Magas a telefonszámla? Egy vírus is okozhatja!

A Kaspersky biztonsági cég hívta fel a figyelmet, hogy ismét elterjedt egy androidos telefonokat fertőző vírus, a Fleckpe, amely célja, hogy a felhasználó tudta nélkül jelentkeznek be számos fizetős alkalmazásba, és ezek rendszeresen levonják a „szolgáltatás” havi díját. A támadóknak 11 trójai applikációt sikerült bejuttatniuk a Google Play áruházba, köztük olyan népszerű appok is voltak, amelyek látszólag a képszerkesztésre, háttérképekre és rajzolásra használhatók. Az összes alkalmazás a gyakorlatban is lehetővé tette ezeket a funkciókat, ám a héttérben a káros tevékenységet folytatott. A trójai appok az áruházban olyan néven futottak, mint a Beauty Slimming Photo Editor, Photo Effect Editor vagy éppen GIF Camera Editor Pro. Időközben a Google az összes applikációt törölte az áruházból, ám ennek ellenére több százezer felhasználó telefonján megtalálható, és ha nem tud a veszélyről, vagy nem veszi észre a gyanús tranzakciókat, akkor az tovább folytatja a káros háttértevékenységet. Bár a Kaspersky elemzésében szlovákiai áldozatról nem esik szó, de ez nem jelenti azt, hogy mindenki biztonságban van.

A támadók elsősorban azt használták ki, hogy sokan nem figyelik a (telefon)számlát, csak fizetnek, így hónapokon át vonják le az olyan havi díjakat, amelyeket a felhasználók nem is kértek, azt a rosszindulatú alkalmazás aktiválta. Úgy lett megírva az applikáció, hogy azt a vírusírtó programok ne észleljék, úgy tűnjön, hogy egy ártatlan kis program, amely valóban a megjelölt célra használatos. A fizetési megoldás ez esetben a telefonszámla volt, így a gyanús tételeket ott kell keresni.

A kutatók nem részletezik, hogy milyen típusú előfizetések a leggyakoribbak, és azt sem, hogy mekkora összegű ismétlődő díjat számítanak fel az áldozatnak. Így nem lehet pontosítani, hogy a bűnözők törvényes, fizetős szolgáltatásokra írják-e fel az áldozatokat, amelyeknek semmi közük a rosszindulatú szoftverekhez, vagy csaló „kvázi szolgáltatásokra”.

A hackerek a Fleckpe kártevő kifejlesztésekor arra is gondoltak, hogy áthidalják azt a biztonsági korlátot, amikor egy fizetős szolgáltatást csak kétlépcsős biztonsági megoldással lehet aktiválni, ezek leggyakrabban egyszeri, például SMS-ben érkező kódok. A Fleckpe trójai vírussal ellátott csaló alkalmazások ugyanis többek között az első indításkor hozzáférést kérnek az ilyen értesítésekhez is. Ha az áldozat ezt megadja (márpedig a legtöbb esetben sokan olvasás nélkül leokéznak mindent), a kártevő automatikusan kiolvassa a kapott értesítésekből az egyszeri megerősítő kódot, és azt felhasználhatja az áldozat nevében történő előfizetéses regisztráció megerősítésére.

A fenti jelenség is igazolja, mindig érdemes figyelni, milyen szolgáltatásokra fizetünk elő, azt rendszeresen ellenőrizni, mivel sok hasonló csaló alkalmazás havonta 5-10 euró, de akár magasabb összegekkel megkárosíthatja a felhasználókat.