היזהרו: סוס טרויאני הופץ דרך חנות "גוגל פליי"
(צילום: שאטרסטוק)
אאא

שוב נפלו משתמשים רבים בפח והתקינו בסמרטפון שלהם "סוס טרויאני". מומחי מעבדת קספרסקי חשפו סוס טרויאני חדש וייחודי, שהופץ דרך חנות האפליקציות של גוגל, Google Play, כביכול מדובר במשחק.

בקספסרסקי הוסיפו כי לא רק שהטרויאני 'Dvmap' מסוגל להשיג הרשאות ליבה למכשירי אנדרואיד, הוא גם מסוגל לקבל שליטה על המכשיר באמצעות הזרקת קוד זדוני לתוך ספריית המערכת. אם הוא מצליח בכך, הוא יכול למחוק את הגישה לליבה ובכך להימנע מזיהוי. על-פי קספרסקי התוכנה הזדונית הורדה כבר 50 אלף פעמים. לאחר הדיווח לגוגל הוסרה התוכנה מחנות האפליקציות.

במעבדת קספרסקי הסבירו כי הופעתן של יכולות להזרקת קוד היא התפתחות מסוכנת בעולם הקוד הזדוני לטלפונים ניידים. פעולה שכזו יכולה לשמש להפעלת מודולים של קוד זדוני אפילו לאחר מחיקת הגישה לליבה. בכך, כל פתרון אבטחה ואפליקציית בנקאות המתבססים על מאפיינים לזיהוי פריצה לליבה, אשר יותקנו לאחר ההדבקה, לא יזהו את נוכחות הקוד הזדוני ובעצם יותירו את הלקוחות חשופים לפריצה וגניבה.

• עשו לייק לעמוד הפייסבוק של 'דיגיטל' ותישארו מעודכנים

לדברי החוקרים הם הבחינו שהקוד הזדוני Dvmap עוקב ומדווח על כל תנועה שלו אל שרת הפיקוד והשליטה - למרות שהשרת לא ענה עם הוראות. הדבר מצביע על כך שהקוד הזדוני עדיין לא מוכן ומבצעי לחלוטין.

ההאקרים ביצעו את הכנסת הסוס הטרויאני בצורה מתוחכמת כדי לעקוף את בדיקות האבטחה בחנות האפליקציות של גוגל, יוצרי הקוד הזדוני העלו תוכנה נקיה לחנות בסוף מרס השנה. לאחר מכן הם עדכנו אותה בגרסה זדונית למשך זמן קצר, לפני שהעלו פעם נוספת את הגרסה הנקייה. בטווח של ארבעה שבועות הם עשו זאת לפחות חמש פעמים כדי "לבלבל" את המערכת.

"הטרויאני Dvmap מסמן התפתחות חדשה בקוד הזדוני של אנדרואיד, כשהקוד הזדוני מזריק את עצמו לתוך ספריות המערכת, שם קשה יותר לזהות ולהסיר אותו. למשתמשים שלא מפעילים אמצעי אבטחה כדי לזהות ולחסום את האיום לפני שהוא פורץ פנימה, צפויים זמנים קשים. אנו מאמינים כי חשפנו את הקוד הזדוני בשלב מוקדם מאוד. הניתוח שלנו מראה כי המודולים הזדוניים מדווחים לתוקפים על כל מהלך, וחלק מהטכניקות שבשימוש יכולות לגרום להשבתת המכשיר הנגוע. זמן הוא גורם קריטי, אם אנו רוצים למנוע התקפה נרחבת ומסוכנת", מסביר רומן אונצ'ק, אנליסט קוד זדוני בכיר, מעבדת קספרסקי.

למשתמשים שהודבקו על ידי Dvmap מומלץ, לפי קספרסקי, לגבות את כל הנתונים שלהם ולבצע אתחול להגדרות.