Více než 1 milion účtů Google ohroženo novým malwarem Gooligan
1. 12. 2016
Více než 1 milion účtů Google ohroženo novým malwarem Gooligan

Check Point odhalil masivní narušení bezpečnosti účtů Google. Nová malwarová kampaň infikuje každý den více než 13 000 zařízení se systémem Android.

Check Point Software Technologies oznámil, že odhalil novou variantu malwaru pro Android, která narušila bezpečnost více než 1 milionu účtů Google. Nová malwarová kampaň Gooligan rootuje zařízení se systémem Android a krade e-mailové adresy a uložené ověřovací tokeny. S těmito informacemi mohou útočníci získat přístup k citlivým uživatelským datům z Gmailu, Fotek Google, Dokumentů Google, Google Play a G Suite.

 

„Tato krádež informací o více než miliónu účtů Google nemá obdoby a je to další etapa kybernetických útoků,“ říká Daniel Šafář, Country Manager pro Českou republiku a region CZR ve společnosti Check Point. „Vidíme posun ve strategii hackerů, kteří nyní cílí na mobilní zařízení a snaží se z nich dostat citlivé informace.“

Klíčová zjištění:

  • Kampaň infikuje 13 000 zařízení každý den a jako první způsobila root více než 1 milionu zařízení.
  • Stovky e-mailových adres jsou spojeny s podnikovými účty z celého světa.
  • Gooligan cílí na zařízení se systémem Android 4 (Jelly Bean, KitKat) a 5 (Lollipop), které představují téměř 74 % aktuálně používaných zařízení Android.
  • Jakmile útočníci získají kontrolu nad zařízením, generují tržby podvodným instalováním aplikací z Google Play a hodnotí je jménem obětí.
  • Každý den Gooligan instaluje na kompromitovaných zařízeních minimálně 30 000 aplikací, což je více než 2 miliony aplikací od začátku kampaně.

Malware ohrozil i účty a zařízení českých uživatelů.

Check Point s informacemi o kampani okamžitě informoval bezpečnostní tým společnosti Google. „Velmi si vážíme partnerství se společností Check Point. Společně jsme pracovali na pochopení situace a odpovídajících krocích. V rámci naší trvalé snahy chránit uživatele před malwarem z rodiny Ghost Push jsme přijali řadu opatření, abychom naše uživatele chránili a vylepšili celkové zabezpečení ekosystému Android,“ říká Adrian Ludwig, ředitel zabezpečení systému Android ve společnosti Google. Google mimo jiné kontaktoval postižené uživatele a zrušil jejich tokeny, odstranil aplikace spojené s malwarovou rodinou Ghost Push z Google Play a přidal nové vrstvy ochrany do technologie ověřování aplikací.

Mobilní výzkumný tým společnosti Check Point poprvé zaznamenal Gooliganův kód ve škodlivé aplikaci SnapPea minulý rok. V srpnu 2016 se objevila nová varianta malwaru a od té doby infikoval denně minimálně 13 000 zařízení. Asi 57 % z těchto zařízení se nachází v Asii a asi 9 % v Evropě. Unikly informace o stovkách e mailových adres spojených se společnostmi z celého světa. K infikování zařízení dojde, pokud uživatel stáhne a nainstaluje Gooliganem nakaženou aplikaci na zranitelném zařízení se systémem Android nebo klikne na nebezpečný odkaz ve zprávě použité k phishingovému útoku.

 

Check Point nabízí bezplatný online nástroj, který umožňuje uživatelům systému Android zkontrolovat, jestli byla narušena bezpečnost jejich účtu.

„Pokud byl váš účet napaden, je nutné provést čistou instalaci operačního systému na vašem mobilním zařízení. Tento komplexní proces se nazývá ‚flashování‘ a doporučujeme vypnout přístroj a zařízení donést k certifikovanému technikovi nebo vašemu poskytovateli mobilních služeb, protože celá operace vyžaduje odborné provedení,“ dodává Šafář.

Více informací najdete na blogu společnosti Check Point: http://blog.checkpoint.com/2016/11/30/1-million-google-accounts-breached-gooligan.

 

 

