Virus zaměřený na Android nepoznáte. Vypadá jako normální aplikace, takže se vyhne zabezpečení Googlu
Lukáš Altman
Lukáše psaní naplňovalo už od dětství, že se tím bude živit si uvědomil ještě jako student v roce 2013. V tu dobu už si několika dílčími texty začal přivydělávat. Jeho profesionální kariéra začala o tři roky později, kdy se stal externím redaktorem pro portál Alza.cz. Od té doby spolupracoval s řadou firem různých rozsahů a dokonce založil několik vlastních projektů, včetně Mobify.cz, který časem přešel pod společnost abcMedia Network. Nyní se Lukáš řadí mezi nejvlivnější české redaktory v oblasti elektroniky.
Na Androidech řádí generace aplikací, které vypadají na první pohled neškodně. Přitom potichu sbírají citlivá data a dokážou se skrýt i před bezpečnostními kontrolami.
Android je díky své rozšířenosti častým terčem útočníků. Redakce Mobify už v loňském roce zaznamenala druh malwaru, který se dokáže maskovat jako běžná aplikace, třeba banka, sociální síť nebo klidně seznamka. Není to tedy tak úplně klasický virus, tento typ zneužívá moderní vývojářské nástroje a obchází běžné zabezpečení.
Malware využívá pro maskování vývojářské nástroje
Vývojářský framework, tedy struktura pro podporu programování, vývoje a organizaci, jak uvádí Wikipedia, nazvaný .NET MAUI umožňuje vytvářet jednu totožnou aplikaci pro více platforem naráz – Android, iOS i počítače. Pro vývojáře je to tedy pohodlné řešení, protože stačí jen jeden kód. Jenže pro kyberzločince je to ideální nástroj, jak skrýt škodlivé chování.
Malware vytvořený pomocí .NET MAUI totiž neukládá svůj kód běžným způsobem. Místo toho využívá binární soubory, které se výrazně hůře analyzují. Řada bezpečnostních nástrojů tak aplikaci vyhodnotí jako naprosto neškodnou, i když ve skutečnosti krade data na pozadí, varuje McAfee.
Falešné aplikace se schovávají pod legitimními
Útočníci vytváří aplikace, které vizuálně i funkčně napodobují skutečné služby. V jednom z odhalených případů se aplikace vydávala za banku a po uživateli chtěla kompletní osobní údaje jako jméno, telefon, e-mail, datum narození i platební informace. Všechny údaje byly po odeslání okamžitě přeposlány na server útočníků.
Ještě sofistikovanější byly falešné aplikace sociálních sítí, které cílily na konkrétní skupiny. Tyto aplikace dokázaly krást kontakty, fotografie, SMS zprávy a další obsah telefonu. Data byla navíc ještě šifrována a odesílána skrytými kanály, takže jejich zachycení bylo vlastně prakticky nemožné.
Klasické aplikace pro Android lze relativně snadno prozkoumat ještě před instalací. U .NET MAUI aplikací je ale škodlivá část ukrytá mnohem hlouběji a aktivuje se až během běhu aplikace. Některé vzorky dokonce používaly falešná oprávnění, která měla zmást bezpečnostní kontroly a oddálit odhalení.
Odkud se nebezpečné aplikace šíří?
Tyto aplikace se neobjevují v Obchodě Google Play. Útočníci je distribuují přes falešné weby, odkazy v SMS zprávách, chatovací aplikace nebo skupiny na sociálních sítích. Často slibují třeba „novou verzi aplikace“, bonusové funkce nebo výhodné nabídky, aby uživatele přiměli k instalaci mimo oficiální obchod.
Základní pravidla ochrany jsou jednoduchá. Instalujte aplikace jen z oficiálních obchodů, kontrolujte oprávnění a buďte podezřívaví, pokud aplikace žádá o přístup k datům, která zjevně nepotřebuje. Důležitá je také aktualizace systému a použití kvalitního antiviru, který dokáže sledovat chování aplikací v reálném čase.
Zdroje
Autorský komentář Lukáše Altmana, Oficiální stránky McAfee