Nejvážnějším rizikem pro uživatele telefonů s operačním systémem Android zůstává stalkerware. Tento typ škodlivého kódu se často zneužívá ke sledování partnera bez jeho vědomí. Mezi nejčastější detekce se vrátil také reklamní malware. Vyplývá to z pravidelných statistik společnosti ESET.
V květnu překvalifikovali analytici z ESETu sledovací aplikace z potenciálně nechtěných na škodlivý kód. Detekční pravidla pro malware se obvykle stanovují tak, aby chránila vlastníka zařízení. Pokud je možné nějakou aplikaci v zařízení skrýt, představuje z perspektivy vlastníka problém.
„Stalkerware se jeho tvůrci snaží vydávat za aplikace ke sledování zařízení pro případ krádeže nebo nástroje rodičovské kontroly. Je zde ale několik zásadních rozdílů. Například legitimní sledovací aplikace není možné na zařízení skrýt. Aplikace, které detekujeme, mají několik desítek funkcí. Krom určení polohy, tak můžete číst SMS nebo přesměrovat hovor,“ vysvětluje rozdíly Martin Jirkal, vedoucí analytického oddělení z české pobočky firmy ESET.
Stalker v případě těchto aplikací potřebuje ve většině případů přístup k zařízení. Nainstaluje na ně stalkerware a v systému jej skryje. Velmi často se tyto aplikace označují také jako spouseware – spouse je anglický výraz pro partnera, spouseware tedy slouží ke sledování partnera.
„Není to nic těžkého. Každý občas někde necháme ležet na okamžik telefon. V případě partnerů může útočník lhát, že jen nainstaluje bezpečnostní program, pro případ že na dovolené oběť telefon ztratí. Pokud se jedná o stalkera může v krajním případě získat přehled o veškeré komunikaci oběti prostřednictvím telefonu, tedy s kým telefonuje nebo komu a co píše. Může také na dálku blokovat některé kontakty nebo vybrané telefonáty přesměrovat na své číslo. Možnosti zneužití jsou opravdu široké,“ dodává.
Stalkerware lze stáhnout z neoficiálních zdrojů
Nejčastěji detekovaným stalkerwarem v České republice je aplikace Cerberus. Krom běžných anti-theft funkcí (například sledování polohy, fotografie či vymazání zařízení na dálku) dokáže také číst SMS, přesměrovat hovory, ovládat zařízení pomocí SMS příkazů nebo třeba nahrát a odeslat útočníkovi video. Navíc je možné aplikaci v systému skrýt. Oběť se tak o sledování nedozví.
Cerberus je možné stáhnout pouze z webových stránek mimo oficiální obchod. Aplikace působí lákavě, protože má řadu pochvalných recenzí.
„Aplikace Cerberus byla až do roku 2018 dostupná i v oficiálním obchodě. Pak Google změnil podmínky a některé funkce označil za rizikové, šlo například o SMS příkazy a možnost aplikaci skrýt. Sledovací aplikace totiž dle podmínek Google Play musí jít zřetelně identifikovat. Aplikace byla proto z obchodu odstraněna,“ popisuje Jirkal.
Na předních příčkách statistik se objevuje také Guardian, jedná se o součást čínské monitorovací aplikace.
„V praxi jsou to asistenční nástroje, které jsou předinstalované v telefonech ZTE. Primárně má sloužit jako ochrana při ztrátě či odcizení zařízení. Nicméně aplikace může být zneužita i k monitoringu. Rizikovým předinstalovaným softwarem jsou známé především levné telefony. Proto je vhodné dát přednost důvěryhodným výrobcům,“ popisuje Jirkal.
Stalkerware se objevil i v Google Play
Minulý měsíc varoval ESET také před stalkerwarem, který bylo možné stáhnout z Google Play. Na problémovou aplikaci upozornili analytici také samotné správce aplikačního obchodu.
„Jelikož jsme od zástupců Google nedostali žádnou zpětnou vazbu, předpokládáme, že vývojáři aplikace AndroidLost s bezpečnostním týmem Google komunikují a pracují na tom, aby jejich aplikace v budoucnu neobsahovala žádné rizikové funkce,“ říká k situaci Jirkal.