ESET upozorňuje na falešné soutěže na Facebooku, oběti mohou přijít o peníze.http://www.antivirus.cz/Blog/Stranky/eset-upozornuje-na-falesne-souteze-na-facebooku-obeti-mohou-prijit-o-penize.aspxESET upozorňuje na falešné soutěže na Facebooku, oběti mohou přijít o peníze.<p>​Bezpečnostní společnost ESET varuje internetové uživatele v České republice a na Slovensku před falešnými soutěžemi na Facebooku, které zneužívají důvěřivosti lidí. Oběti mohou v konečném důsledku přijít o peníze tím způsobem, že od nich správci těchto soutěží vymámí osobní údaje, číslo platební karty, datum její platnosti a CVC/CVV číslo ze zadní strany karty. Jde o údaje nezbytné pro uskutečnění online transakce s platební kartou oběti.</p><p>Několik facebookových stránek slibuje lidem jako výhru luxusní auta, mobilní telefony nebo pračky. Tyto podvodné soutěže, které pravděpodobně pochází ze Slovenska, mají již více než 39 tisíc lajků.</p><p><img src="/Blog/PublishingImages/Clanky/2017/ESET_falesna_soutez_01.jpg" alt="" style="margin:5px;width:650px;" /> </p><p>„Pro účast v těchto falešných soutěžích stačí lajkovat celou facebookovou stránku, nebo sdílet a komentovat příspěvek a šířit tak podvod mezi své facebookové přátele,“ upozorňuje Václav Zubr, bezpečnostní expert společnosti ESET. </p><p>Principem této falešné soutěže je, že „vyhrává“ každý. Soutěžícímu se následně přes zprávu na Facebooku ozve falešný vyhlašovatel soutěže a vyžádá si od něj osobní údaje a informace o platební kartě. Jako důvod uvádí ověření identity vítěze. Přestože řada stránek již byla smazána či zablokována, některé z nich (například <a href="https://www.facebook.com/vyhrajemtodnes" target="_blank">Vyhraj to</a> a <a href="https://www.facebook.com/vyhernyden1/">Výherní den</a>) jsou však stále ještě aktivní.</p><p><img src="/Blog/PublishingImages/Clanky/2017/ESET_falesna_soutez_02.jpg" alt="" style="margin:5px;width:650px;" /> </p><p>„Internetoví uživatelé by si měli jednou provždy uvědomit, že ne vše, na co na internetu narazí, je pravdivé. Pokud to je zároveň příliš dobré na to, aby to byla pravda, jde s největší pravděpodobností o podvod,“ dodává Zubr.</p><p>ESET zároveň upozorňuje na novou vlnu podvodu se slevami na značkové brýle RayBan, jež se šíří rovněž přes Facebook. Tentokrát jde o lokalizovanou verzi ve slovenštině. Cílem této škodlivé kampaně je šíření podvodných stránek, které sbírají údaje o platebních kartách uživatelů. Weby jsou, <a href="/Blog/Stranky/na-facebooku-a-twitteru-se-siri-podvodna-kampan-zneuzivajizi-znacku-ray-ban-cilem-je-ziskat-udaje-o-platebnich-kartach.aspx">stejně jako v minulosti</a>, propagované prostřednictvím fotografií výprodeje značkových slunečních brýlí RayBan. Útočník však pouze zneužívá značku známého výrobce a společnost Ray Ban ani její distributoři nejsou autory falešné slevy, která může dosahovat výše až 90 procent.<br></p>
Nebezpečí e-mailových příloh JS/Danger pominulo, v září byl největší hrozbou trojan JS/Chromex.http://www.antivirus.cz/Blog/Stranky/nebezpeci-emailovych-priloh-js-danger-pominulo-v-zari-byl-nejvetsi-hrozbou-trojan-js-chromex.aspxNebezpečí e-mailových příloh JS/Danger pominulo, v září byl největší hrozbou trojan JS/Chromex.<p><strong>​Podíl detekcí jednotlivých škodlivých kódů v Česku byl v září podle statistiky společnosti ESET velmi vyrovnaný.</strong></p><p>Žebříček nejčastějších internetových hrozeb v České republice za měsíc září vedl trojský kůň JS/Chromex.Submelius. Jeho podíl na celkových virových hrozbách byl 7,34 procenta. Po více než roce z čela žebříčku sestoupil JS/Danger.ScriptAttachment. Ten ještě v loňském měsíci držel bezmála čtvrtinový podíl, nyní je to méně než 3 procenta.</p><p>„Zajímavý je výrazný pokles podílu JS/Danger.ScriptAttachment, který už druhým rokem v našich statistikách měsíc, co měsíc vedl. Nabízí se vysvětlení, že přestává fungovat tento distribuční mechanismus, tudíž od něj útočníci upouští a budou se snažit najít jiný způsob,“ říká Miroslav Dvořák, technický ředitel společnosti ESET.</p><p>Trojský kůň JS/Chromex.Submelius, jenž se v září stal nejčastěji zachyceným škodlivým kódem, se šíří prostřednictvím neoficiálních streamovacích služeb. Uživatelům nabízí instalaci škodlivých pluginů pro internetový prohlížeč Chrome. Ačkoli tyto pluginy mají zajistit rychlejší načítání internetových stránek, obvykle způsobují opak. JS/Chromex.Submelius se v České republice poprvé četněji vyskytl letos v březnu, kdy byl pátou nejčastěji zachycenou hrozbou. V červenci pak v četnosti výskytu téměř dotáhl vedoucí JS/Danger.ScriptAttachment.</p><p>Druhým nejčetnějším škodlivým kódem byl v září JS/ProxyChanger. „Jde o trojského koně, který brání přístupu na určité webové stránky a přesměrovává provoz na konkrétní IP adresy. Může například oběť přesměrovat na web útočníka,“ vysvětluje Miroslav Dvořák. V září představoval JS/ProxyChanger zhruba každou třicátou hrozbu, dosáhl podílu 3,18 procenta. Virovou trojkou v září byl Java/Adwind, další trojský kůň, který slouží jako backdoor a umožňuje vzdálené ovládání napadaného zařízení.</p><p>Dlouhodobá jednička mezi českými internetovými hrozbami, škodlivá e-mailová příloha JS/Danger, se v září propadla v žebříčku četnosti na páté místo a podílem 2,93 procenta si meziměsíčně pohoršila o víc než 20 procentních bodů. </p><h2>Deset nejčastějších internetových hrozeb v České republice za září 2017:</h2><p>1. JS/Chromex.Submelius (7,34 %)<br>2. JS/ProxyChanger (3,18 %)<br>3. Java/Adwind (3,17 %)<br>4. VBS/TrojanDownloader.Agent.PFE (2,98 %)<br>5. JS/Danger.ScriptAttachment (2,93 %)<br>6. Win32/RiskWare.PEMalform (2,40 %)<br>7. SMB/Exploit.DoublePulsar (2,31 %)<br>8. Win32/GenKryptik (1,95 %)<br>9. JS/Adware.AztecMedia (1,87 %)<br>10. VBS/TrojanDownloader.Agent.PGF (1,86 %)</p><p><img src="/Blog/PublishingImages/Clanky/2017/podil-hrozeb-zari-2017.png" alt="" style="margin:5px;width:650px;" /> </p>
