Největším rizikem jsou pro české uživatele aplikace infikované bankovním malwarem
21.09.2021
Největším rizikem jsou pro české uživatele aplikace infikované bankovním malwarem

V srpnu bezpečnostní analytici detekovali nárůst tzv. „dropperů”, škodlivých kódů, které ohrozí data uživatelů jiným, nebezpečnějším malwarem.


Mezi největšími hrozbami pro uživatele zařízení s operačním systémem Android zůstal i v srpnu bankovní malware Cerberus. Počet detekcí tohoto škodlivého kódu v srpnu vzrostl. Malware infikuje zařízení prostřednictvím dropperů. Ty jsou často kopiemi legitimních programů či služeb, které jsou v obchodu Google Play placené či nedostupné pro platformu Android. Vyplývá to z pravidelné statistiky hrozeb společnosti ESET.

V srpnu zaznamenali analytici větší objem takzvaných dropperů, které se vydávají za známé nástroje a služby. Pokud je uživatel stáhne, infikují zařízení nebezpečnější hrozbou. Tento krok navíc používají útočníci proto, aby zmátli uživatele a případně skryli malware před méně kvalitními bezpečnostními programy.

Naopak došlo k poklesu detekcí škodlivého kódu typu stalkerware, který se v přehledu hrozeb pravidelně objevoval v předchozích měsících​. Jedná se o typ „špehovacího“ malwaru, který sloužil k monitorovaní digitálních aktivit oběti. Za poklesem je podle expertů dlouhodobá snaha bezpečnostních společností a Google před těmito riziky varovat.

„Droppery fungují jako tzv. obálky. Jde o aplikace z neoficiálních zdrojů, jejichž jedinou funkcionalitou je infikovat telefon dalším škodlivým kódem. Jednotlivé droppery mají velké množství verzí a rychle se mění, to proto, aby se dokázaly co nejefektivněji skrýt před detekčními nástroji,“ vysvětluje Martin Jirkal, vedoucí analytického týmu v pražské pobočce společnosti ESET.

Nejčastěji se droppery šířily z neoficiálních zdrojů, jako jsou různá fóra, a instalovaly malware Cerberus, jehož aktivitu v českém prostředí sledují analytici už od začátku tohoto roku. Trojský kůň Cerberus je rizikem zejména pro bankovní služby. Obsahuje například funkce pro odcizení přihlašovacích údajů z legitimních stránek bank anebo ke čtení SMS kódů, a tím obcházení dvoufázového ověření, včetně Google Authenticatoru. Rizikový je především při placení přes internetové bankovnictví, nikoli v bankovní aplikaci.

„Malware Cerberus je v současnosti velmi populární malware, jsou s ním spojené téměř tři čtvrtiny detekcí pro systém Android. Jeho zdrojový kód byl totiž zveřejněn na darkwebu, a to znamená, že ho může nyní kdokoli stahovat a upravovat,” říká Jirkal.

Malware se maskuje za známé nástroje a služby

Nejčastěji detekovanými hrozbami byly droppery Agent.GOF a Agent.GUL. Oba dva detekované typy škodlivého kódu jsou si velmi podobné. Uživatel na ně narazí při stahování kopií populárních aplikací z neoficiálních zdrojů.

„Dropper GOF se maskoval za několik známých nástrojů a služeb, jmenovitě například za Pinterest. Uživatel na něj mohl narazit také v aplikaci na sledování statistik fotbalových zápasů nebo čtení ekonomických médií,” popisuje Jirkal. „Pro verzi GUL je zase typické, že parazituje na aplikacích od výrobců populárních mobilních telefonů a inteligentních hodinek. Pro šíření tohoto malwaru mohou být případně využity i nelegální modifikace populárních her.”

Na třetím místě se umístil trojský kůň Andreed. Ve srovnání s předchozími detekcemi se jedná o méně rizikový malware, který se opět vyskytoval v aplikacích z neoficiálních zdrojů a zobrazuje nevyžádanou agresivní reklamu.

Před hrozbou Cerberus ochrání oficiální bankovní aplikace a bezpečností software

Pro detekované hrozby za měsíc srpen je společné, že si je uživatel může stáhnout do zařízení sám z neoficiálních aplikačních obchodů nebo webových stránek. Důvodem tohoto chování bývá fakt, že uživatel v oficiálním obchodě Google Play nenalezl hledanou aplikaci nebo za ni není ochoten zaplatit. Ochrana před hrozbami je tak z velké části v rukou samotného uživatele. Proto platí doporučení využívat pouze aplikace z oficiálního obchodu, kde bezpečnostní tým Google Play své aplikace proaktivně prověřuje.

„Na místě je také si do telefonu nainstalovat renomovaný bezpečnostní software, který potenciální riziko včas odhalí. Uživateli to nepřidělává žádné starosti a je to přitom nejspolehlivější prevence. Cerberus navíc ohrožuje jen internetové bankovnictví, nikoli aplikace bank. Osobně bych upřednostnil používání oficiálních bankovních aplikací a ověřování plateb přímo v nich pomocí otisků prstů,” dodává Jirkal z ESETu.

Z preventivní důvodů je také velmi důležité pravidelně aktualizovat operační systém i všechny aplikace v telefonu.

Nejčastější kybernetické hrozby v České republice pro platformu Android za srpen 2021:

1. Android/TrojanDropper.Agent.GOF trojan (23,33 %)
2. Android/TrojanDropper.Agent.GUL trojan (10,89 %)
3. Android/Andreed trojan (6,10 %)
4. Android/TrojanDropper.Agent.DIL trojan (4,59 %)
5. Android/TrojanDropper.Agent.HSN trojan (3,92 %)
6. Android/TrojanDropper.Agent.IEG trojan (3,34 %)
7. Android/TrojanDropper.Agent.HQQ trojan (2,21 %)
8. Android/TrojanDropper.Agent.IGY trojan (2,10 %)
9. Android/TrojanDownloader.Agent.KE trojan (1,87 %)
10. Android/TrojanDownloader.Agent.WI trojan (1,84 %)