Kevés kreatívabb ember él a földkerekségen, mint az internetes csalók vagy hekkerek – jól látható módon soha nem fogynak ki azokból az ötletekből, hogyan tudnák átverni a gyanútlan felhasználókat. Korábban már írtunk olyan malware-ekről, amelyek a készüléken tárolt képekre, videókra és fájlokra hajaztak, de olyanokról is, amelyek képesek voltak teljes egészében átvenni az irányítást a telefonok fölött – így akár a kamerához és a mikrofonhoz is hozzáférhettek.

Ezúttal kissé más a helyzet, a McAfee Mobile Research Team legújabb jelentése szerint az elmúlt hetekben ismeretlen kiberbűnözői csoportok olyan androidos rosszindulatú programokat kezdtek el terjeszteni, amelyeket a Microsoft .NET MAUI keretrendszerével fejlesztettek. A kártevő alkalmazások legitim banki, társkereső vagy közösségi médiás szolgáltatásoknak álcázzák magukat, hogy elkerüljék a biztonsági rendszerek észlelését és elsősorban banki és személyes adatokat csaljanak ki a gyanútlan felhasználóktól.

A 2022-ben bevezetett .NET MAUI keretrendszer lehetővé teszi, hogy C# programozási nyelven írt alkalmazásokat hozzanak létre Androidra. Míg a hagyományos androidos alkalmazások Java- vagy Kotlin-alapúak, addig a .NET MAUI lehetőséget ad a bináris blobfájlok használatára, amelyeket a biztonsági rendszerek nem ellenőriznek kellő alapossággal. Ez a technika lehetővé teszi a rosszindulatú kód elrejtését, amelyet a legtöbb androidos biztonsági eszköz nem ismer fel. Ahogy arról a Bleeping Computer is beszámol, a hekkerek emellett további rejtőzködési módszereket is alkalmaznak, így például többrétegű titkosítást (XOR + AES) és fokozatos kódfuttatást.

Célkeresztben a banki és személyes adatok

A jelentésben szereplő rosszindulatú alkalmazások között hamis banki, kommunikációs és közösségimédia-alkalmazások is találhatók. A McAfee csapata két konkrét példát emelt ki: az IndusInd és SNS nevű appokat, amelyeket nem a Google Play Áruházban, hanem harmadik fél által üzemeltetett weboldalakon terjesztenek. Ez elsősorban nem a hazai, hanem például a Kínában élő felhasználókra nézve veszélyes, ahol a Google Play elérhetősége korlátozott, így gyakran előfordul, hogy a felhasználók harmadik feles appboltokból kényszerülnek alkalmazásokat telepíteni.

Ezt kihasználva a hekkerek könnyebben terjeszthetik a rosszindulatú programjaikat.

Az IndusInd egy indiai bank nevét felhasználva csalja ki a felhasználók személyes és pénzügyi adatait – amelyeket továbbít a hekkerek szervereire –, míg az SNS főleg kínai felhasználókat céloz meg, ellopva a névjegyzéküket, SMS-üzeneteiket és fényképeiket. Emellett viszont a világ többi részén sem lélegezhetnek fel az androidosok: a hackerek egy X-et (korábban Twittert) másoló, vírussal fertőzött .apk-fájlt is azonosítottak, ami az előző kettő alkalmazáshoz hasonlóan a .NET MAUI keretrendszerre épül.

Még a tévék sincsenek biztonságban

Ahogy arról korábban az Indexen is írtunk, néhány héttel ezelőtt világszerte közel 1,6 millió Android TV-eszközt fertőzött meg a Vo1d nevű botnet. A káros szoftver anonimizált proxyhálózatként használta az érintett eszközöket, működését pedig fejlett titkosítási technológiával (RSA + XXTEA) védte. A botnet aktivitása 2025. január 14-én érte el a csúcspontját, ekkor 1,59 millió fertőzött eszközt regisztráltak 226 országban. Február végén 800 ezer aktív bot működött a hálózatban, a legnagyobb arányban Brazíliában (25 százalék), Dél-Afrikában (13,6 százalék) és Indonéziában (10,5 százalék) észlelték a fertőzéseket.

Európában – szerencsére – elenyésző volt az észlelések száma, a top 15-ös listába egyedül Németország fért bele a megfertőzött eszközök 1,06 százalékával.

A Vo1d botnet főként két célra szolgál: proxyszerverként bérbe adják, illetve hirdetési csalásokhoz használják. A kutatók szerint a botnetet időszakosan „kölcsönadják” más csoportoknak – legalábbis ezzel magyarázzák a fertőzési adatok gyors ingadozását.

Ezekre figyeljen

A biztonsági szakértők az alábbiakat javasolják az online fenyegetések elkerülése érdekében, amennyiben ezeket betartja, minimálisra csökkenti annak az esélyét, hogy áldozattá váljon:

Kizárólag hivatalos forrásból telepítsen alkalmazásokat! Lehetőség szerint kerülje a harmadik feles appboltokat és az ismeretlen weboldalakat! A legmegbízhatóbb forrásnak Androidon a Google Play számít – bár néha még ide is beférkőznek kártevővel fertőzött alkalmazások.

Soha ne kattintson gyanús linkekre! Az SMS-ben vagy e-mailben érkező, kéretlen linkek és lejáró előfizetésről, sikertelen kézbesítésről szóló üzenetek az esetek nagy többségében átverésre utalnak.

Figyeljen a gyanús alkalmazásokra! Ha egy app szokatlan engedélyeket kér – például egy zseblámpa-alkalmazás a névjegyzékéhez szeretne hozzáférni –, az már intő jel lehet.

Kis odafigyeléssel az esetek többségében könnyen meg lehet állapítani, mikor tartózkodunk legitim és mikor csalók által készített webes felületeken. A McAfee csapata ugyanakkor arra is felhívja a figyelmet, hogy a kiberbűnözők egyre fejlettebb technikákat alkalmaznak, így a felhasználók ébersége is elengedhetetlen az online térben való biztonságuk megőrzésének érdekében.