Android malware NotComatible zametá stopy po podvodech

7. 5. 2012

Sdílet

 Autor: © inq - Fotolia.com
Škodlivý sotware NotCompatible šířící se prostřednictvím nakažených webových stránek má podle všeho sloužit k maskování nedovolených finančních operací.

„Vinou malwaru se z vašeho telefonu v podstatě stane jakýsi tunel, přes který je veden veškerý síťový provoz,“ řekl Kevin Mahaffrey, spoluzakladatel a technický ředitel společnosti Lookout Security, která se specializuje právě na operační systém Android.

Pracovníci Lookoutu na nový malware nazvaný NotCompatible upozornili již ve středu. Teprve další podrobná analýza však ukázala, k jakému účelu jej útočníci pravděpodobně používají. „Je tu pár způsobů, jak by z něj mohli profitovat. Nabízí se online podvody nebo útoky zaměřené proti firemním uživatelům,“ řekl Mahaffrey. Zatím se jim prý ale podařilo potvrdit jen první možnost.

Po instalaci viru NotCompatible se Android totiž změní v proxy server, přes který pak útočníci posílají své datové pakety. V podstatě tak nakažený přístroj používají jako prostředníka ke svým nelegálním operacím. Expertům Lookoutu se podařilo datové přenosy vedené přes některé infikované přístroje vysledovat a dostali se tak například až k nákupu letenek na stránkách služby TicketMaster.

Vše podle Mahaffreye nasvědčuje tomu, že útočníci vytvořili NotCompatible jen proto, aby mohli použít údaje z ukradených kreditních karet a nikdo je přitom nemohl vysledovat. Pokud by totiž prováděné nákupy byly legální, pak by k používání proxy serverů samozřejmě nebyl žádný důvod.

Experti z Lookout se také pozastavují nad způsobem, jakým je malware k uživatelům distribuován. Obvykle totiž hackeři svůj kód umístí do něčeho, co se tváří jako legitimní aplikace, a uživatele nalákají k jejímu stáhnutí. V případě viru NotCompatible se však uživatele nikdo neptá, zda jej chce do svého zařízení stáhnout. To se totiž děje automaticky poté, co otevře některou z infikovaných webových stránek. Po stáhnutí se pak malware tváří jako bezpečnostní aktualizace, která vyzve uživatele k potvrzení instalace.

V ohrožení jsou pouze přístroje, které umožňují instalaci aplikací z neznámých zdrojů. Jinými slovy jde o všechny aplikace umístěné mimo obchod Google Play. Tuto možnost nejčastěji využívají podniková zařízení, u kterých je žádoucí dohled ze strany správců firemní sítě. Také proto se Lookout zprvu domníval, že je malware určen právě pro firmy.

Podle Mahaffreye je nový virus důkazem, že mobilní malware již ukončil testovací fázi a stal se plnohodnotným členem hackerské scény. Je totiž přesvědčen o tom, že za ní nestojí jen jedno osoba, ale jde naopak o dílo hned několika organizovaných skupin.