Výskumníci bezpečnostnej spoločnosti ESET objavili androidového trójskeho koňa, ktorý dokáže kradnúť prístupové údaje do mobilných bankových aplikácií, ktoré majú ľudia nainštalované na mobilných zariadeniach s operačným systémom Android.

Škodlivý kód používateľovi zobrazí falošný prístup do internet bankingu pri otvorení aplikácie banky a uzamkne monitor a čaká, kým obeť vloží svoje prihlasovacie údaje. Použitím týchto ukradnutých údajov sa útočníci dokážu dostať do účtu svojej obete a obrať ju o peniaze. Škodlivý kód môže dokonca posúvať útočníkom SMS správy z banky, ktoré prišli do infikovaného zariadenia a zároveň ich z neho aj zmazať. „Toto umožňuje obídenie SMSkového dvojfaktorového zabezpečenia bez toho, aby to vyvolalo podozrenie u majiteľa infikovaného zariadenia,“ vysvetľuje Lukáš Štefanko, výskumník škodlivého kódu zo spoločnosti ESET, ktorý sa špecializuje na androidový malware.
Prekrytý prihlasovací panel do internet bankingu

Trójsky kôň sa šíri ako imitácia aplikácie Flash Player. Po stiahnutí a inštalácii si aplikácia vyžiada administrátorské práva, aby bola chránená pred jednoduchou odinštaláciou. Následne si škodlivý kód preverí, či je na zariadení nainštalovaná aplikácia jednej z cieľových bánk. Ak áno, zo svojho riadiaceho servera získa falošný prihlasovací panel do aplikácie, ktorej výzor kopíruje skutočný prihlasovací panel do bankovej aplikácie. Keď si potom obeť otvorí bankovú aplikáciu, zobrazí sa jej falošný prihlasovací panel prekrývajúci skutočný prihlasovací panel. Obrazovka infikovaného zariadenia je v tomto momente zablokovaná až do momentu, kedy obeť do panela vloží svoje prihlasovacie údaje.

Stále sa zlepšuje

Tento škodlivý kód sa neustále vyvíja. Zatiaľ čo jeho prvé verzie boli jednoduché a ich škodlivý úmysel bol jednoducho spozorovateľný, aj aktuálnejšie verzie majú lepšie šifrovanie a aj sa lepšie zatajujú. Kampaň objavená ESETom sa zameriava na zákazníkov veľkých bánk v Austrálii, na Novom Zélande a v Turecku. Škodlivý kód však môže byť jednoducho prerobený tak, aby útočil na zákazníkov bánk aj v úplne iných regiónoch. „Útok je veľký a jednoduchým spôsobom môže byť presmerovaný na iné vybrané banky,“ varuje Štefanko.

Pozor aj na falošné hry

ESET zároveň analyzoval jeden z najväčších útokov cielených na oficiálny digitálny obchod Google Play a jeho zákazníkov. Za posledných sedem mesiacov sa kybernetickým kriminálnikom podarilo vytvoriť minimálne 343 škodlivých aplikácií, ktoré na pozadí otvárajú porno stránky a klikajú na inzerciu v nich. Z toho je odvodený ich názov Porn clicker trojany. Používateľovi tieto aplikácie míňajú predplatené dáta u operátora, prípadne navyšujú jeho účet za mobilné internetové služby. Porn clicker trojany sa maskujú za legitímne aplikácie, obzvlášť známe hry. V priemere sa zabezpečenie Google Play podarilo za týždeň obísť desiatim novým porn clickerom.
Recenzie na aplikácie – čítajte pozorne

Po inštalácii generujú aplikácie falošné kliky na porno webstránkach, ktoré pootvárajú na pozadí. To operátorom týchto škodlivých aplikácií generuje zisk. Používateľ je tak oberaný o svoje mobilné internetové dáta. Napriek tomu, že porn clickery úspešne zatajujú svoju skutočnú činnosť, bežní používatelia majú veľmi dobrú šancu sa im vyhnúť. „Hodnotenia týchto falošných aplikácií odzrkadľujú zlú skúsenosť ich používateľov. Negatívne hodnotenia ďaleko prevyšujú počet pozitívnych. Hodnotenia ostatne považujeme za mocný bezpečnostný nástroj a používateľom odporúčame si ich všímať,“ uzatvára Štefanko. ESET tieto mobilné trójske kone chytajú.

Zaujímavosťou je, že niektoré verzie porn clickerov kontrolujú, či je na infikovanom zariadení nainštalovaná antivírusová aplikácia. V prípade jej prítomnosti porn clicker svoju škodlivú aktivitu nespustí. Bezpečnostná mobilná aplikácia vás však ochráni aj pred škodlivým kódom, ktorý sa antivírusu nezľakne. Vyskúšať môžete napríklad ESET Mobile Security pre Android, za prvý mesiac testovania nič neplatíte.

