Stovky aplikací v OS Android jsou vstupní branou pro nový virus, který dokáže skrývat svou aktivitu a umožňuje vzdáleně ovládat obrazovku
Lukáš Altman
Lukáše psaní naplňovalo už od dětství, že se tím bude živit si uvědomil ještě jako student v roce 2013. V tu dobu už si několika dílčími texty začal přivydělávat. Jeho profesionální kariéra začala o tři roky později, kdy se stal externím redaktorem pro portál Alza.cz. Od té doby spolupracoval s řadou firem různých rozsahů a dokonce založil několik vlastních projektů, včetně Mobify.cz, který časem přešel pod společnost abcMedia Network. Nyní se Lukáš řadí mezi nejvlivnější české redaktory v oblasti elektroniky.
Na Androidy se dostal nový typ malwaru, který zneužívá běžné aplikace jako skryté nosiče a po napadení telefonu umožní útočníkovi vzdáleně ovládat obrazovku.
Poslední týdny se objevily znepokojivé zprávy o prudkém růstu napadených Androidů. Uživatelé hlásí samovolné změny na obrazovce, nečekané pokusy o přihlášení, třeba do účtu, dokonce ztrátu peněz. Dle průzkumu redakce Mobify stojí za incidenty nový malware, který se schovává za běžné mobilní aplikace. Je velmi nebezpečný, šíří se skrz falešně aktualizace, podvodné weby i aplikace.
Zneužívá technologii pro uživatele s omezením
Nejnovější akce útočníků používá tzv. dropper kód, který se maskuje za běžně vypadající nástroje, vysvětluje ESET. Tváří jako slevový portál, kupon, správce souborů nebo aktualizace systému. Po instalaci si nenápadně vyžádá oprávnění, což laik považuje za „normální“, ale ve skutečnosti jde o přístup k funkcím, otevírajícím bránu do mobilu.
Tento konkrétní malware využívá v Androidu technologii, jež je primárně určena lidem se zrakovým či motorickým omezením a dovoluje aplikaci „vidět“ to samé, co vidí uživatel, a také s prvky obrazovky aktivně pracovat. Útočníkům tak pomůže obejít ochranu, která běžně brání pořizování snímků obrazovky, třeba v bankovních aplikacích. Jakmile je telefon malwarem napadený, může útočník:
- vzdáleně ovládat telefon pomocí technologie podobné VNC
- zobrazit černou nebo prázdnou obrazovku, aby uživatel neviděl, co se děje
- otevírat aplikace, potvrzovat platby a přistupovat k heslům
- číst SMS a obcházet dvoufázové ověřování
- instalovat další škodlivé moduly
- sbírat uložené údaje o platebních kartách či kryptopeněženkách
Systém je nabízený jako „služba“ za peníze
Bezpečnostní firmy zjistily, že virus cílí na víc než 400 aplikací, od bankovních nástrojů přes všelijaké kryptoměnové burzy až po digitální peněženky. Útočníci tak mají připravené přesné kopie přihlašovacích formulářů, kterými jenom překryjí originální aplikace a zachytí hesla anebo 2FA kódy, varuje theHackerNews.
Znepokojivé je, že celý systém je nabízený formou předplatného. Na černých fórech se prodává jako nápomocná „služba“ za přibližně 720 dolarů měsíčně (asi 17 000 Kč), přičemž veškerým zájemcům jsou poskytnuty i nástroje pro automatickou tvorbu šifrovaných verzí, aby se jednodušeji vyhnuli antivirovým kontrolám.
Několik doporučení, jak se chránit
I když nelze zaručit, že se tomu na 100 % vyhnete, přece jen přinášíme několik doporučení, kterých by bylo dobré se držet. Riziko tak můžete alespoň minimalizovat:
- Nikdy neinstalujte aplikace přes odkaz z SMS nebo WhatsAppu – Google Play je jediný legitimní zdroj, vše ostatní je rizikové.
- Pokud aplikace žádá větší přístup, zpozorněte – v 90 % případů to běžné aplikace nepotřebují.
- Sledujte, jaká oprávnění aplikacím povolujete – správce slev nepotřebuje přístup k obrazovce ani možnost ovládat telefon.
- Pravidelně kontrolujte „optimalizaci baterie“ – útočníci se často snaží z tohoto režimu uniknout, aby běželi nepřetržitě.
- Pokud obrazovka náhle zčerná nebo se mění, okamžitě zařízení vypněte – je to jeden z hlavních příznaků vzdálené manipulace.
Zdroje
Autorský komentář Lukáše Altmana, Oficiální stránky ESET, Oficiální stránky theHackerNews