A G DATA szakértői górcső alá vették a nyílt forráskódú, Buhsam.A nevű androidos trójai és kémkedő kártevőt. A be nem fejezett kártevő elemzése rávilágít, milyen lehetőségei vannak egy hackernek, ha eszközünket megfertőzi.

Az ESET kutatója, @LukasStefanko fedezte fel a nyílt forráskódú, kémkedő androidos kártevőt, és osztotta meg a közösségi média felületein. A G DATA szakértői az Android.Trojan-Spy.Buhsam.A nevet adták a fejlesztés alatt lévő kártevőnek, és alaposan megvizsgálták a forráskódját.

A kártevő alapból egy kémkedő alkalmazásnak tűnik, mely internetezési előzményeinkre, fényképeinkre és a WhatsApp adatbázisra (melyben az összes üzeneteinket tároljuk) kíváncsi. Érdekli őt a telefonos kapcsolataink, telefonálási előzményeink is, és még arra is figyel, hogy a készülék akkumulátora milyen töltöttségi szinten van. Hogy ezeket az adatokat pontosan mire és ki szeretné használni, nem tudni. A kártevő forráskódját az earthshakira nevű felhasználó töltötte fel a Githubra, aki származási helyének Indiát jelölte meg.

Még van munka vele

A G DATA szakértőjének elemzése feltárta azt is, hogy a kártevő még nincs befejezve. Aktivizálódása esetén a Service started, vagyis a szolgáltatás elindult üzenet jelenik meg – a kártevők inkább rejtett módban, esetleg egy érdekes, hasznos alkalmazásnak álcázva szeretnek működni. Elindulása után kapcsolatot állít fel egy távoli szerverhez. Ezen a kapcsolaton keresztül az androidos készüléken futó alkalmazásnak küldött különböző üzenetek segítségével nyeri ki a telefonból a számára érdekes információkat.

Például a contacts üzenetre a kártevő a getContacts() függvényt hívja meg, mely kiolvassa a telefonkönyvben tárolt neveket és a hozzájuk társított telefonszámokat. Vagy a callog üzenetre a telefonálási előzményeket menti el és küldi el a távoli szervernek. Az updatebattery üzenetre a válasz még nincs kidolgozva, de úgy tűnik, hogy az akkumulátor állapotára kíváncsi a kártevő.

A browsehistory üzenet valószínűleg a böngészési előzményeket szeretné kinyerni. A meghívott gethistory() függvény viszont az elmentett könyvjelzőket és nem a mobiltelefon böngészőjének az előzményeit nyeri ki. A kártevőt ugyanakkor kitartónak szánják, mert programozása szerint a telefon újraindításakor ez is újra betöltődne.

Aki a G DATA szakértőjének részletes elemzésére kíváncsi, az itt érheti el az angol nyelvű dokumentumot.