Kyberzločinci sa v poslednej dobe takmer úplne vzdali pokusov o narušenie bezpečnosti telefónov Apple iPhone a viac ako 99% všetkých nových mobilných malware hrozieb zistených v posledných troch mesiacoch bolo zameraných na OS Android.

Nový výskum fínskej bezpečnostnej firmy uvádza, že v prvom štvrťroku 2014 zistili 277 nových druhov malwarových hrozieb. Z nich 275 bolo zameraných na operačný systém Android, jediný na telefóny iPhone a jeden na zaniknutý softvér Symbian od Nokia.

Zatiaľ čo Android je dlhodobo hlavným terčom kybernetických zločincov snažiacich sa využiť boom smartphonov, percento nových druhov malwaru určeného pre operačný systém od Google stále rastie.

Počas rovnakého obdobia v roku 2013 bolo zo všetkých nových mobilných malware zistených 91% zameraných na OS Android. Ale, ako stále viac a viac užívateľov kupuje smartphony založené na OS Android, je jasné že zločinci nasledujú peniaze a preto sa zameriavajú na najpopulárnejší mobilný operačný systém na svete.

Vzdali sa Apple

Rovnako je jasné, že ľudia píšuci malware sa takmer úplne vzdali snahy o prelomenie prísnych bezpečnostných opatrení Apple.

Jediný malware iOS detekovaný bezpečnostnou spoločnosťou bol napísaný iba pre tzv. “jailbreaknuté” iPhone telefóny, čo znamená, že drvivá väčšina užívateľov iPhone je aj naďalej úplne v bezpečí pred mobilným malwarom.

Ešte musí byť overený prípad malwaru nájdeného v Apple App Store, šesť rokov potom, čo bol otvorený. Vďaka tomuto prípadu nazval Mikko Hyppönen App Store „najväčšou bezpečnostnou inováciou posledných desiatich rokov.“

Zložité a sofistikované

Škodlivý malware pre Android detekovaný v danom období preukázal pokračujúci nárast zložitosti a prepracovanosti – rovnako ako samotný nárast počtu hrozieb. Prvý štvrťrok je rovnako pozoruhodný viditeľným nárastom hrozieb, ako aj daným typom detekovaného mobilného malware.

V tomto období sa objavil prvý “cryptocurrency Miner” pre OS Android, čo je vírus ktorý donúti zariadenie dolovať virtuálne meny, ako je napríklad litecoin.

Taktiež bol objavený prvý Android bootkit, ktorý ovplyvňuje skorú fázu bootovania prístroja, takže je ho veľmi ťažké detekovať a odstrániť.

A rovnako boli objavené aj prvý TOR trojan a prvý bankový Windows trojan vstupujúce do sytému Androidu.

Smerovanie autorov malwaru

Pozoruhodný je objav vírusov dolujúcich virtuálne meny, tzv. cryptocurrency miners.

Snažíť sa ťažiť virtuálnu menu bitcoiny pomocou smartfónu je ako snažiť sa ťažiť uhlie pomocou špáradla. Objav týchto druhov malwaru však ukazuje, kam kyberzločinci smerujú.

„Tieto trendy nám poskytujú smerovanie autorov malware,“ povedal Hyppönen. “V nasledujúcich mesiacoch pravdepodobne uvidíme ďalšie. Napríklad: mobilné telefóny sú stále výkonnejšie, čo umožňuje kyberzločincom použiť ich pri ťažbe virtuálnej meny a profitovať z nich.„

Špecialisti zaoberajúci sa bezpečnosťou súkromia na stránke jammer-store.com neodporúčajú inštaláciu dialerov tretích strán do mobilných zariadení s OS Android. Ak dialer nainštalujete, pokazí sa a objavia sa rôzne problémy. Nezáleží na tom aký telefón používate, pretože všetky integrované dialery sú skvelé a vy nepotrebujete inštalovať ďalšie. Sú vytvorené, aby fungovali najlepším možným spôsobom, takže by ste nemali mať žiadne starosti s ich funkcionalitou.

Možno ste počuli o aplikácii pre OS Android, ktorá dokáže to isté ako dialer. Neverte tomu! Pravdepodobne bude kradnúť informácie o vašich kontaktoch a začne odosielať veľa nevyžiadaných SMS správ a vy o tom ani nebudete vedieť. A budete absolútne prekvapení, aký účet na konci mesiaca dostanete. Nepochybujte o tom, kam všetky Vaše peniaze odišli. Ako prvé napadne väčšinu ľudí, že chyba je na strane operátora, ale to je omyl. Váš telefón bol napadnutý a odoslal veľa správ. To je dôvod vášho desivého účtu. V tomto prípade to najlepšie, čo môžete urobiť, je telefón vypnúť alebo použiť zablokovanie signálu mobilného telefónu a odniesť svoje zariadenie odborníkom, ktorí ten neporiadok upracú.

