Forskere ved North Carolina State University (NCSU) har registrert at minst to Android-applikasjoner, som distribueres via i alle fall åtte kinesiske applikasjonsbutikker inneholder en type skadevare som har fått navnet DroidKungFu. Typisk skjer dette ved at noen modifiserer applikasjoner som allerede tilbys via markedsplassene.
Da universitetet kunngjorde oppdagelsen på lørdag, hadde ikke forskerne funnet applikasjoner med DroidKungFu i ikke-kinesiske applikasjonsbutikker, men de er langt fra ferdige med å lete.
Det er flere uheldige egenskaper ved skadevaren. Det ene er at den ser ut til å være spesielt vanskelig å oppdage for antivirusprodukter for Android. Den utnytter dessuten to sårbarheter som finnes i Android 2.2 «Froyo» og eldre, noe som gjør det mulig for skadevaren å etablere en bakdør til systemet. Dette gir angriperne bortimot full tilgang til systemet, som kan gjøres til en bot eller en zombie i et botnet.
I tillegg kan de DroidKungFu-infiserte applikasjonene tappe mobilen eller nettbrettet for brukerdata.
I Android 2.3 og nyere er sårbarhetene blitt fjernet, men skadevaren skal likevel kunne samle sammen noen brukerdata, blant annet mobilens nummer som identifiserer enheten, og sende dem til en ekstern server.
DroidKungFu omtales også at F-Secure på denne siden, hvor det beskrives flere detaljer.
Android-økosystemet har også tidligere denne våren vært rammet av lignende skadevare.
Ifølge sikkerhetsselskapet Lookout måtte Google i slutten av mai fjerne 26 applikasjoner fra Android Market. Disse skal ha vært infisert med DroidDreamLight, en enklere utgave av DroidDream, som tidligere har rammet Android-brukere.
Lookout mener at mellom 30 000 og 100 000 Android-brukere kan ha installert de aktuelle applikasjonene. En liste over disse finnes i dette blogginnlegget.
Tidligere har Google fjernslettet enkelte skadelige applikasjoner fra kundenes Android-mobiler, men det er ikke klart om det også har blitt gjort i det nyeste tilfellet.
I utgangspunktet kan Android-enheter bare laste applikasjoner fra Android Market, men det er enkelt å overstyre denne sperren. Men heller ikke applikasjonene som finnes på Android Market er garantert frie for skadevare, noe tilfellene over forteller.
_logo.svg.png){kind=logo}
Forskerne ved NCSU anbefaler brukerne å følge noen helt grunnleggende retningslinjer – noe som inkluderer at man bare laster ned fra pålitelige markedsplasser, at man sjekker at rettighetene som applikasjonen ber om, ikke virker overdrevne i forhold til den lovede funksjonaliteten, samt at man har oppdatert sikkerhetsprogramvare på mobilen.
Les også:
- [30.01.2012] – Massiv spredning av Android-skadevare
- [13.12.2011] Ny skadevarebølge på Android Market
- [17.11.2011] – Kraftig økning i Android-skadevare
- [03.08.2011] Kraftig vekst i Android-skadevare
- [03.03.2011] Google nappet ondsinnede Android-apps