Kyberzločinci v srpnu využívali ransomware a širokou škálu bankovních trojanů.http://www.antivirus.cz/Blog/Stranky/kyberzlocinci-v-srpnu-vyuzivali-ransomware-a-sirokou-skalu-bankovnich-trojanu.aspxKyberzločinci v srpnu využívali ransomware a širokou škálu bankovních trojanů.<p>Ze zprávy společnosti Check Point vyplývá, že Roughted zůstal nejčastěji použitým malwarem k útokům na podnikové sítě, následovaly škodlivé kódy Globalimposter a HackerDefender.</p><p>Check Point zveřejnil srpnový Celosvětový index dopadu hrozeb, podle kterého byly v srpnu bankovní trojské koně velmi oblíbeným nástrojem kyberzločinců.</p><p>Zároveň byl vydán žebříček zemí, které jsou nejčastěji terčem kyberútoků. Česká republika patřila v srpnu mezi nejbezpečnější země, když se v Indexu hrozeb umístila na 122. příčce. Podobně si vedlo i Slovensko, které skončilo na 119. pozici. Na prvním místě se v Indexu hrozeb umístila Dominikánská republika. Největší skok mezi nebezpečné země zaznamenala Uruguay, která se posunuly o 75 míst na 47. příčku. Naopak Bangladéš se posunula z 16. příčky až na bezpečnější 125. pozici.</p><p>Do Top 10 škodlivých kódů se dostaly bankovní trojany Zeus, Ramnit a Trickbot. Identifikují, kdy oběť navštíví webové stránky banky, a pak pomocí techniky webinject nebo sledováním stisknutých kláves kradou přihlašovací údajů a další citlivá data, jako jsou například PIN kódy. Trojské koně mohou také zkusit ukrást přihlašovací údaje přesměrováním obětí na falešné bankovní internetové stránky.</p><p>Srpnový Celosvětový index dopadu hrozeb také odhalil, že ransomware Globeimposter byl druhým nejčastějším malwarem na světě. Ačkoli byl objeven v květnu 2017, až do srpna se masivně nešířil. Globeimposter šifruje soubory a od obětí požaduje platbu za dešifrování cenných dat.</p><p>„Finanční zisk je hlavním motivem pro drtivou většinu kyberzločinců a bohužel pro to mají k dispozici i celou řadu nástrojů,“ říká Peter Kovalčík, SE Manager ve společnosti Check Point. „V Top 10 malwarových rodinách vidíme vysoce efektivní variantu ransomwaru i celou řadu bankovních trojanů, což znovu ukazuje, jak vynalézaví umí hackeři být ve snaze vydělat peníze. Organizace musí být při ochraně své sítě ostražité a proaktivní.“</p><p>Roughted zůstal i během srpna nejčastěji použitým malwarem k útokům na podnikové sítě, přestože celosvětově klesl jeho dopad z 18 % na méně než 12% organizací. Globalimposter na druhém místě ovlivnil 6 % organizací z celého světa a HackerDefender na třetím místě měl dopad na 4 % společností.</p><h2>Top 3 - malware:</h2><p> <strong>1. ↔ RoughTed</strong> – Rozsáhlá malvertisingová kampaň RoughTed je využívána k šíření odkazů na nebezpečné webové stránky a k šíření škodlivého obsahu, jako jsou scam, adware, exploit kity a ransomware. Může být použita k útoku na jakýkoli typ platformy a operačního systému, vyhne se nástrojům na blokování reklamy a sleduje chování uživatelů, aby byl finální útok co nejrelevantnější.<br><strong>2. ↑ Globeimposter</strong> - Ransomware maskovaný jako varianta ransomwaru Globe. Byl objeven v květnu roku 2017 a je distribuován spamovými kampaněmi, malvertisingem a exploit kity. Při šifrování připojuje ke každému zašifrovanému souboru koncovku .crypt.<br><strong>3. ↓ HackerDefender</strong> - Uživatelský rootkit pro Windows může být využit ke skrytí souborů, procesů a klíčů registru, a také k implementaci backdooru a přesměrování portu, který funguje na základě TCP portů otevřených stávajícími službami. Takže skryté backdoory není možné najít tradičními postupy.</p><p>Hummingbad, který se v první polovině roku 2017 pokaždé umístil v Top 10 škodlivých kódů, zaznamenal výrazný pokles. Naopak Triada se posunula na první příčku ze třetí pozice a následovaly škodlivé kódy Hiddad a Gooligan:</p><h2>Top 3 - mobilní malware:</h2><p> <strong>1. Triada</strong> - Modulární backdoor pro Android, který uděluje superuživatelské oprávnění pro stažení malwaru a pomáhá jej vložit do systémových procesů. Triada take umí zfalšovat URL odkazy uložené v prohlížeči.<br><strong>2. Hiddad</strong> – Android malware, který přebaluje legitimní aplikace a pak je umísťuje do obchodů třetích stran. Jeho hlavní funkcí je zobrazování reklam, ale může také získat přístup ke klíčovým bezpečnostním informacím obsaženým v operačním systému, což umožňuje útočníkovi získat citlivá uživatelská data.<br><strong>3. Gooligan</strong> – Malware pro Android umí rootovat zařízení a krást e-mailové adresy a autentizační tokeny uložené v zařízení.</p><p>Srpnový Index hrozeb ukazuje, jak je oblast kyberhrozeb různorodá a dynamická. Před několika měsíci byl Hummingbad zcela dominantní, ovšem v srpnu se nedostal ani do Top 10. Naopak výrazný byl především ransomware a na vzestupu jsou bankovní trojské koně.</p><p>„Je důležité, aby organizace znaly rizika a neustále měly aktuální ochranu proti dobře známým malwarovým rodinám, novým variantám i novým hrozbám nultého dne,“ dodává Kovalčík. „Vyžaduje to vícevrstvou bezpečnostní strategii, která dokáže reagovat na nejrůznější neustále se vyvíjející typy útoků.