Měsíční přehled hrozeb pro Android
22.02.2021
Měsíční přehled hrozeb pro Android

​V česku přibyly mobilní aplikace, které ohrožují online platby. Zpravidla pocházejí z neoficiálních zdrojů.


V uplynulém měsíci ohrožovaly české uživatele, využívající zařízení na platformě Android, nejčastěji aplikace stahující bankovní malware. Ten dokáže obejít i verifikaci prostřednictvím SMS zprávy. Mezi hlavními riziky zůstala také špehovací aplikace Cerberus. Vyplývá to z pravidelné statistiky společnosti ESET, která sleduje nejčastější hrozby pro uživatele platformy Android z Česka.

V lednu se do popředí detekčních statistik hrozeb pro Android dostaly takzvané droppery. Jedná se o malware s jedinou funkcí – instalovat do zařízení jiný škodlivý kód. Dominoval především TrojanDropper.Agent.EHK.

“Tento malware slouží jako prostředník pro stažení a spuštění mnohem nebezpečnějšího škodlivého kódu. V Česku instaluje především bankovní malware Cerberus. Jde o kód, který obsahuje funkce pro obcházení verifikace plateb při placení online a slouží k okradení obětí,“ vysvětluje Martin Jirkal, vedoucí analytického oddělení v pražské pobočce firmy ESET.

Bankovní malware Cerberus podvodně vyláká příliš vysoká oprávnění tzv. usnadnění přístupu, která ve své legitimní formě umožňují používat telefon zrakově či sluchově postiženým uživatelům. Tato oprávnění útočníci následně zneužívají, aby získali kontrolu nad zařízením. Na dálku tak mohou přesměrovat hovory, přeposlat SMS nebo například smazat určitou aplikaci.

„Zneužití funkcí pro usnadnění přístupu slouží k tomu, aby útočníci deaktivovali bezpečnostní funkci Play Protect obchodu Google Play a následně mohli obcházet zabezpečení online plateb pomocí SMS,“ vysvětluje základní funkce Jirkal. „Podobné hrozby jsou jedním z důvodů, proč ověření platby pomocí SMS kódu nepovažujeme za příliš bezpečné. Naštěstí české banky nyní přecházejí na standard PSD2, kdy se platby ověřují bezpečněji.“

Podle expertů z ESET je Cerberus znám delší dobu, v České republice jej detekovali v menší míře. Původní vývojáři totiž svou činnost ukončili a kód k aplikaci Cerberus v srpnu roku 2020 zveřejnili na darknetu. Od té doby aktivita bankovního malware Cerberus stoupá a od ledna útočí i v Česku.

Stalkerware nadále oslabuje

Loňskou nejvýraznější hrozbou pro chytré telefony s operačním systémem Android byl stalkerware, tedy aplikace, které umožní uživatele špehovat. Několik měsíců ale objem jejich detekcí slábne. Nejvýraznější zástupce – stalkerware Cerberus – skončil v přehledu ESETu na druhém místě.

„Ačkoli název připomíná bankovního trojského koně, jde o zcela jiný typ hrozby. Stalkerware Cerberus je samostatná aplikace, kterou si stalker může stáhnout z webových stránek. Tento typ kódu umožní zařízení ovládat pomocí SMS příkazů a kontrolovat tak aktivity oběti,“ popisuje Jirkal.

Tuto špehovací aplikaci není možné stáhnout z oficiálního obchodu Google Play, protože porušuje několik jeho pravidel. Aplikaci její tvůrci vydávají za nástroj rodičovské kontroly a službu pro nalezení odcizeného zařízení. Příkazy v SMS zprávách umožní přesměrovat hovory, zablokovat některá čísla, zobrazit textové zprávy, pořídit fotografii, spustit GPS či mobilní data. Navíc lze tuto aplikaci v zařízení oběti stalkingu skrýt.

Adware, který dokáže ohrozit bankovnictví

Trojici nečastějších hrozeb uzavírá backdoor Triada. Jedná se o malware, který v některých verzích obsahuje funkce pro modifikaci SMS zpráv, čímž lze například obcházet ochranu online bankovnictví.

„V České republice Triadu útočníci používají zatím především pro zobrazování reklam. Její nejrizikovější verze tu nedetekujeme. To se ale bohužel může kdykoli změnit. Bankovní trojské koně jsou mezi kyber zločinci na vzestupu,“ podotýká Jirkal.“

Jak chránit zařízení před aktuálními mobilním malware

Mobilní malware pochází prakticky vždy z neoficiálního zdroje, jako jsou různá fóra či webové stránky. Za bezpečný zdroj aplikací lze považovat pouze obchod Google Play, v němž správci aktivně vyhledávají malware. Ochranu Play Protect, kterou nabízí obchod Play, je vhodné kombinovat s bezpečnostním programem určeným pro mobilní zařízení, který detekuje další podezřelé dění v telefonu.

„Doporučil bych uživatelům, aby si vybírali aplikace s dobrým hodnocením a delší historií. Pokud nějaká aplikace v obchodu není, porušuje zpravidla nějaké bezpečnostní principy. Zároveň bych byl opatrný s udělováním oprávnění. Různá práva zpřístupňují také vaše data – ať už jde o textové zprávy, kontakty, fotografie – a to představuje vždy riziko,“ uzavírá Jirkal.

Nejčastější kybernetické hrozby pro platformu Android v České republice za leden 2021:

1. Android/TrojanDropper.Agent.EHK trojan (6,06 %)
2. Android/Monitor.Cerberus application (3,94 %)
3. Android/Triada trojan (1,97 %)
4. Android/TrojanDownloader.Agent.KE trojan (1,94 %)
5. Android/Monitor.Guardian application (1,94 %)
6. Android/TrojanDropper.Agent.GUJ trojan (1,67 %)
7. Android/TrojanDropper.Agent.GQX trojan (1,64 %)
8. Android/TrojanDropper.Agent.FIS trojan (1,58 %)
9. Android/TrojanDropper.Agent.DKT trojan (1,25 %)
10. Android/TrojanDropper.Agent.DIL trojan (1,22 %)