Stojí za zmienku, že mobilné telefóny bežiace na OS Android sú najzraniteľnejšie. Chceme upozorniť všetkých používateľov smartfónov, že nie je nutné inštalovať žiadne aplikácie, ktoré nie sú ponúkané v oficiálnom obchode operačného systému – Google Play. To platí nie len pre dialery, ale aj pre všetky ostatné aplikácie ako sú hry, hudobné prehrávače, slovníky atď. Bude lepšie minúť peniaze na niečo spoľahlivé, než inštalovať softvér zadarmo, ktorý po chvíli spôsobí veľa problémov.

Keď sme začali hovoriť o dialery, treba povedať, že je zbytočné inštalovať ho, pretože pôvodný dialer, ktorý je integrovaný v telefóne je schopný splniť všetky vaše potreby a nebudete sklamaní jeho funkciami. Naša rada – nemeňte ho! Ale ak budete aj tak trvať na zmene, je veľká šanca, že vystavíte svoj mobilný telefón malwaru (sme si istí, že nechcete mať takéto problémy). Dúfame, že sme vás presvedčili, že nepotrebujete meniť váš dialer – nebol by lepší, ale horší.

Hlavným problémom je, že väčšina ľudí nevie o zraniteľnosti moderných smartfónov. Myslia si, že nech si nainštalujú akúkoľvek aplikáciu, nič sa nemôže stať. Zmienili sme sa, že môžete mať veľa problémov, ak je váš smarfón napadnutý. Takže si radšej prečítajte viac informácií o vašom mobilnom telefóne a jeho chybách zabezpečenia. Pretože týmto spôsobom budete informovaní a v prípade, že bude napadnutý škodlivým softvérom, budete vedieť, čo robiť.

Hackeri trávia veľa času vymýšľaním stále väčšieho množstva malwaru, takže si nemyslite, že neexistuje žiadna šanca aby bolo vaše zariadenie hacknuté, pretože to nie je pravda. Vaše osobné údaje môžu byť veľmi ľahko ukradnuté, takže si ich do svojho telefónu neukladajte.

Pred niekoľkými týždňami sa na Slovensku šírila nebezpečná SMS správa. Prišla od vami blízkeho človeka a pokúšala sa vás prinútiť k tomu, aby ste si do telefónu nainštalovali škodlivú aplikáciu, ktorá sleduje prichádzajúce SMS správy z vašej banky.

Naletelo jej mnoho ľudí, vrátane riaditeľov firiem. Počítačové hrozby kradnúce peniaze sa totiž pomaly presúvajú z počítačov aj do mobilných telefónov. Pred podobnými vírusmi a trójskymi koňmi vás ochráni kvalitný mobilný antivírus, napríklad ESET Mobile Security, ktorého základnú verziu si môžete z Google Play stiahnuť zdarma.

Na vzrastajúci počet hrozieb útočiacich na používateľov mobilných telefónov a tabletov upozorňuje antivírusová spoločnosť ESET už niekoľko rokov. Posledných niekoľko týždňov však ukázalo, že tieto hrozby neobchádzajú ani Slovensko.

V druhej polovici mája upozornili svojich zákazníkov traja hlavní slovenskí operátori na škodlivé esemesky, ktoré sa začali šíriť medzi slovenskými používateľmi mobilných zariadení s operačným systémom Android. Obsahom SMS bola správa v azbuke v znení „je toto tvoja fotka?“ s linkom na škodlivý kód. Zvedaví príjemcovia správy si po otvorení linku infikovali telefón alebo tablet škodlivým kódom. Nakazený telefón následne zaslal túto istú SMS na veľký počet kontaktov uložených v tomto telefóne.

SMS trójsky kód sa zameriaval na sledovanie prichádzajúcich SMS správ, v ktorých vyhľadával informácie o používateľovom zostatku na účte. Minulý rok sa šíril po rusky hovoriacich krajinách a podľa odhadu spoločnosti ESET tento škodlivý kód nie je zameraný na používateľov zo Slovenska a dostal sa sem skôr náhodne, nie úmyselne.

Za údaje pýta výkupné

Tento mesiac zase ESET analyzoval úplne prvý škodlivý kód, ktorý na mobilných zariadeniach s operačným systémom Android šifruje súbory na pamäťových kartách a za ich odblokovanie požaduje výkupné. Takéto hrozby majú všeobecný názov Filecoder.

Hrozba vyhľadá na SD karte dokumenty, fotografie a nahrávky a zašifruje ich. Na infikovanom zariadení zobrazí varovanie v ruštine, ktoré majiteľovi smartfónu alebo tabletu tvrdí, že je zablokované z dôvodu „distribúcie detskej pornografie, zoofílie a iných perverzností“. Ako výkupné má používateľ zaplatiť 260 ukrajinských hrivien (zhruba 16 eur) cez službu MoneyXy. Týmto spôsobom obeť nemôže vystopovať, kto je útočníkom a komu zasiela výkupné.

Hláška obeť ironicky upozorní, aby si z transakcie nezabudol uchovať bloček. Infikované zariadenie má byť odblokované do 24 hodín. V prípade ignorovania výzvy majú byť všetky údaje z mobilného zariadenia vymazané.