“</p><p>Check Point analyzoval i malware útočící na podnikové sítě v České republice. Stejně jako ve světě i v ČR je na prvním místě stále malvertisingová kampaň RoughTed, na druhém místě Globeimposter a na třetím HackerDefender.</p><p> </p><table width="100%" class="ms-rteTable-default" cellspacing="0" style="height:337px;"><tbody><tr><td class="ms-rteTableEvenCol-default" bgcolor="#6773b6" colspan="2" style="text-align:center;"><h3> <span style="color:#ffffff;">Top 10 malwarových rodin v České republice – srpen 2017</span></h3></td></tr><tr><td class="ms-rteTable-default"><strong>Malwarová rodina</strong></td><td class="ms-rteTable-default"> <strong>Popis</strong></td></tr><tr><td class="ms-rteTable-default">RoughTed</td><td class="ms-rteTable-default">Rozsáhlá malvertisingová kampaň RoughTed je využívána k šíření odkazů na nebezpečné webové stránky a k šíření škodlivého obsahu, jako jsou scam, adware, exploit kity a ransomware. Může být použita k útoku na jakýkoli typ platformy a operačního systému, vyhne se blokátorům reklamy a sleduje chování uživatelů, aby byl finální útok co nejrelevantnější.</td></tr><tr><td class="ms-rteTable-default">Globeimposter</td><td class="ms-rteTable-default">Ransomware maskovaný jako varianta ransomwaru Globe. Byl objeven v květnu roku 2017 a je distribuován spamovými kampaněmi, malvertisingem a exploit kity. Při šifrování připojuje ke každému zašifrovanému souboru koncovku .crypt.</td></tr><tr><td class="ms-rteTable-default">HackerDefender</td><td class="ms-rteTable-default">HackerDefender je rootkit pro Windows 2000 a Windows XP a může fungovat i na pozdějších verzích Windows NT. Rootkit upravuje různé funkce ve Windows a API, aby se vyhnul detekci bezpečnostním softwarem. HackerDefender je široce rozšířený, protože je volně k dispozici na internetu a lze snadno nainstalovat.</td></tr><tr><td class="ms-rteTable-default">Conficker</td><td class="ms-rteTable-default">CConficker je počítačový červ, který se zaměřuje na operační systém Windows. Využívá zranitelnosti v operačním systému a zkouší odhadnout administrátorské heslo pro další šíření a vytvoření botnetu. Infekce umožňuje útočníkovi získat přístup k osobním údajům uživatelů, jako jsou bankovní údaje, čísla kreditních karet nebo hesla. Červ původně cílil na uživatele komunikačních stránek, jako jsou Facebook, Skype a e-mailové stránky.</td></tr><tr><td class="ms-rteTable-default">Tinba</td><td class="ms-rteTable-default">Tinba je bankovní trojan, který se zaměřuje především evropské zákazníky bank a používá BlackHole exploit kit.<br>Tinba krade přihlašovací údaje oběti pomocí techniky web-inject, která je aktivovaná, jakmile se uživatel pokusí připojit ke svému účtu na jedné z internetových stránek vytipované banky. Následně zobrazí falešné webové stránky na obrazovce zprávu, která uživatele žádá, aby vyplnit své osobní údaje.<br>Tinba je známý od roku 2012 a cíle jsou většinou v Evropě, zejména v Polsku a Itálii. Nicméně stroje infikované Tinbou byly detekovány po celém světě. Tinba je také označován jako Tiny Banker nebo Zusy a v době svého objevení to byl nejmenší bankovní Trojan (podle velikosti souboru).</td></tr><tr><td class="ms-rteTable-default">Fireball</td><td class="ms-rteTable-default">Fireball převezme kontrolu nad prohlížečem a může ho změnit na plně funkční downloader malwaru. Je schopen spustit jakýkoli kód na počítačích obětí, takže může provádět nejrůznější škodlivé akce, od krádeží přihlašovacích údajů až po stažení dalšího malwaru. Často je šířen jako bundle, takže je nainstalován na počítač oběti, mnohdy bez souhlasu uživatele, spolu s programem, který uživatel opravdu chtěl.</td></tr><tr><td class="ms-rteTable-default">Trickbot</td><td class="ms-rteTable-default">Bankovní trojan, který je variantou Dyre, byl objeven v říjnu 2016. Trickbot může stahovat pokyny z řídících a velících serverů, když se oběti pokusí navštívit webové stránky, na rozdíl od většiny bankovních trojanů, které aktualizují své konfigurace periodicky. Tato funkce pomáhá Trickbotu vyhnout se chybám způsobeným zastaralou konfigurací, což by jinak mohlo vést k jeho objevení.</td></tr><tr><td class="ms-rteTable-default">GhOst</td><td class="ms-rteTable-default">Backdoor.Win32.Ghost je škodlivý program typu backdoor, který cílí na platformu Windows. Malware je navržen tak, aby poskytoval útočníkům vzdálený přístup k infikovanému počítači.</td></tr><tr><td class="ms-rteTable-default">Datan</td><td class="ms-rteTable-default">Nepříznivě ovlivňuje výkon počítače.</td></tr><tr><td class="ms-rteTable-default">MagicHoundFetch</td><td class="ms-rteTable-default">MagicHoundFetch je trickler, který cílí na platformu Windows. Tento malware byl údajně používán v pokročilé perzistentní útočné kampani působící primárně na Blízkém východě. Malware shromažďuje informace o systému a odesílá je na vzdálený server. Také hlásí serveru svůj stav. Může stáhnout a spustit soubory na infikovaném systému. Navíc infikuje spouštěcí klíč v registru, aby přežil restart systému.</td></tr></tbody></table><p><br>Online mapa kybernetických hrozeb <a href="https://threatmap.checkpoint.com/ThreatPortal/livemap.html" target="_blank">ThreatCloud Map</a> sleduje v reálném čase, jak a kde po celém světě probíhají kybernetické útoky. Využívá pro to informací z Check Point ThreatCloud, největší sítě pro spolupráci v boji s kybernetickými hrozbami, a přináší data o hrozbách a trendech z celosvětové globální sítě senzorů. Databáze ThreatCloud analyzuje více než 250 milionů adres a detekuje případné nakažení boty. Obsahuje přes 11 milionů malwarových signatur a více než 5,5 milionu infikovaných webových stránek, každý den identifikuje miliony malwarových typů.</p><p>Více informací o aktuálních kyberhrozbách a útocích najdete zde: <a href="http://www.checkpoint.com/threat-prevention-resources/index.html" target="_blank">http://www.checkpoint.com/threat-prevention-resources/index.html</a>.</p>
