Nejvážnějším rizikem pro české uživatele telefonů se systémem Android představují aplikace, které instalují do zařízení další malware, zpravidla bankovního trojského koně. Tyto škodlivé aplikace pocházejí z neoficiálních zdrojů, jakými jsou například diskuzní fóra. Vyplývá to z pravidelné měsíční statistiky společnosti ESET. V České republice nejčastěji do zařízení instalují bankovní malware označovaný jako Cerberus.
„Tyto škodlivé aplikace označujeme jako droppery. Mají jediný úkol, a tím je instalovat do zařízení další škodlivý kód. Celkově jejich počet vzrostl o více než 10 procent. Nejčastěji instalují bankovního trojského koně Cerberus, který představuje riziko při placení online,“ popisuje Martin Jirkal, vedoucí analytického oddělení v pražské pobočce firmy ESET. „Droppery pocházejí z neoficiálních zdrojů, jako jsou fóra nebo různé webové stránky. Zachytili jsme široké spektrum aplikací, které malware šíří. Útočníci je vydávají za běžné nástroje, od běžných nástrojů až po volnočasové hry či aplikace pro správu chytrých vozů.“
Zástupci malwaru typu dropper skončili v březnu na prvním a druhém místě v přehledu detekcí. Podle expertů aplikace, které útočníci používají k instalaci dalšího malwaru, zpravidla neobsahují žádné funkční moduly. Uživatel tak po spuštění nabude dojmu, že stažená aplikace je prostě porouchaná či nefunkční. Její odinstalace nepomůže. Pokud se jednalo o dropper, další malware už stihl nainstalovat.
„Tento krok navíc používají útočníci zcela záměrně. Je to výhodnější než umístit cílový škodlivý kód přímo do infikované aplikace, kterou uživateli vnutí. Mohou tak zmást uživatele i obejít některé nekvalitní bezpečnostní programy,“ vysvětluje Jirkal.
Napadené aplikace instalují bankovní malware
Bankovní malware Cerberus, který u nás infikované aplikace instalují, představuje vážné riziko pro bezpečnost online plateb. Obsahuje například funkci pro odcizení přihlašovacích údajů nebo obejití druhého faktoru ověření.
„Aplikace zneužije oprávnění pro takzvané usnadnění přístupu. Ta normálně slouží uživatelům se zrakovou nebo sluchovou vadou. V tomto případě ale umožní získat přihlašovací údaje a na dálku kontrolovat například potvrzující SMS nebo mazat některé aplikace v telefonu. Cerberus je rizikový při přihlášení do internetového bankovnictví prostřednictvím telefonu. Proto bych radil uživatelům, aby dali přednost oficiálním bankovním aplikacím, které jsou mnohem bezpečnější,“ dodává Jirkal.
Nejčastější kybernetické hrozby pro Android za březen 2021 v ČR:
- Android/TrojanDropper.Agent.EHK trojan (11,98 %)
- Android/TrojanDropper.Agent.HAC trojan (2,64 %)
- Android/Monitor.Cerberus application (2,45 %)
- Android/Monitor.Guardian application (1,64 %)
- Android/Triada trojan (1,64 %)
- Android/TrojanDropper.Agent.DIF trojan (1,55 %)
- Android/Agent.BPO trojan (1,22 %)
- Android/TrojanDropper.Agent.FHG trojan (1,22 %)
- Android/TrojanDropper.Agent.GUW trojan (1,22 %)
- Android/Monitor.Traca application (1,22 %)
Sledovací aplikace jsou na ústupu
Útočníci se od začátku roku zaměřují více na bankovní malware a detekce jiných typů škodlivého kódu naopak slábnou. V případě stalkerware Cerberus, který vloni představoval nejčastější hrozbu, klesl objem detekcí o pětinu.
„Bankovní malware Cerberus a stalkerware Cerberus jsou dva zcela odlišné typy hrozeb. Detekujeme je pod stejným označením. Jedná se ale o pouhou shodu náhod,“ vysvětluje Jirkal. „Označování nového typu malwaru není celosvětově nijak sjednocené. V tomto případě pojmenovaly malware různé detekční laboratoře v různých letech. Stalkerware Cerberus se jmenuje podle aplikace, kterou detekujeme. Proto v přesném označení malwaru najdeme i typ – například Monitor, tedy nějaký monitorovací malware – a označení operačního systému. Expert tak ze stručného názvu přesně pozná, o jakou hrozbu se jedná.“
Stalkerware Cerberus umožňuje sledování oběti na dálku a ovládání zařízení pomocí různých SMS příkazů. Je tak možné například přesměrovat hovory, čtení SMS nebo zapnutí Wi-Fi připojení. Podle Jirkala se na poklesu detekcí podepisuje především přesnější detekce těchto typů hrozeb a také pečlivá osvěta. „Před stalkerwarem varujeme veřejnost už téměř rok nejen my, ale také další bezpečnostní experti či Google. Zdá se, že uživatelé jsou v tomto ohledu mnohem opatrnější,“ říká.
Aplikace instalujte výhradně z oficiálních zdrojů
Škodlivý kód si uživatel nejčastěji do telefonu stáhne spolu s nějakou aplikací z neoficiálního zdroje, ať už jde o webové stránky, sociální sítě či fóra. Podle expertů je možné za důvěryhodný zdroj považovat výhradně obchod Google Play, jehož správci aktivně vyhledávají rizikové aplikace. Ochranu Play Protect, kterou obchod Google Play nabízí, je vhodné kombinovat s bezpečnostním programem určeným pro mobilní telefon, který případné riziko zachytí.
„Volil bych spíše aplikace s dobrým hodnocením a delší historií. Pokud nějaká aplikace v Google Play není, patrně není pro uživatele bezpečná a je vhodné se jí vyvarovat. Mimoto bych doporučil udělovat aplikacím co nejméně oprávnění. Pokud jich vyžaduje příliš a navíc ty, které nesouvisí s požadovanou funkcí, byl bych podezřívavý,“ uzavírá Jirkal.
