Magazín · Novinky · ve středu 13. 4. 2022 18:00
Jsou naše mobily v bezpečí? Takhle vypadá moderní malware
Viry jsou problém, a to platí pro telefony stejně jako pro počítače. Můžete si říct, že když stahujete aplikace a hry jen z ověřených stránek, jste v bezpečí. Na Androidu je ale oficiální zdroj aplikací pouze jeden, kontrolovaný. Přesto se čas od času nějaký ten malware na nějaké miliony zařízení dostane. Čím to? Není snad multimiliardová společnost jako Google schopná si aplikace pohlídat? Jako vždy, není to tak jednoduché, jak se na první pohled může zdát.
Google aplikace před publikací ve svém obchodě kontroluje co nejpečlivěji. Ostatně odchodem každého uživatele, který se po čtení o androidových virech přesune na Apple, je nejvíce postižen právě Google. Bohužel extenzivním kontrolám novinky v obchodě nepodrobuje. Při číslech, které Androidí obchod s aplikacemi provází, se ani není čemu divit. Každou minutu zde přistane průměrně dva a půl aplikace, denně to pak dělá 3739 aplikací.
Jak už jsem zmiňoval, Google aplikace skenuje, jak nejlépe dokáže, bohužel pro něj se mobilní malware vyvíjí velmi rychle. Nejde vždy o nové typy útoků, často se objeví pouze vylepšená varianta, která dokáže obejít restrikce uvalené proti té minulé. Právě toto dělá nově objevený malware Octo.
Vychází původně z viru Exobot, který se na Android hrnul v roce 2016. Nově objevený Octo má s rodinou Exobot mnoho společného, stejně jako ona předchází dekompilaci kódu, která by mohla Googlu jeho nekalé plány prozradit. Také se při instalaci dokáže vyhnout monitorování službou Play Protect. Právě ta má být další pojistkou bezpečnosti na našich telefonech.
Zdroj: GoogleGoogle oživuje Play Store o nové AI funkce
Co už ale Octo s Exobotem nesdílí, je jeden z jeho typů útoků. Využívá totiž techniky ODF, podvodu na zařízení. Díky přístupu k funkcím přístupnosti dokáže na mobilu operovat a zároveň vypnout displej. Mezitím, co si tak myslíte, že je váš telefon vypnutý, Octo pracuje. Scrolluje, kliká, kopíruje, píše a dělá snad úplně cokoli, co by se útočníkům mohlo hodit.
Vir také dokáže zaznamenávat vaše kliknutí, a tak si zapamatovat třeba hesla, která píšete. Navíc dokáže narušit vaši SMS komunikaci a odnést si třeba ověřovací kódy k vašim účtům. Zvládne také zablokovat notifikace některých aplikací, aby se k vám vůbec nedostaly. Vir byl konkrétně nalezen v aplikaci maskující se jako čistič zařízení. Všimněte si, čistič zařízení.
Android má totiž ještě jednu skvělou funkci, která na desktopech chybí. Každá aplikace musí dostat přesně ta oprávnění, se kterými chce při svém fungování operovat. Váš nově stažený poznámkový blok si tak nezavolá, pokud jste mu to při instalaci nepovolili. Teoreticky si tak stačí dávat pozor, abyste při stahování dobře posoudili, zda vaše nová aplikace pro počasí nutně potřebuje procházet soubory či vaše kontakty.
Právě kvůli této funkci Androidu jsou pro injekce virů nejvhodnější takové aplikace, které potřebují důležitá oprávnění, aniž by se staly podezřelými. Právě čistič zařízení tak logicky bude chtít přístup třeba k souborům.
Co přesně dokáže moderní malware na mobilech natropit, může ilustrovat i nový vir Escobar z minulého měsíce. Opět jde o vývoj dřívějšího kousku; Escobar mezitím rozšiřuje kolekci aplikací, u kterých se snaží ukrást přihlašovací údaje, využívá kamery či mikrofon nebo sbírá kódy dvoufaktorového ověření.
Zdroj: Unsplash / Christian WiedigerYouTube Music pro Android zavádí funkci "hum to search"
Základní funkce viru se od většiny nijak neliší. U aplikací vytvoří vlastní překrytí, do nějž po vás bude chtít se přihlásit. Takto získá přihlašovací údaje. Zákeřný je v obcházení blokování překrytí u více než 190 bankovních institucí, což může jeho tvůrcům jednoduše pomoci k penězům.
Když byste si malware nevědomky stahovali, i tady by vás mohl zarazit právě velký list oprávnění, které po vás bude chtít. Tento souhlas pak využívá k pořizování audio i video nahrávek, čtení zpráv či dokonce sbírání dat o poloze zařízení.
U všech zmíněných případů je malware úmyslně umisťován do aplikací, jsou ale i případy, kdy tvůrci aplikací o jejich nebezpečnosti vůbec neví. Přesně to je nový případ Measurement Systems, který z normálu vybočuje způsobem začlenění v aplikacích i účelem sběru dat.
Measurement Systems platilo vývojářům za zakomponování jejich SDK do aplikací. Společnost také vývojářům slibovala detailní informace o uživatelské bázi. Firma měla mluvit o sběru dat pro poskytovatele internetu či finanční a energetické společnosti. Chtěla prý také data především z blízkého východu, střední a východní Evropy a Asie. Znamená to tak, že byla nejspíš výrazně zasažena i Česká republika.
Google po nahlášení problému výzkumníky ze dvou amerických univerzit aplikace využívající SDK Measurement Systems stáhnul, co přesně se s daty dělo ale nevíme, mohla posloužit třeba při cílení politických kampaní. Dohromady se tento malware dostal do alespoň šedesáti milionů zařízení.
Doména Measurement Systems byla registrována korporací Vostrom Holdings, která se složkami USA obchoduje prostřednictvím dceřiné Packet Forensics s.r.o. Tento investigativní nález amerického The Wall Street Journal ale Measurement Systems přímo popírá. Co přesně se tady stalo? Tak to se možná ani nedozvíme.
Takže jak se chránit? Dávejte si pozor na to, co stahujete. Když už se nedržíte pouze známých vydavatelů nebo alespoň hojně stahovaných aplikací, všímejte si oprávnění, které po vás aplikace chce, a zda vůči jejímu fungování nejsou neadekvátní. Nestaňte se ale paranoidními, Google Play není minové pole, jen je třeba alespoň trocha rozumu.