Po skončení pandemie posílil reklamní adware
Třetí nejčastější hrozbou byl pro Čechy trojský kůň Agent.BPO. Ten dokáže ovládat aplikace pro prohlížení internetu, modifikovat URL adresy, instalovat další malware. V Česku nejčastěji zobrazuje nevyžádanou reklamu prostřednictvím tzv. adware.
„Adware pro uživatele nepředstavuje přímou hrozbu, nicméně snižuje komfort při používání mobilního zařízení. Reklamní inzeráty často odkazují na stažení infikovaných doplňků či aplikací nebo na podvodné stránky, které, v případě jejich stažení a instalace, mohou pro uživatele představovat podstatně větší riziko. Ovšem i zobrazováním legitimní reklamy vydělává útočník na úkor uživatele,“ vysvětluje Jirkal.
Agent.BPO vyniká také svou schopností skrývat se jako komponenta uživatelského rozhraní. Uživatel tak prakticky nemá možnost problémovou aplikaci odstranit a reklamy se zbavit.
„Tento typ trojského koně si uživatel zpravidla stáhne v nějaké aplikaci mimo oficiální obchod. Pokud má uživatel dojem, že se mu v jeho zařízení zobrazuje příliš mnoho reklamy, doporučil bych instalovat důvěryhodný bezpečnostní software určený pro mobilní zařízení a spustit detekci. Obecně je nejlepší prevencí instalovat aplikace jen z oficiálního obchodu,“ radí Jirkal.
Nejčastější kybernetické hrozby pro platformu Android v České republice za červen 2020:
1. Application.Android/Monitor.Cerberus (3,16 %)
2. Application.Android/Monitor.Guardian (3,04 %)
3. Trojan.Android/Agent.BPO (1,79 %)
4. Trojan.Android/TrojanDropper.Agent.CKA (1,79 %)
5. Trojan.Android/Agent.ASH (1,70 %)
6. Application.Android/Monitor.Androidlost (1,54 %)
7. Trojan.Android/Spy.SmsSpy.PD (1,45 %)
8. Trojan.Android/Hiddad.VH (1,30 %)
9. Trojan.Android/TrojanDropper.Agent.DDH (1,28 %)
10. Trojan.Android/TrojanDropper.Agent.ETD (1,23 %)
Odborníci ze společnosti Kaspersky objevili nový typ stalkerwaru, jehož funkce jsou daleko zákeřnější než u ostatních známých softwarů tohoto druhu.
Získal jméno MonitorMinor a útočníkům umožňuje sledovat aktivity a získat přístup k jakýmkoliv datům na napadených zařízeních. Útočníci, většinou partneři či kolegové, prostřednictvím tohoto komerčního softwaru mohou dokonce číst konverzace v oblíbených messengerech a na sociálních sítích.
Stalkerware umí nabourávat soukromí uživatelů
Podstatou stalkerwaru je nabourávat soukromí uživatelů, zneužívat osobní údaje a nepovoleně tak vstupovat do cizích životů. Pokud dochází k soustavnému monitorování a kontrole soukromí je v konečném důsledku více poškozeno duševní zdraví oběti, než její počítač či chytrý telefon. Tvůrci MonitorMinor se ale ničeho neštítí a jdou mnohem dál. Mají velmi dobré povědomí o anti-stalkerwarových nástrojích, kterými jsou vybaveny oblíbené aplikace. Ty se snaží obelhat a vyhnout se detekci.
Zatímco základní stalkerware používá technologii geofencig, která umožňuje útočníkovi sledovat polohu zařízení a většinou zachycuje i SMS a volání, MonitorMinor jde o několik kroků dál. Hlavní pozornost totiž soustředí na messengery, kam se v současnosti přesunuje veškerá komunikace a výměna dat mezi uživateli. Snaží se proto získat přístup k těmto datům prostřednictvím nejoblíbenějších současných komunikačních nástrojů.
Přímá komunikace mezi aplikacemi je chráněna sandboxem
V „bezpečném“ operačním systému Android je přímá komunikace mezi aplikacemi chráněna sandboxem. To se dá ale obejít nainstalováním aplikace typu superuser (SU utility), která umožňuje rootování a přístup k systému. Po nainstalování SU utility přestanou fungovat bezpečnostní mechanismy zařízení. Pomocí tohoto nástroje tak tvůrci MonitorMinor získají plný přístup k datům v celé řadě oblíbených komunikačních aplikací jako jsou Hangouts, Instagram, Skype, Snapchat a další.
