Malware Badaccents láká uživatele Androidu na stažení filmu The Interview

malware_ico

The Interview – nový film s kanadskými komiky Sethem Rogenem a Jamesem Francem – je populárním tématem posledních dnů. Dvojice, skládající se z televizního moderátora a jeho producenta, dostane za úkol zabít severokorejského diktátora Kim Čong-una.

Námět sám o sobě vzbuzuje velké kontroverze, které navíc posílilo i odložení premiéry, způsobené údajným průnikem hackerů do serveru Sony Pictures Entertainment a teroristickými výhrůžkami. 25. prosince byl film uveden ve třech stovkách kin a online filmotékách, jako jsou iTunes, YouTube a Obchod Play, ovšem pouze pro uživatele ze Spojených států. Film se samozřejmě velice záhy objevil na torrentech, kde zaznamenal během prvního dne více než milion stažení.

29. prosince identifikovala antivirová firma McAfee a technická univerzita v německém Darmstadtu malware Badaccents, který se maskuje jako aplikace, nabízející bezplatné stažení filmu The Interview ve formátu DivX.

Dodejme, že tento titul je v Obchodě Play nabízen za 14,99 dolarů (cca 340 Kč) a během čtyř dnů vydělal společnosti Sony 15 milionů dolarů. Samovolně šířící se viry přitom zatím pro Android neexistují, což je dáno samotnou filozofií tohoto systému. K infiltraci do zařízení jsou tak velice často používány techniky sociálního inženýrství, pro které je typická snaha přesvědčit uživatele ke stažení škodlivé aplikace pod nějakou lákavou záminkou.

V tomto případě byla škodlivá aplikace uložena na serverech Amazon Web Services a stahována pomocí torrentu. Malware se snaží odcizit z infikovaného zařízení informace o bankovních kartách, které by se (dle některých zdrojů) daly zneužít k výběru hotovosti z bankomatů. Přinejmenším tato formulace nám ale připadá poněkud pochybná – těžko si představit, jak by to bylo technicky možné. Podle odborníků McAfee a DTU je trojan v současné době distribuován zákazníkům bankovních institucí v Jižní Koreji, kde nakazil asi 20 000 zařízení, přičemž odborníci tvrdí, že šíření viru pokračuje.

Kuriozitou je, že kód obsahuje rutiny pro kontrolu informací o výrobci zařízení – pokud je nastaven na 삼지연 (Samjiyon) nebo 아리랑 (Arirang), jejichž přístroje se prodávají v Severní Koreji, malware se neaktivuje a místo toho zobrazí zprávu, že pokus o připojení k serveru se nezdařil.

Zdroje: Hi-Tech, The Register, The Hacker News.

Mohlo by vás zajímat

Komentáře (13)