Antivirová mobilní aplikace neoprávněně shromažďovala soukromá data a využívala je ke komerčním účelům.http://www.antivirus.cz/Blog/Stranky/antivirova-mobilni-aplikace-neopravnene-shromazdovala-soukroma-data-a-vyuzivala-je-ke-komercnim-ucelum.aspxAntivirová mobilní aplikace neoprávněně shromažďovala soukromá data a využívala je ke komerčním účelům.<p>​20 procent ze všech kyberútoků v Americe v 1. polovině roku 2017 byly mobilní útoky. Uživatelé jsou neustále varováni před hrozbami, takže instalují bezpečnostní software na ochranu zařízení, dat i soukromí. Ale kyberpodvodníci ve své aktivitě nepolevují, takže i při instalaci bezpečnostních aplikací je potřeba si dávat pozor.<br> <br>Výzkumníci společnosti Check Point nedávno objevili bezplatnou mobilní antivirovou aplikaci vyvinutou skupinou DU, vývojářem aplikací pro Android, která shromažďuje uživatelská data bez souhlasu vlastníků zařízení. Aplikace s názvem DU Antivirus Security byla z Google Play stažena až 50 milionkrát.<br> <br>Aplikace začne při prvním spuštění sbírat informace, jako jsou jedinečné identifikátory, seznam kontaktů, informace o hovorech a případně poloha zařízení. Informace jsou pak zašifrovány a odesílány na vzdálený server. Informace o zákaznících jsou později používány jinou aplikací nabízenou skupinou DU nazvanou "Caller ID & Call Block - DU Caller", která poskytuje uživatelům informace o příchozích telefonních hovorech. Takže zatímco uživatelé důvěřovali, že DU Antivirus Security ochrání jejich soukromé informace, ve skutečnosti se stal přesný opak. Aplikace shromažďovala osobní informace uživatelů bez jejich svolení a následně je používala pro komerční účely.<br> <br>Check Point informoval Google o nelegálním použití soukromých dat 21. srpna 2017 a aplikace byla z Google Play odstraněna 24. srpna 2017. Nová verze, která neobsahuje škodlivý kód, byla do Google Play nahrána 28. srpna 2017.<br> <br>Check Point navíc detekoval stejný kód v dalších 30 aplikacích, z nichž 12 bylo nalezeno na Google Play, tyto aplikace byly následně odstraněny. Aplikace pravděpodobně implementovaly kód jako externí knihovnu a přenesly ukradené data na stejný vzdálený server, jaký používá aplikace DU Caller. Jak vyplývá z dat Google Play, celkově se tento nedovolený kód týkal až 89 milionů uživatelů, kteří aplikace nainstalovali.<br> <br>Uživatelé, kteří nainstalovali DU Antivirus Security nebo jakoukoli z dalších aplikací, by si měli ověřit, že aktualizovali na nejnovější verzi, která tento kód už neobsahuje.<br> <br>"Antivirové aplikace z logických důvodů žádají o neobvykle široká oprávnění, a jsou tak dokonalým maskováním pro kyberzločince, kteří chtějí tato oprávnění zneužít. V některých případech jsou mobilní antivirové aplikace dokonce použity pro šíření malwaru. Uživatelé by si měli dávat pozor na podezřelá antivirová řešení a používat pro ochranu před mobilními hrozbami jen řešení od renomovaných prodejců, kteří opakovaně dokázali, že jsou skutečně schopni chránit mobilní zařízení, data a soukromí," říká Petr Kadrmas, Secuity Engineer Eastern Europe ve společnosti Check Point.</p><p>Více informací najdete na blogu společnosti Check Point:<br><a href="https://blog.checkpoint.com/2017/09/18/does-your-mobile-anti-virus-app-protect-or-infect-you/" target="_blank">https://blog.checkpoint.com/2017/09/18/does-your-mobile-anti-virus-app-protect-or-infect-you/</a><br></p>
Malware ExpensiveWall odesílá prémiové SMS zprávy bez vědomí uživatelů.http://www.antivirus.cz/Blog/Stranky/malware-expensivewall-odesila-premiove-sms-zpravy-bez-vedomi-uzivatelu.aspxMalware ExpensiveWall odesílá prémiové SMS zprávy bez vědomí uživatelů.<p>​Výzkumný tým společnosti Check Point odhalil novou variantu malwaru pro Android, která odesílá podvodné prémiové SMS zprávy a účtuje poplatky za falešné služby bez vědomí uživatelů. Podle údajů z Google Play infikoval malware nejméně 50 aplikací a než byly odstraněny, zaznamenal malware odhadem až 4,2 milionů stažení.</p><p>Nový malware "ExpensiveWall" je pojmenovaný po aplikaci "Lovely Wallpaper", což je jedna z aplikací, kterou používal k infikování zařízení. ExpensiveWall je nová varianta škodlivého kódu, který byl objeven na začátku tohoto roku na Google Play. Počet stažení celé malwarové rodiny může podle některých odhadů dosáhnout až 21,1 milionů.</p><p>ExpensiveWall se liší od ostatních členů této malwarové rodiny, protože využívá pokročilou maskovací techniku, kterou používají vývojáři malwaru k šifrování škodlivého kódu, což mu umožňuje vyhnout se antimalwarovým ochranám Google Play.</p><p>Check Point o ExpensiveWall informoval Google 7. srpna 2017 a Google okamžitě odstranil reportované aplikace ze svého obchodu. Nicméně i poté, co byly infikované aplikace odstraněny, se během několika dnů infiltroval do Google Play další vzorek a i když byl za 4 dny odstraněn, stihl nakazit dalších více než 5 000 zařízení.