Trojský kůň začal na Androidech cílit na činnosti, které dělá každý. Stáhly si ho už stovky tisíc lidí
Lukáš Altman
Lukáše psaní naplňovalo už od dětství, že se tím bude živit si uvědomil ještě jako student v roce 2013. V tu dobu už si několika dílčími texty začal přivydělávat. Jeho profesionální kariéra začala o tři roky později, kdy se stal externím redaktorem pro portál Alza.cz. Od té doby spolupracoval s řadou firem různých rozsahů a dokonce založil několik vlastních projektů, včetně Mobify.cz, který časem přešel pod společnost abcMedia Network. Nyní se Lukáš řadí mezi nejvlivnější české redaktory v oblasti elektroniky.
Nenápadný trojan se šíří tam, kde ho lidé čekají nejméně, a to ve hrách a upravených verzích oblíbených aplikací. Telefon je pak nenápadně zneužívaný útočníky.
Používání her, streamovacích aplikací nebo služeb – to děláme na telefonu všichni. Jenže dle zjištění redakce Mobify cílí přesně na takové akce rozsáhlá malwarová kampaň, která infikovala už statisíce zařízení s Androidem. Síla tohoto trojského koně spočívá v dlouhodobém, skrytém zneužívání telefonu na jeho pozadí.
Mechanismus trojského koně stojí na maskování
Experti na bezpečnost z Dr. Web popsali rodinu trojských koní označovaných jako Android.Phantom, šířených převážně prostřednictvím her a upravených aplikací. Tyto programy se do mobilu dostávají jako běžné aplikace, kolikrát dokonce přes oficiální katalog GetApps. Původní verze her byly v pořádku, škodlivý kód se objevil až v pozdějších aktualizacích.
Po instalaci se trojský kůň aktivuje společně s aplikací a komunikuje se vzdálenými servery, odkud přijímá pokyny. Jeho hlavním úkolem je automatická interakce s obsahem na webech, zejména s online reklamami, a to bez jakéhokoliv potřebného zásahu uživatele.
Útočníkům dokáže streamovat v reálném čase
Malware pracuje ve 2 režimech. V tzv. fantomovém režimu, kdy využívá skrytý prohlížeč WebView běžící na virtuální obrazovce. Do něj načítá webovky a pomocí frameworku TensorFlow.js analyzuje jejich obsah. Podle toho, co rozpozná, pak automaticky provádí kliky či jiné akce, které vypadají, jako kdyby je prováděl běžný člověk.
Druhý, signalizační režim je ještě víc profi. Pomocí technologie WebRTC dokáže trojan streamovat obraz virtuální obrazovky útočníkům v reálném čase, vysvětluje Wikipedia. Ti pak mohou vzdáleně ovládat prohlížeč, třeba posouvat stránku, klikat nebo vyplňovat formuláře. Telefon tak je v jejich rukách.
Trojský kůň se šíří pomocí aplikací a her
Vedle oficiálního katalogu GetApps se trojské koně masově šíří také přes upravené verze populárních aplikací, kupříkladu Spotify, YouTube, Netflix nebo Deezer. Módy těchto aplikací jsou nabízeny na webech typu Moddroid či Apkmody, ale také v Telegramu a na Discordu s desítkami tisíc odběratelů.
Kromě toho bylo odhaleno i několik her, které později vir obsahovaly také. Za zmínku stojí reation Magic World, Cute Pet House, Amazing Unicorn Party, Sakura Dream Academy, Theft Auto Mafia anebo Open World Gangsters. Většina ze zmíněných funguje normálně, což snižuje podezření uživatelů a zvyšuje šanci, že malware v telefonu vydrží dlouho.
Zařízení může být zneužito k dalším aktivitám
I když není tento typ malwaru primárně stavěný tak, aby kradl přihlašovací údaje, jeho dopady nelze i tak podceňovat. Infikované zařízení může být zneužito k účasti na podvodných online aktivitách, nežádoucímu provozu, nebo dokonce k DDoS útokům.
Uživatelé zaznamenají maximálně rychlejší vybíjení baterie, zvýšenou spotřebu mobilních dat a v některých případech i únik technických informací o zařízení. Z našeho pohledu jsou nejohroženější děti a mladší uživatelé, kteří často sahají po upravených aplikacích kvůli hrám nebo prémiovým funkcím zdarma.
Základní pravidlo ochrany zůstává stejné: aplikace stahujte jen z oficiálních obchodů, ideálně z Google Play. Vyhýbejte se modifikovaným APK souborům, i když slibují lákavé funkce. Důležité je také používat aktuální bezpečnostní software a sledovat, jaká oprávnění aplikacím udělujete.
Zdroje
Autorský komentář Lukáše Altmana