Tváří se jako antivirová aplikace, pak důvěřivým lidem ukradne přihlašovací údaje do bankovnictví

Nebezpečný malware, ohrožující Androidy, se šíří jako rádoby bezpečnostní aplikace. Místo ochrany ale sbírá citlivá data a otevírá útočníkům cestu k financím obětí.

Lukáš Altman (Mobify.cz)

Majitelé Androidů by měli zpozornět. Odborníci upozorňují na aplikaci, která se vydává za antivir, ale ve skutečnosti krade přihlašovací údaje a další citlivá data. Redakce Mobify zaregistrovala, že útočníci zneužili otevřenou platformu pro sdílení AI nástrojů zvanou Hugging Face. Jakmile si ji uživatel stáhne a dá jí oprávnění, získá útočník vzdálený přístup k zařízení.

Otevřená AI platforma posloužila k šíření malwaru

Takzvané Hugging Face je centrum pro vývojáře a výzkumníky v oblasti AI. Umožňuje sdílení modelů strojového učení, datových sad i různých typů souborů. Co ale zní jako výhoda, může být i slabinou. Útočníci zde umístili instalační balíčky (APK soubory) aplikace, která na první pohled působí jako antivir, varuje CyberGuy.

A protože platforma podporuje veřejná úložiště, mohly být škodlivé soubory dostupné bez jakéhokoli podezření. Když byly nahlášeny, došlo sice hned k jejich odstranění, ale podle bezpečnostních zjištění se téměř identické verze rychle objevily zase znovu, jenom s drobnými úpravami v názvu anebo popisu.

Falešný antivir jménem TrustBastion klamal lidi

Aplikace vystupovala pod názvem TrustBastion a slibovala ochranu před phishingem i malwary. Po instalaci ale uživatele hned varovala, že je jeho zařízení údajně infikované, a vyzvala k instalaci „nutné aktualizace“. Takový postup je typickým příkladem tzv. scarewaru, tedy taktiky, která vyvolává strach a nutí člověka jednat bez přemýšlení, vysvětluje Wikipedia.

Teprve ona aktualizace obsahovala skutečný škodlivý kód. Ten dokázal pořizovat snímky obrazovky, ukazovat falešné přihlašovací formuláře bankovních aplikací, zaznamenávat PIN kód k odemčení telefonu a odesílat získaná data na vzdálený server. Útočník tak může získat přístup k internetovému bankovnictví a převést si peníze.

Google se k situaci také vyjádřil

Google se k situaci vyjádřil, že podle jeho detekcí se malware nenacházel v oficiálním obchodě Google Play a že uživatele chrání služba Google Play Protect, uvedl Forbes. Ta skutečně automaticky kontroluje aplikace a varuje před známými hrozbami. Ale spoléhat na to na 100 % také není ideální.

Spoléhat výhradně na vestavěnou ochranu dnes už prostě nestačí, alespoň my si to myslíme. Uživatelé by měli instalovat aplikace výhradně z oficiálních obchodů, pečlivě číst recenze, kontrolovat oprávnění a vyhnout se stahování APK souborů z externích webů. Základní kroky ochrany zahrnují:

• Aktivaci dvoufázového ověření (2FA) u Google účtu
• Používání silného a originálního hesla uloženého ve správci hesel
• Pravidelné kontroly oprávnění aplikací
• Instalaci kvalitního bezpečnostního řešení s ochranou v reálném čase
• Obezřetnost vůči aplikacím, které samy tvrdí, že našly kritickou hrozbu