</p><p>Je důležité upozornit, že jakákoli infikovaná aplikace nainstalovaná na zařízení před tím, než byla odstraněna z Google Play, stále zůstává nainstalována na zařízeních uživatelů. Uživatelé, kteří tyto aplikace stáhli, jsou proto stále v nebezpečí a musí je ručně odstranit ze svých zařízení.</p><p>ExpensiveWall je v současné době navržen pouze pro generování zisku, ale podobný malware může být snadno upraven, aby využíval stejnou infrastrukturu pro pořizování fotek, záznam zvuku a dokonce i krádeže citlivých dat a jejich odesílání do velícího a řídícího serveru (Command and Control Server). Protože je tento malware schopen fungovat nepozorovaně, všechny škodlivé aktivity mohou probíhat bez vědomí oběti a jednalo by se tak o špičkový špionážní nástroj.</p><p>Více informací najdete na blogu společnosti Check Point:<br><a href="https://blog.checkpoint.com/2017/09/14/expensivewall-dangerous-packed-malware-google-play-will-hit-wallet/" target="_blank">https://blog.checkpoint.com/2017/09/14/expensivewall-dangerous-packed-malware-google-play-will-hit-wallet/</a><br></p>
Nová hrozba pro počítače s Windows 10, jakýkoli malware se může vyhnout bezpečnostním řešením.http://www.antivirus.cz/Blog/Stranky/nova-hrozba-pro-pocitace-s-windows-10-jakykoli-malware-se-muze-vyhnout-bezpecnostnim-resenim.aspxNová hrozba pro počítače s Windows 10, jakýkoli malware se může vyhnout bezpečnostním řešením.<p>​Jak roste počet kyberútoků a jejich rafinovanost, stále více organizací využívá pro svou ochranu kvalitní bezpečnostní produkty a investuje do důmyslných bezpečnostních strategií. Přesto Check Point objevil novou alarmující metodu, která umožňuje jakémukoli známému malwaru vyhnout se i těm nejběžnějším bezpečnostním řešením, jako jsou antiviry nové generace, kontrolní nástroje a antiransomware. Technika nazvaná Bashware využívá novou funkci Windows 10 nazvanou "Subsystem for Linux" (WSL), která ještě nedávno byla jen v betaverzi, ale nyní už je plně podporovanou funkcí Windows.</p><p>Díky ní je oblíbený linuxový terminál (Bash) dostupný pro uživatele operačního systému Windows a umožňuje nativně spustit soubory z Linuxu v operačním systému Windows.</p><p>Stávající bezpečnostní řešení stále nejsou přizpůsobeny sledování procesů spustitelných linuxových souborů v operačním systému Windows. Tento hybridní koncept umožňuje současně kombinovat systémy Linux a Windows. Kyberzločincům se tak otevírají nová dvířka, jak nepozorovaně spustit škodlivý kód a využít funkce WSL k maskovaní před bezpečnostními produkty, které ještě neimplementovaly odpovídající detekční mechanismy.</p><p>Bashware je nebezpečný, protože ukazuje, jak snadné je využít mechanismus WSL a maskovat malware před bezpečnostními produkty. Check Point testoval tuto techniku na většině předních antivirových a bezpečnostních produktů a malware nebyl detekován. Bashware tak může potenciálně ovlivnit libovolný z 400 milionů počítačů, které v současné době pracují se systémem Windows 10.</p><p>Check Point zároveň vyzval výrobce bezpečnostních řešení, aby okamžitě na novou útočnou metodu reagovali a upravili odpovídajícím způsobem svá řešení.</p><p><iframe width="560" height="315" src="https://www.youtube.com/embed/fwEQFMbHIV8?rel=0" frameborder="0"></iframe> </p> <p>Celou technickou zprávu najdete zde:<br><a href="https://research.checkpoint.com/beware-bashware-new-method-malware-bypass-security-solutions/" target="_blank">https://research.checkpoint.com/beware-bashware-new-method-malware-bypass-security-solutions/</a><br></p>
Check Point odhalil pozadí kyberútoků na více než 4000 společností, za kampaní stál mladý Nigerijec.http://www.antivirus.cz/Blog/Stranky/check-point-odhalil-pozadi-kyberutoku-na-vice-nez-4000-spolecnosti-za-kampani-stal-mlady-nigerijec.aspxCheck Point odhalil pozadí kyberútoků na více než 4000 společností, za kampaní stál mladý Nigerijec.<p>​<strong>Za vlnou kyberútoků na více než 4000 ropných, plynařských, těžebních, stavebních a dopravních společností nestála profesionální skupina, ale jeden mladý Nigerijec.</strong></p><p>Check Point Software Technologies odhalil pozadí kyberútoků na více než 4000 společností z oblastí energetiky, těžby a infrastruktury. Způsob provedení a rozsah kampaně původně ukazoval na státem sponzorované kyberútoky.</p><p>Kampaň byla spuštěna v dubnu 2017 a cílem byly i velké mezinárodní ropné, plynařské, výrobní, bankovní a stavební organizace. Celosvětový charakter kampaně a typ napadených organizací naznačovaly, že by za kampaní mohl stát profesionální gang nebo státem sponzorovaná agentura. Ve skutečnosti se ale jednalo o práci jednoho mladého Nigerijce, který žije poblíž hlavního města Nigérie. Na svém facebookovém účtu používá motto: „Zbohatni, nebo zemři při snaze zbohatnout.“</p><p>Při útocích byly použity podvodné e-maily, které napodobovaly zprávy od ropného a plynárenského giganta Saudi Aramco, druhého největšího producenta ropy na světě. E-maily cílily na finanční pracovníky a snahou bylo získal detaily o bankovních účtech nebo přimět zaměstnance otevřít infikovanou e-mailovou přílohu.</p><p>Útočník používal NetWire, trojan se vzdáleným přístupem, který umožňoval plnou kontrolu nad infikovanými stroji, a Hawkeye, program zaznamenávající stisknuté klávesy. Výsledkem kampaně bylo 14 úspěšných infekcí, které kyberútočníkovi vydělaly tisíce dolarů.