Nový virus vydělává na vašem telefonu, ani o tom nevíte. Je skrytý a nedává o sobě vědět, ale přináší peníze
Lukáš Altman
Lukáše psaní naplňovalo už od dětství, že se tím bude živit si uvědomil ještě jako student v roce 2013. V tu dobu už si několika dílčími texty začal přivydělávat. Jeho profesionální kariéra začala o tři roky později, kdy se stal externím redaktorem pro portál Alza.cz. Od té doby spolupracoval s řadou firem různých rozsahů a dokonce založil několik vlastních projektů, včetně Mobify.cz, který časem přešel pod společnost abcMedia Network. Nyní se Lukáš řadí mezi nejvlivnější české redaktory v oblasti elektroniky.
Nenápadný virus dokáže z Androidu udělat nástroj na vydělávání peněz, jenže útočníkům. Žádné podivné chování telefonu nebo viditelné reklamy, takže si ničeho nevšimnete.
Moderní kyberútoky už dávno nejsou o tom, že telefon zpomalí nebo začne hlásit chybu. Redakce Mobify si všimla nové skupiny virů, které fungují na pozadí a bez jakýchkoli známek aktivity. Malware zneužívá výkon telefonu k automatickému klikání na reklamy a generuje útočníkům zisk, zatímco uživatel nic netuší.
Virus používá umělou inteligenci, aby se učil
Základem útoků, kterým nyní podléhají Androidy po celém světě, je zcela odlišný přístup k reklamním podvodům, než na jaký jsou bezpečnostní nástroje běžně zvyklé. Místo jednoduchých skriptů využívá malware strojové učení. Konkrétně nasazuje knihovnu TensorFlow.js, která umožňuje běh modelů AI přímo v aplikaci.
Napadená aplikace si stáhne trénovaný model ze vzdáleného serveru a otevře skrytý integrovaný prohlížeč postavený na WebView (vložený do aplikace, uvádí Wikipedia). Nezobrazuje se na obrazovce, ale běží na virtuální ploše. Malware pořizuje snímky této „neviditelné obrazovky“, analyzuje je pomocí AI a hledá reklamní prvky, na které by normální člověk klikl.
Jakmile rozpozná ten správný prvek, aplikace na něj sama „ťukne“. Výsledkem je tedy zcela realistická simulace lidského chování, která je však mnohonásobně odolnější vůči moderním reklamním systémům plným dynamických prvků, videí a iframe (HTML a XHTML element aneb tag, popisuje Wikipedia).
Dva režimy – automatický a dálkově ovládaný
Na základě zjištění bezpečnostních expertů pracuje virus ve dvou režimech. První, přezdívaný „fantom“, funguje zcela sám, automaticky a nevyžaduje žádný zásah útočníka. Druhý režim využívá technologii WebRTC, která umožňuje streamovat obraz z virtuálního prohlížeče v reálném čase, vysvětluje BleepingComputer.
Útočníci tak mohou vzdáleně vidět obsah reklamy a sami rozhodovat, kam kliknout, kam posunout stránku, případně co ještě vyplnit. Z pohledu reklamních sítí jde o naprosto legitimní interakci.
Zprvu šlo o legitimní programy, infikovány byly poté
Velice znepokojivé je, že část těchto aplikací se šířila přes GetApps, oficiální obchod pro telefony Xiaomi. Aplikace byly nejprve nahrány jako neškodné hry a škodlivé funkce získaly až v pozdější aktualizaci. Zisk ze všeho pak plyne výhradně útočníkům.
Mezi zaznamenané tituly patřily například jednoduché hry s desítkami tisíc stažení. Další vlna šíření probíhá přes neoficiální APK weby a upravené verze populárních aplikací typu Spotify, YouTube nebo Netflix. Podle našich odhadů se část infikovaných balíčků šíří i přes Telegram a Discord komunity s desítkami tisíc uživatelů.
Nejnebezpečnější na celé kampani je ta nenápadnost. Aplikace často skutečně fungují, jak slibují. Reklamní podvod probíhá v neviditelném WebView, takže se na obrazovce neobjevují žádná vyskakovací okna ani podezřelé chování. Mobil se maximálně může rychleji vybíjet, víc spotřebovávat mobilní data a celkově opotřebovat.
Redakce Mobify varuje především před instalací aplikací mimo Google Play, zejména „vylepšených“ verzí placených služeb zdarma. Doporučujeme také pravidelně kontrolovat oprávnění aplikací a sledovat neobvyklou spotřebu baterie či dat.
Zdroje
Autorský komentář Lukáše Altmana, Oficiální stránky BleepingComputer