csak lehetséges – mindezt észrevétlenül.

Hogyan tehetjük biztonságosabbá a TikTok fiókunkat?

​A TikTok három évvel ezelőtt robbant be a köztudatba, azóta pedig töretlen népszerűségnek örvend, hiszen mára a második legnépszerűbb social média platformmá nőtte ki magát.

hirdetés
Közösség