Díky rootování mohou útočníci (dalo by se hovořit o pronásledovatelích) získat přístup i ke kódům či gestům nutným pro odemknutí obrazovky. V situaci, kdy jsou poblíž zařízení, si jej tak mohou odemknout a libovolně procházet či přenastavovat. S touto funkcí se odborníci Kaspersky doposud u žádné jiné mobilní hrozby nesetkali.
Stalker-software je schopen zachytit jakoukoliv aktivitu v aplikacích
Dokonce i bez rootování je tento stalkerware velmi efektivní. Ke sledování soukromí zneužívá Accessibility Service API, díky které mohou se zařízeními jednoduše zacházet i lidé se zdravotním postižením. Prostřednictvím tohoto rozhraní je stalkerware schopen zachytit jakoukoliv aktivitu v aplikacích a přenášet zvuky v reálném čase.
Stalkerware MonitorMinor dále umožňuje útočníkům provádět následující aktivity:
- Ovládat zařízení pomocí SMS příkazů
- Streamovat video z kamer zařízení v reálném čase
- Zaznamenávat zvuk z mikrofonů zařízení
- Zobrazit historii vyhledávání v prohlížeči Google Chrome
- Zobrazit statistiku využívání určitých aplikací
- Zobrazit soubory uložené na interním úložišti zařízení
- Přístup ke kontaktům
- Zobrazit systémové logy
„MonitorMinor je v mnoha ohledech nebezpečnější než ostatní stalkerwary, protože kombinuje různé druhy sledovacích funkcí, z nichž některé jsou zcela unikátní. Detekovat jej na zařízení oběti je přitom velmi obtížné. Tato konkrétní aplikace je neuvěřitelně invazivní – svou oběť zcela zbavuje jakéhokoliv digitálního soukromí. Útočníkovi přitom dokonce umožňuje retrospektivně nahlédnout na aktivity oběti,“ komentuje Viktor Čebyšev, odborník na kybernetickou bezpečnost ve společnosti Kaspersky.
„Tato a podobné aplikace jen zdůrazňují, jak je důležitá ochrana před stalkerwarem a společné úsilí v boji za soukromí. Proto o této aplikaci informujeme nejen naše zákazníky, ale i ostatní uživatele. K nim se informace dostaly prostřednictvím našich partnerů, se kterými se podílíme na aktivitách Koalice proti stalkerwaru.“
Z telemetrie společnosti Kaspersky vyplývá, že nejpostiženější zemí tímto typem stalkerwaru je Indie, kde podíl instalací mezi uživateli činí 14,71 %. Následuje ji Mexiko (11,76 %), Německo, Saudská Arábie a Velká Británie (všichni shodně 5,88 %). Více informací se o MonitorMinor dozvíte na blogu Securelist.
Aby se uživatelé nestali obětí tohoto digitálního pronásledování, doporučují odborníci z Kaspersky následující opatření:
- V nastavení svého chytrého telefonu si zablokujte instalace programů pocházejících z neznámých zařízení
- Nikomu neprozrazujte přístupový kód či gesto do svého zařízení
- Pokud jste se rozešli s partnerem či partnerkou, vyplatí se změnit si hesla a bezpečnostní nastavení ve svém telefonu. Váš bývalý partner či partnerka by mohli mít i nadále zájem o vaše soukromé informace
- Projděte si seznam nainstalovaných aplikací na vašem zařízení, abyste případně odhalili ty, které byly nainstalovány bez vašeho vědomí
- Používejte účinné bezpečnostní řešení, které vás informuje o přítomnosti komerčního spywaru
- Pokud se domníváte, že jste se stali obětí stalkingu-pronásledování, vyhledejte odbornou pomoc
- Pokud jste se stali obětí domácího násilí, pronásledování nebo sexuálního násilí, obraťte se na odborné organizace, které vám pomohou. Pokud máte dotazy týkající se stalkerwaru a potřebujete pomoc, kontaktujte Koalici proti stalkerwaru – kterou tvoří neziskové organizace a společnosti zabývající se IT bezpečností – www.stopstalkerware.org
