Zlonamerni programi na »Android Marketu«

22.03.2011
Objavil: Thomas Bergant

Vsak dan lahko zasledimo vedno več poročil o zlonamernih programih, ki so se pojavili na Android Marketu. V začetku marca so trije razvijalci znani kot MYOURNET, Kingmall2010 in we20090202, pri čemer gre verjetno za isto osebo, uporabnikom Androidove uradne splete trgovine z aplikacijami ponujali številne brezplačne aplikacije.

Le-te so bile kopije originalnih aplikacij drugih razvijalcev in okužene s trojanskim konjem, poimenovanim »DroidDream«.

Vse zlonamerne aplikacije so uporabljale izkoriščevalski orodji, ki so jih pri Kaspersky Labu zaznali kot Exploit.AndroidOS.Lotoor.g in Exploit.AndroidOS.Lotoor.j. Obe orodji sta dobro poznani in delujeta na vseh verzijah operacijskega sistema Andoid OS starejših od različice 2.3. Načeloma so torej vsi uporabniki, ki uporabljajo verzijo Gingerbread (Android OS 2.3) zaščiteni pred zlorabo. Namen trojanskega konja »DroidDream« je zbrati identifikacijske IMSI in IMEI kode ter še nekatere druge specifične informacije o napravi, v nasprotju z drugimi zlonamernimi mobilnimi programi pa ni bil ustvarjen za pošiljanje ali prejemanje SMS sporočil iz komercialnih telefonskih številk.

Odkritje je pomembno, ker je bila do sedaj večina okuženih aplikacij najdena izven Androidove uradne spletne trgovine (kar je povečevalo število korakov za namestitev in s tem zmanjševalo možnost okužbe telefona). Tokrat pa so uporabniki okužene aplikacije lahko prenesli neposredno iz uradne trgovine. Spletni zločinci so tako začeli izkoriščati prednosti orodij za t.i. »jailbreak«, z namenom pridobitve večjih pravic in s tem zmožnosti operacijskega sistema.

Po izbruhu okuženih aplikacij je Google slednje odstranil s pomočjo namestitve nove aplikacije »Android Market Security Tool March 2011«. Kaspersky Labovi strokovnjaki so pri pregledu aplikacije ugotovili, da slednja ne odpravi ranljivosti, ampak zgolj odstrani aplikacije, za katere je znano, da so okužene. Google je na svojem blogu obljubil tudi spremembe trgovanja z aplikacijami za Android, ki bodo rešile problem okužb, pri tem pa naj bi sodeloval s partnerji, ki bodo zagotovili rešitev za vse prednostne varnostne teme.

Vendar pa je Googlov blog tudi zavajajoč. Google namreč trdi, da bo »posodobitev avtomatsko odstranila izkoriščevalske programe«, kar pa še ne pomeni, da je vaš telefon zaradi tega manj izpostavljen nevarnostim. Čeprav se na prvi pogled zdi, da Googlova trditev pomeni, da bodo ranljivi telefoni sedaj zaščiteni pred izkoriščevalskimi programi, ki jih uporablja virus DroidDream, v tem primeru to ne velja.

Implementacija programskih popravkov je nenavadna; Google namreč naloži in lansira aplikacijo na naprave uporabnikov brez njihovega dovoljenja (proces poznan kot izvršitev oddaljene kode), aplikacija pa pridobi korenske privilegije, odstrani okužene aplikacije in nato izbriše samo sebe. Katerikoli izmed teh korakov bi bil seveda sprejemljiv, če bi uporabnik pri tem imel možnost lastnega odločanja.

Varnostne programske popravke je žal nemogoče namestiti lokalno. Zaradi trenutne narave Androida je zelo težko in drago posodabljati varnostne programske popravke. V nasprotju z iPhonom, ki popravke namesti preko iTunesov ali operacijskim sistemom Windows Mobile, ki uporablja ActiveSync, Android deluje skoraj v celoti preko brezžične (OTA) komunikacije. Ta pa celotno breme prenosa in posodobitev podatkov do uporabnikov usmerja na mobilne operaterje in njihova omrežja. Če bi na Android lahko namestili bolj kompleksne programske popravke in bi uporabniki imeli možnost namestitve le-teh tudi preko računalniškega namizja, potem bi mobilnim operaterjem, proizvajalcem in kupcem omogočili in jih spodbudili k bolj pogostemu nameščanju varnostnih posodobitev.

Nezanemarljivo pa ni niti dejstvo, da proizvajalci mobilnih naprav sami po sebi ne vzdržujejo oziroma posodabljajo svojih obstoječih mobilnih platform. Preberite kateri koli mobilni forum in našli boste množico uporabnikov, ki prosijo za posodobitev svoje mobilne naprave. Po podatkih Googlove statistike več kot 40 odstotkov uporabnikov operacijskega sistema Android uporablja različico starejšo od Android 2.2. Celo nekateri, ki uporabljajo različico 2.2, so še vedno ranljivi za izkoriščevalske programe, ki delujejo na 2.2.1 ali starejših različicah. Na žalost Googlova statistika ni dovolj podrobna, da bi iz nje bila razvidna natančna številka takih uporabnikov. Z izjemo majhnega števila kupcev, ki prejmejo posodobitev za Android Market Security Tool, vsaka druga oseba, ki uporablja 2.2.1 ali starejšo različico, ostaja ranljiva. To pa pomeni, da vas lahko izkoriščajo prav ta trenutek.

Google sicer obljublja spremembe v uradni spletni trgovini z aplikacijami za operacijski sistem Android, ki pa jih bomo lahko videli šele v prihodnosti. Upamo lahko, da bo Google poskrbel, da bodo njihovi uporabniki imeli hiter dostop do posodobitev in programskih popravkov ter jim ponudil raznolike poti za njihov prenos in namestitev. Za Google in partnerje je to priložnost kot tudi odgovornost, zato upamo, da se bodo izkazali pri obeh.

Več o zlonamernih programih za operacijski sistem Android si lahko preberete na:
http://www.securelist.com/en/blog/11184/Malware_in_the_Android_Market
http://www.securelist.com/en/blog/11198/Malware_in_the_Android_Market_part_2
http://www.securelist.com/en/blog/11222/Malware_in_the_Android_Market_part_3