2010 októberében az Android.Trojan.FakePlayer.A, az első ismert androidos kártevő felfedezése bombaként robbant nálunk, a G Data Security Labsnál. Amikor az izgatottság kissé alábbhagyott, számos kérdés merült fel.

Úgy tűnt, hogy a kártevő 2010. augusztus 5. óta keringett a virtuális térben. Vajon hány eszközt ért el eddig? Miféle gonosz trükköket eszeltek ki a kártevő alkotói, hogy az elemzők dolgát megnehezítsék? És persze különösen az a nagy kérdés, hogy miféle viselkedést mutat a FakePlayer? Mindenesetre az elsődleges spekulációink meglehetősen vadak voltak.

A valóság azonban elég kijózanító volt, bizonyos szempontból inkább mulatságos. A programkód egyszerű és hibákkal volt teli. Úgy tűnt, hogy a fejlesztők először találkoztak az Android rendszerrel, majd egy hosszú éjszakájuk volt csak rá, hogy összedobják a kódot, amit innen-onnan szedtek össze. A kártevő készítői még arra is lusták voltak, hogy a Google által akkoriban szolgáltatott Eclipse programozási környezet androidos projektekhez tartozó sztenderd besorolási osztályának elnevezését megváltoztassák, így az maradt “org.me.androidapplication1”. És akkor itt van a „HelloWorld” osztály is. Ez a legelső lecke a fejlesztőknek, amikor új programnyelvet akarnak tanulni.

A kártevő viselkedése nagyon gyorsan tisztázható volt. Az alkalmazás a Windows Media Playertől elorzott ikont használta, hogy azt a látszatot keltse, mintha ő maga lenne a médialejátszó. Amikor elindították az alkalmazást, egyszerűen megjelenítette a „Töltés” üzenetet oroszul, a háttérben pedig elküldött egy csoportos prémium SMS-t, amely 10 dollárba került a megcélzott felhasználóknak.

A következő hónapokban a kártevő új variánsai bukkantak fel különböző időközönként. Összesen nyolc különbözőt számoltunk össze, amelyekben minden esetben az alkalmazásikon, alkalmazásnév vagy a prémium SMS-számok megváltoztak.

Ahogy várható volt, az androidos kártevők jelentős fejlődésen mentek át azóta. A jelenlegi példányok százszor annyi kódból állnak, elrejtik magukat és a tevékenységüket, titokban kommunikálnak anonim szervereken keresztül, így téve nehezebbé a felhasználók és elemzők életét.

Az első esetet követően mára már óriásira nőtt az androidos kártevők mennyisége. 2010 második félévében még csak 55 új kártevővariánst számolhattunk, ezzel szemben 2015 második félévére egymilliónál is több új példányt készítettek. Összesítve, 2010 júliusától 2015. júniusig a szakértők 3 959 254 új kártevőt regisztráltak. Mindez azt jelenti, hogy a 2013. júniusi nagy áttörés után, amikor is az androidos kártevők száma elérte a 666 666-os “pokoli” mennyiséget, újabb digitális mérföldkőhöz fogunk elérni.

Az androidos kártevők szerzői folyamatosan vértezik fel magukat a windowsos kártevőfejlesztők hosszú időre visszanyúló tapasztalatával. Azonban az elemzői és „ellencsapást mérő” eszközök is párhuzamosan fejlődtek. Tehát a fegyverkezési verseny folytatódik!

Konklúzióként mindössze annyit mondhatunk, hogy egyik szemünk sír, a másik nevet…

Forrás: G Data SecurityBlog