</p><p>„Přestože útočník používal nekvalitní phishingové e-maily a generický malware, který je snadno dostupný online, jeho kampaň byla schopna infikovat několik organizací a cílit na tisíce dalších po celém světě. Ukazuje se, jak snadné je i pro relativně nezkušeného hackera spustit rozsáhlou kampaň, která úspěšně naruší obranu i velkých společností a umožní spáchat podvody,“ říká Maya Horowitz, Threat Intelligence Group Manager, Check Point. „Znovu se tak ukazuje, že organizace musí zlepšit své zabezpečení, aby byly v bezpečí před phishingem a podvody pomocí firemních e-mailů. Zároveň je důležité vzdělávat zaměstnance, aby byli opatrní při otevírání e mailů, a to dokonce i od společností nebo jednotlivců, které znají.“</p><p>Po odhalení původu kampaně informoval výzkumný tým společnosti Check Point úřady v Nigérii a mezinárodní orgány a sdílel s nimi své poznatky a zjištění.</p><p>Útoků realizovaných prostřednictvím firemních e-mailů (Business Email Compromise, BEC) v uplynulých 18 měsících dramaticky přibylo. <a href="https://www.ic3.gov/media/2016/160614.aspx" target="_blank">Podle FBI</a> došlo k 270% nárůstu počtu obětí od začátku roku 2016 a tyto útoky stály organizace po celém světě v období od roku 2013 do roku 2016 přes 3 miliardy dolarů. Odhaduje se také, že oběti BEC přijdou v průměru o 50 000 dolarů.</p><p>Check Point <a href="https://www.aec.cz/cz/produkty-a-sluzby">Anti-Spam & Email Security Software Blade</a> chrání zákazníky před podobnými podvody. Multidimenzionální přístup chrání e-mailovou infrastrukturu, poskytuje velmi přesný antispam a chrání organizace před nejrůznějšími viry a škodlivými kódy, které mohou být ukryté v e-mailech. <a href="https://www.aec.cz/cz/produkty-a-sluzby">SandBlast Agent s technologií Zero Phishing</a> navíc chrání organizace před novými a neznámými phishingovými stránkami i před hrozbami ukrytými v dokumentech a v odkazech e-mailů.<br></p>
V srpnu se opět zvýšil počet nevyžádaných e-mailů s nebezpečnou přílohou JS/Danger.http://www.antivirus.cz/Blog/Stranky/v-srpnu-se-opet-zvysil-pocet-nevyzadanych-e-mailu-s-nebezpecnou-prilohou-js-danger.aspxV srpnu se opět zvýšil počet nevyžádaných e-mailů s nebezpečnou přílohou JS/Danger.<p><strong>Dlouhodobě nejčetnější internetová hrozba v Česku během druhého prázdninového měsíce ještě více posilovala. </strong></p><p>Český internet v srpnu zaplavila nová vlna nebezpečných e-mailových příloh, které ESET detekuje jako JS/Danger.ScriptAttachment. Z výsledků pravidelné měsíční statistiky společnosti ESET vyplývá, že tento typ škodlivého kódu v srpnu představoval téměř každou čtvrtou detekovanou hrozbu. Dlouhodobě jde o nejčastější kybernetické nebezpečí, kterému čelí čeští uživatelé internetu. Oproti červenci podíl JS/Danger.ScriptAttachment na celkových hrozbách vzrostl o 6,5 procentního bodu na 24,01 procenta.</p><p>„JS/Danger.ScriptAttachment detekujeme již více než rok jako nejčetnější hrozbu, jejíž podíl se v jednotlivých měsících mění, ale neustále se drží na první příčce mezi nebezpečnými kódy. Zákeřnost tohoto kódu spočívá především v tom, že dokáže do napadeného zařízení stahovat malware, aniž by si toho uživatel všiml,“ říká Miroslav Dvořák, technický ředitel společnosti ESET. „Nejnebezpečnější v tomto ohledu může být ransomware, který zašifruje obsah napadeného zařízení a požaduje po oběti výkupné za opětovné zpřístupnění dat,“ dodává.</p><p>Mezi tzv. downloadery, tedy „stahovače“ dalších škodlivých kódů, patří i druhý nejčastěji zachycený malware JS/TrojanDownloader.Nemucod. Šíří se podobně jako JS/Danger.ScriptAttachmen přílohami nevyžádaných e-mailů. Během srpna JS/TrojanDownloader.Nemucod představoval 8,23 procenta všech detekcí škodlivých kódů a do žebříčku deseti nejčastějších hrozeb se vrátil po měsíční absenci.</p><p>Třetím nejčastěji zachyceným škodlivým kódem v Česku zůstává JS/Adware.AztecMedia. V srpnu však jeho podíl oproti červenci mírně klesl o 0,73 procentního bodu na hodnotu 3,63 procenta. Jde o adware, který v internetovém prohlížeči otevírá nevyžádaná okna s reklamou a v některých případech dokáže dokonce i změnit domovskou stránku internetového prohlížeče.</p><p>Nebezpečí od trojského koně JS/Chromex.Submeliux, který  se v červenci dotahoval na nejčetnější malware JS/Danger.ScriptAttachment a aspiroval na největší internetovou hrozbu v Česku, během srpna takřka pominulo. Tentokrát se JS/Chromex.Submeliux nedostal ani do první desítky nejčastěji zachycených škodlivých kódů.</p><h3>Deset nejčastějších internetových hrozeb v České republice za srpen 2017:</h3><p>1. JS/Danger.ScriptAttachment (24,01 %)<br>2. JS/TrojanDownloader.Nemucod (8,23 %)<br>3. JS/Adware.AztecMedia (3,63 %)<br>4. JS/ProxyChanger (3,06 %)<br>5. Win32/RiskWare.PEMalform (2,80 %)<br>6. VBS/TrojanDownloader.Agent.PDT (2,29 %)<br>7. SMB/Exploit.DoublePulsar (2,20 %)<br>8. VBS/TrojanDownloader.Agent.PDO (1,96 %)<br>9. PDF/TrojanDropper.Agent.AR (1,88 %)<br>10. Win32/GenKryptik (1,64 %)</p><p><img src="/Blog/PublishingImages/Clanky/2017/podil-hrozeb-srpen-2017.png" alt="" style="margin:5px;width:650px;" /><br> </p>
