Programinės įrangos saugumą tirianti komanda suprogramavo „Android“ pažeidžiamumą įrodantį Trojos virusą, leidžiantį pasisavinti kreditinių kortelių duomenis, nesvarbu, kaip jie pateikti – žodžiu ar raštu. Vėliau šie duomenys gali būti lengvai išsiųsti viruso kūrėjams.
Virusą kūrusiai komandai vadovavo Romanas Schlegelis iš Honkongo miesto universiteto. Likę komandos nariai Kehuan Zhang, Xiaoyong Zhou, Mehool Intwala, Apu Kapadia ir Xiao Feng Wang yra Indijos Blumingtono universiteto studentai, jie savo sukurtą virusą pavadino „Soundminer“.
Virusas veikia pasinaudojęs iki galo neapgalvota „Google“ sistemos apsauga. „Android“ išmanieji telefonai turi įdiegtus leidimų prašymus pasiekti programų duomenis. Kiekviena programa, susijusi su prieiga prie tinklo, skambučių, vidinės ar išorinės atmintinės, kt. techninės įrangos (ekrano apšvietimas, garsiakalbis, mikrofonas), reikalauja leidimų. Visi šie leidimų prašymai sugrupuoti į kategorijas ir pateikiami vartotojui prieš įdiegiant programą – taip siekiama iki minimumo sumažinti programos pažeidžiamumą Trojos virusams.
„Soundminer“ virusas visas leidimų prašymų apsaugas apeina prašydamas prieigos tik prie skambučių programos (telefono būsenai nustatyti ir indentifikuoti), asmeninės informacijos – kontaktų duomenims nuskaityti bei techninės įrangos valdymo, kad būtų galima įrašyti pokalbius. Nė viena iš šių programų neprašo leidimo, jei įdiegiama programa programų parduotuvėje pažymėta kaip balso įrašymo įrankis. Dėl šios priežasties „Soundminer“ gali būti lengvai įdiegtas su bet kuria kita programa.
Tačiau įdiegtas „Soundminer“ „balso įrašymo įrankis“ neišsijungia ir pasislėpęs veikia toliau, laukdamas skambučio. Kuomet skambinama, programa įrašo pokalbį, kurio metu gali būti pasakyti kreditinės duomenys ar PIN kodas. Taipogi programa atlieka pasakytų skaičių atpažinimą.
Programa atpažįsta žodžiu pasakytus kredito kortelių duomenis, kurių kartais prašo tam tikrų paslaugų teikėjai ar operatoriai. Taip pat užfiksuojami klaviatūra renkami skaičiai, nes programa atpažįsta klaviatūros skleidžiamus garso signalus.
Surinkusi duomenis, virusinė programa jų negali išsiųsti tradiciniu būdu, kadangi prieiga prie interneto ryšio reikalauja leidimo. Deja, pasinaudojama kita saugumo spraga – siuntimų programėle (angl. deliverer). Ji nereikalauja leidimo prisijungti prie tinklo, kadangi yra „gimtoji" sistemos programa, tačiau leidžia išsiųsti duomenis telefonu kitoms programos, šiuo atveju „Soundminer“.
„Google“ kurdama „Android“ įtarė, jog panašaus pobūdžio atakų galima tikėtis, tad pasirūpino, kad dvi programos negalėtų dalintis informacija vartotojui nepastebint. Visgi komandos nariai apėjo ir šį barjerą, pasinaudoję nevisiškai apsaugota prieiga prie techninės įrangos valdymo bei pakeitę laiką, po kurio užgęsta ekrano apšvietimas, taip pat buvo pakeistas skambėjimo garsas. Taip siuntinių programa gali siųsti duomenis be jokių ženklų.
Romano Schlegelio komanda, išanalizavusi saugumo spragą, siūlo įdiegti specialų mechanizmą „Soundminer“ pobūdžio Trojos virusams nukenksminti. Jie siūlo įdiegti atskirą apsaugos sluoksnį, analizuojantį pasakomus žodžius ir ieškantį skaičių, kurie primena kreditinių kortelių ar kt. svarbius duomenis. Radusi juos apsaugos sistema neleistų jų įrašyti piktybinėms programoms.
Kaip veikia šis virusas – šiame vaizdo įraše.
