Kiberbűnözők tesztelik az androidos felhasználók éberségét egy olyan kártékony alkalmazás mobileszközre történő telepítésével, amely egy reklámblokkoló programnak álcázza magát.

Új törzset fedeztek fel a Fobus kártevőcsaládból, amely elrejtőzik az éber tekintetek elől azzal a trükkel, hogy a jól ismert Adblock Plus – egy asztali böngésző kiegészítő, amely meggátolja a reklámok letöltését – egy variánsának tetteti magát.

Számos androidos fejlesztő kínálja alkalmazásait ingyenesen, cserébe hirdetéseket helyezve el bennük, hogy így fedezzék költségeiket és némi haszonra is szert tegyenek. Ez néha idegesítő tud lenni, különösen a játékokban, úgyhogy érthető a felhasználók azon törekvése, hogy találjanak egy hatékony reklámblokkoló eszközt.

Az Avast biztonsági kutatói analizálták a Fobus új variánsát, és eltekintve a megkérdőjelezhető engedélyektől, amelyeket leginkább spyware-ek (kémszoftverek) szoktak igényelni, a kártevőt még eltávolítani is szokatlanul nehéz az eszközről.

Mi több, miután megszerzi az adminisztrátori jogosultságokat, letörli saját ikonját a képernyőről, és akadálytalanul folytatja tevékenységét a háttérben.

Már az első pillanattól látható, hogy valami probléma van, amikor megkapjuk a program által kért engedélyek listáját. Az engedélykérések közt rögtön hozzájárulást akar ahhoz, hogy telefonhívásokat indíthasson és üzeneteket küldhessen, egy reklámblokkolót pedig nem erre használnak.

Miután teljesen feltelepült az okostelefonra, az eltávolítása igazi kihívást jelent még a hozzáértőknek is, mert a készítők erős védelmet integráltak a szoftverbe az eltávolítási kísérletek megakadályozására.

Amikor az Avast szakértői meg akarták fosztani az adminisztrátori jogosultságoktól, hogy így könnyebben eltávolíthassák, a kártevő lezárta a képernyőt.

„A trükkös Fobusnak van egy vevője, amely ellenőrzi az eszköz adminisztrátori jogosultságának állapotát. Abban a pillanatban, amikor a felhasználó megpróbálja deaktiválni az eszközadminisztrátort, ez a vevő érzékeli a kérést, és kényszeríti az eszközt a képernyő lezárására a Lock Now (Zárd le most!) funkció bekapcsolásával. Ez pedig meggátolja a felhasználót, hogy megerősíthesse a deaktiválást”, nyilatkozta Jan Sirmer szakértő.

A képernyőzár feloldására tett bármely kísérletet egy újra zárás követ a kártevő részéről. A megerősítő ablak csak egy nagyon rövid ideig ugrik fel, amely nem elég ahhoz, hogy rögzítse az érintésünket.

Azonban, ha a felhasználó villámgyorsnak bizonyul, egy rémisztő üzenet jelenik meg, és tájékoztat, hogy ha az eljárás folytatódik, az eszközön lévő minden adat törlődni fog a gyári visszaállítás beindításával.

Ez azonban csak üres fenyegetés, mert ahogy a Fobus elveszti az adminisztrátori jogosultságokat, az eltávolítást már sikeresen végre lehet hajtani.

Alternatívaként próbálkozhatunk egy antivírustermék használatával, amely alapból tartalmazza a szükséges rutinokat az alkalmazás eltávolítására a rendszerből.

Forrás: Softpedia