Nová hrozba se zaměřuje na hráče počítačových her.http://www.antivirus.cz/Blog/Stranky/nova-hrozba-se-zameruje-na-hrace-pocitacovych-her.aspxNová hrozba se zaměřuje na hráče počítačových her.<p>Analytici společnosti ESET objevili nový škodlivý kód Joao, který se šíří prostřednictvím počítačových her stahovaných z neoficiálních internetových obchodů. Joao je modulární škodlivý kód, který dokáže do infikovaného zařízení stáhnout v podstatě jakýkoli další malware a spustit ho. </p><p>„K jeho šíření útočníci zneužili několik her typu MMORPG jež modifikovali přidáním trojan downloaderu pro stahování dalšího malwaru,“ vysvětluje Václav Zubr, bezpečnostní expert společnosti ESET.</p><p>ESET zjistil, že útočníci zneužili několik her vytvořených společností Aeria Games. Pozměněné verze potom podstrčili návštěvníkům neoficiálních herních webů. Infikované počítače odesílaly na řídící server útočníků informace o nakaženém počítači a stahovaly další škodlivé komponenty jako software pro DDoS útok a kód pro špehování své oběti.</p><p>„Celý proces infekce je před oběťmi dobře skryt. Modifikované hry fungují tak, jak mají. Když se uživatel rozhodne stáhnout si takto upravenou hru, nic nebude nasvědčovat tomu, že je něco v nepořádku. Hráči bez spolehlivého bezpečnostního softwaru si takto nakazí své zařízení,“ varuje Zubr.</p><p>Uživatelé mohou přítomnost infekce zjistit tak, že si dají ve svém zařízení vyhledat soubor mskdbe.dll, což je knihovna tohoto škodlivého kódu. Útočníci však mohou tento soubor kdykoli přejmenovat, proto by měli hráči infekci vyhledat prostřednictvím bezpečnostních programů, například jednorázovým skenem u bezplatného nástroje ESET Online Scanner.</p><p>ESET blokuje poslední aktivní web šířící hry, které obsahují tento škodlivý kód, a informoval o tom i společnost Aeria Games.</p><p> </p><p> <img src="/Blog/PublishingImages/Clanky/2017/Joao-grand-fantasia.jpg" alt="" style="margin:5px;width:650px;" /> <br> <em>Obr. 1: Infikovaná verze hry Grand Fantasia distribuovaná prostřednictvím webu gf.ignitgames.to</em></p><p> <br> <strong>Tipy pro hráče, jak mají chránit svá zařízení:</strong></p><ul><li>Vždy, když to je možné, upřednostňujte oficiální zdroje. </li><li>Aktualizujte si hry. </li><li>I během hraní používejte spolehlivé a aktualizované bezpečnostní řešení s cloudovou ochranou. Některá z těchto řešení nabízí hráčům speciální herní mód. </li><li>Na fórech pro hráče buďte obezřetní. Útočníci se mohou vydávat za zdatné hráče, kteří chtějí pomoci těm méně zkušeným. Rozhodně proto nikomu nesdělujte své přihlašovací údaje hry. </li><li>Po ukončení používání služeb jakými jsou například Steam nebo Origin se z této služby odhlaste. </li></ul><p> </p><p> <img src="/Blog/PublishingImages/Clanky/2017/Joao-Mapa-zeme.png" alt="" style="margin:5px;width:650px;" /> <br> <em>Obr. 2: Mapa znázorňuje nejvíce postižené země</em><br></p>
Internetové hrozby v Česku: Chromex v červenci srovnal krok s malwarem Danger.http://www.antivirus.cz/Blog/Stranky/internetove-hrozby-v-cesku-chromex-v-cervenci-srovnal-krok-s-malwarem-danger.aspxInternetové hrozby v Česku: Chromex v červenci srovnal krok s malwarem Danger.<p>​<strong>ESET varuje před trojským koněm JS/Chromex.Submelius, který se šíří přes neoficiální streamovací služby.</strong></p><p>Sledování neoficiálních streamovacích stránek na internetu se během léta řadě Čechů nevyplatí. Mnoho těchto webů je totiž infikováno trojským koněm JS/Chromex.Submelius a pro spuštění videa vyžadují několikeré kliknutí na náhled videa, které otevírá nová okna prohlížeče a zobrazuje v nich reklamy. Tyto weby v některých případech fungují na doménách .cz a .sk a obsahují nabídky instalace škodlivých pluginů. Společnost ESET zaznamenala během července takřka stejný počet detekcí tohoto trojského koně jako u v poslední době nejčastější tuzemské internetové hrozby, malwaru JS/Danger.ScriptAttachment.</p><p>JS/Chromex.Submeliux o prvním prázdninovém měsíci představoval 16,72 procenta zachycených hrozeb, malware JS/Danger.ScriptAttachment dosáhl podílu 17,50 procenta. „Nárůst detekcí trojského koně JS/Chromex.Submeliux může souviset s obdobím prázdnin. Právě v této době více uživatelů využívá neoficiální streamovací služby a stahuje si nabízené pluginy,“ říká Miroslav Dvořák, technický ředitel společnosti ESET. „Pluginy však mají naprosto opačný efekt. Navíc mohou do napadeného zařízení instalovat downloader,“ vysvětluje Dvořák.</p><p>Nejčetnější internetovou hrozbou zůstává JS/Danger.ScriptAttachment. Tento škodlivý kód se šíří především prostřednictvím příloh nevyžádaných e-mailů. „Neškodí jen sám o sobě, dokáže do napadeného zařízení stáhnout další škodlivé kódy včetně vyděračského ransomware, který zašifruje obsah zařízení a požaduje po oběti výkupné,“ varuje Dvořák.</p><p>Třetí nejčastěji zaznamenanou hrozbou v červenci byl škodlivý kód JS/Adware.AztecMedia. Ten v internetovém prohlížeči otevírá nevyžádaná okna s reklamou. V některých případech dokáže dokonce i změnit domovskou stránku internetového prohlížeče. V červenci představoval 4,36 procenta zaznamenaných hrozeb v České republice.</p><p>Deset nejčastějších internetových hrozeb v České republice za červenec 2017:</p><p>1. JS/Danger.ScriptAttachment (17,50 %)<br>2. JS/Chromex.Submeliux (16,72 %)<br>3. JS/Adware.AztecMedia (4,36 %)<br>4. Win32/GenKryptik (2,29 %)<br>5. SMB/Exploit.DoublePulsar (2,25 %)<br>6. PDF/Fraud (1,90 %)<br>7. JS/Adware.BNXAds (1,88 %)<br>8. Java/Kryptik.FN (1,77 %)<br>9. Java/Kryptik.FL (1,76 %)<br>10. HTML/Frame (1,44 %)</p><p> </p><p><img src="/Blog/PublishingImages/Clanky/2017/podil-hrozeb-cervenec-2017.png" alt="" style="margin:5px;width:650px;" /> </p>