Menu

Poprvé: malware pro Android, který se sám stáhne z webu

S rostoucím počtem mobilních zařízení připojených k Internetu stoupá také počet hrozeb, ohrožujících chytré telefony a tablety, včetně těch s Androidem. Společnost Lookout Mobile Security ve středu oznámila objev hacknutých webových stránek, jejichž cílem je infikace zařízení s Androidem novým trojským koněm NotCompatible. Jedná se o poměrně zásadní průlom – dosud se malware do systému dostával s aplikací, kterou si uživatel sám stáhl a nainstaloval, zatímco popisovaný způsob infiltrace, známý jako “drive-by download,” byl obvyklý především ve světě počítačů.

“Při tomto konkrétním útoku, pokud uživatel navštíví kompromitovaný web ze zařízení s Androidem, webový prohlížeč začne automaticky stahovat aplikaci,” uvádí Lookout na svém oficiálním blogu.

Webový prohlížeč automaticky stáhne aplikaci

Webový prohlížeč automaticky stáhne aplikaci

“Když je stahování dokončeno, zobrazí se výzva k zahájení instalace aplikace do zařízení.” Nic ale není tak horké, jak se uvaří – k tomu, aby se škodlivý program podařilo nainstalovat, musí mít uživatel povolenou instalaci software z neznámých zdrojů, která je ve výchozím nastavení zakázána. V opačném případě je pokus o instalaci zablokován.

Když je stahování dokončeno, zobrazí se výzva k zahájení instalace.

Když je stahování dokončeno, zobrazí se výzva k zahájení instalace.

Trojan NotCompatible byl objeven majitelem telefonu HTC Rezound, jehož mobil byl infikován během návštěvy stránek týkajících se ochrany proti škůdcům. Podle Lookoutu se jedná o první případ, kdy byl hacknutý web použit k útoku cílenému na mobilní zařízení s Androidem. V tuto chvíli není jisté, jak rozšířené jsou weby s nebezpečným kódem, nicméně dle bezpečnostních expertů “existují první náznaky, že postižených stránek by mohla být celá řada.” Jde ale údajně především o málo navštěvované weby, proto se očekává minimální dopad.

Další výzkum pak ukázal, že NotCompatible funguje také jako “jednoduchá otevřená TCP relay/proxy” a zároveň se vydává za aktualizaci systému. Společnost dále uvedla, že malware v současnosti nepoškozuje cílové zařízení, ale mohl by být použit k získání přístupu do privátních sítí. Přístroj napadený NotCompatible by mohl být zneužit pro přístup k chráněným informacím, uchovávaných ve firemních či vládních systémech.

Majitelé zařízení s Androidem by si měli dát pozor především na automatické stahování aplikace NotCompatible, která se šíří jako soubor Update.apk. Asi nemusíme vysvětlovat, proč v žádném případě nereagovat na výzvu k instalaci aplikace, kterou jste si sami nestáhli.

Závěr zprávy se tradičně nese v duchu reklamy, kdy Lookout dodává, že jejich bezpečnostní produkty po vydané aktualizaci chrání uživatele proti malware pomocí obecných ochran, které dokážou předejít automatickému stahování souborů z webu.

Zdroje: Blog Lookout, PCMag a PC World.

 

Komentáře

Karel

Karel

3.5.2012 14:57

Muze me nekdo rict, jakou napadlo implementovat do webovyho prohlizece nejaky aut. stahovani? K cemu je takova PIZDOVINA jako dobra?

bkf1

bkf1

3.5.2012 15:50

tak to by me taky zajimalo :/ uz z principu jde o bezpecnostni riziko :(

...No...Name...

...No...Name...

3.5.2012 15:56

No…dejme tomu že se tedy apk sama sosne… Ale když se chce nainstalovat, tak se mě přece musí zeptat jestli jí chci nainstalovat, ne?

Mem

Roman Nepšinský 0

3.5.2012 16:03

Karel: K tomu, aby prohlížeč vůbec fungoval? ;) Musí přeci stahovat zdroj stránky a automaticky i všechny další soubory (styly, obrázky, skripty, …)

xxx

xxx

3.5.2012 16:34

@Roman Nepšinský: no, dejme tomu, ale jak se pak muze sama zapnout instalace? To je proste dira jak prase.

Pascal

Pascal

3.5.2012 17:08

Tak dam jednoducho ze nenainstalovat nie? To LokOut je free? Lebo nejak v poslednom case je moc onich pocut, ci si len nerobia reklamu.

Yetty

Yetty

3.5.2012 17:50

Xxx a No name: Ne, tato aplikace se nenainstaluje sama.Sama se pouze stáhne. Na instalaci se uživatele zeptá. Ve chvíli, kdy uživatel instalaci povolí, je zle.

Yupa

Yupa

3.5.2012 18:03

Tohle je zpráva úplně o ničem! Nevíme nic. Jakého charakteru je díra které se zneužívá? Postihuje tento problém jen vestavěný Prohlížeč nebo i další (Firefox, Opera, Chrome, Dolphin)? Jaké verze OS/Prohlížeče se problém týká?

Já v tom vidím jen reklamu postavenou na falešném “případu”, na kterém se Lookout mohou “blýsknout”.

ic

ic

3.5.2012 18:26

Z diskuze to vypadá, že většina lidí pořádně nerozumí funkci webu. Stahování spustí javascript… je to způsob, který používají prakticky všechny stahovací servery. Třeba i naše slunecnice.cz … pozná se to klasicky podle takového textu jako ‘Pokud stahování nezačne automaticky, klikněte sem’. To je text pro ty, kteří nemají javascript. Stahovací servery to používají pro to, aby pod stahovaným souborem na stránce mohli prezentovat reklamy a taky použít analytické nástroje pro vedení statistiky o stahovaných souborech.
To, že se instalace po stažení sama spustí je divné… skutečně to tak je? není to chyba v překladu?

Jinak nevíte někdo tu stránku, že bych na ní otestoval svůj antivir? Androidím antivirům moc nerozumím a takový živý test by se hodil.

xxx

xxx

3.5.2012 18:43

Jak říká ic: Dejte mi tu adresu :). Pochybuji, že v alternativním prohlížeči bude fungovat automatické otevření souboru (pokud vůbec funguje v základním).

lukas

lukas

3.5.2012 19:05

Podla mna je to tak s tym instalovanim ale neviem co s tym maju nezname zdroje to je uplne jedno ci to je zaskrtnute nie len ze si mozem instalovat z SD ale ajtak sa ma to opyta…Ale myslim si že ked je to vir tak sa nejako moze prelomit cez tu instalaciu

dark light

dark light

3.5.2012 21:09

Uprimne si myslím ze není ani takový problem v tom ze se něco stáhne. Většina z nás by instalaci ne potvrdila. Ovsem lidská hloupost je nekonečna a věřím ze se najde miliony lidi kteří naprosto bez jakéhokoli přemýšlení potvrdí ANO. Nerikejte mi ze to neznáte z PC.

Roman Hošek

Roman Hošek

3.5.2012 22:28

Bezpecnostni dira? Stale vidim jen blbost uzivatele co spusti instalaci neceho co si sam nenasel, nestah a nevi co to je… to je nejvetsi problem a takovym nepomuze zadny antivir:)

RSS (komentáře k článku)