Veszedelmes kártevők fenyegetik az androidos felhasználókat

Androidos készülékek tulajdonosai számára két különböző fenyegetés is felbukkant a közelmúltban. Egyrészt a Telegram üzenetküldő alkalmazásban felfedezett sebezhetőség, másrészt a Play Áruházban elérhetővé vált veszélyes alkalmazások jelentenek komoly kockázatot.

A Telegram androidos változatában talált nulladik napi sérülékenység, az EvilVideo révén a támadók kártékony programokat telepíthettek a telefonokra, videófájlnak álcázva azokat. A sebezhetőség a Telegram 10.14.4-es és régebbi verzióiban volt jelen, és az ESET kiberbiztonsági kutatói fedezték fel. A Bleeping Computer szerint a biztonsági rés legalább öt héten át állt fenn. A támadók speciálisan kialakított telepítőfájlokat hozhattak létre, amelyek a Telegramban videónak tűntek. A Telegram automatikusan letöltötte ezeket a fájlokat, és amikor a felhasználó megpróbálta megnyitni a videót, egy külső lejátszót javasolt neki a program, amely valójában a kártékony alkalmazás telepítőjét indította el. A Telegram azóta javította a sebezhetőséget szerveroldalon.

A másik veszélyforrás a Play Áruházban található alkalmazásokban rejtőzik. Az öt alkalmazás, amelyek a Mandrake nevű kémprogramot tartalmazták, 2022 óta voltak elérhetőek, és a Kaspersky fedezte fel őket. Az érintett alkalmazások a következők:

  • AirFS
  • Astro Explorer
  • Amber
  • CryptoPulsing
  • Brain Matrix

Az AirFS alkalmazás volt elérhető a legtovább, 2023 márciusában távolították el a Play Áruházból, a többit már korábban törölték. A Mandrake új változata képes volt elrejteni a tevékenységét, és ha sikerült települnie, a támadó irányítószerverével biztonságos kapcsolatot létesítve számos adatot ellopni, képernyőfelvételt készíteni, parancsokat futtatni, felhasználói mozdulatokat és érintéseket szimulálni, valamint fájlműveleteket végezni. Fontos, hogy a felhasználó engedélye nélkül az app nem tud működni.

A Bleeping Computer jelentése szerint a Mandrake kémszoftver már 2016 óta terjed az internet mélyén, és a Bitdefender már 2020-ban dokumentálta a program kifinomult kémkedési képességeit. A Google Play Áruházban található alkalmazásokon keresztül összesen 32 ezer letöltést értek el, így rengeteg lehet a fertőzött készülék. A legnépszerűbb AirFS appot például 2 év után, 2024 márciusában távolították el a Play Store-ból, és ez az alkalmazás egyedül 30 ezer letöltésért felelt. A többi app tehát kisebb sikerrel járt, és a legtöbb letöltés Európából és az észak-amerikai kontinensről származott.

A Google arra kérte felhasználóit, hogy mindig legyen aktív a Play Protect, ellenőrizzék az appokra adott véleményeket, és lehetőleg csak ismert fejlesztőtől töltsenek le szoftvereket. A felhasználóknak ajánlott óvatosnak lenniük az alkalmazások letöltésekor, és figyelniük kell a megbízható fejlesztőkre, valamint átgondolniuk, milyen engedélyeket adnak az adott alkalmazásnak.