Malware

Malware (složení anglických slov malicious software; jiné názvy: škodlivý software, zákeřný software) je program určený k poškození nebo vniknutí do počítačového systému.

Výraz malware vznikl složením anglických slov „malicious“ (zlovolný, zlomyslný) a „software“ a popisuje záměr autora takového programu spíše než jeho specifické vlastnosti. Pod souhrnné označení malware se zahrnují počítačové viry, počítačové červy, trojské koně, crimeware, špehovací software (spyware), vyděračský software (ransomware) a reklamní software (adware).

V právní terminologii je malware někdy nazýván počítačová nečistota (angl. „computer contaminant“), například v zákonech států Kalifornie, Západní Virginie a několika dalších členských států USA. Malware je někdy pejorativně nazýván scumware. Jako malware by neměl být označován software, který sice obsahuje chyby, ale byl napsán pro legitimní účely.

Zdroj: cs.wikipedia.org/Malware

ESET odhalil podvody. Na internetu je falešná verze aplikace FaceApp

Experti společnosti ESET odhalili řadu podvodů, které nabízejí falešnou verzi aplikace. Ve skutečnosti podvodníci uživatelům nabídnou jen reklamu nebo dokonce malware.

Aplikace FaceApp se stala v posledních dnech mezi uživateli hitem, čehož zneužívají podvodníci, kteří chtějí na popularitě služby vydělat. Výzkum společnosti ESET dokládá, že jako lákadlo jim slouží falešná „Pro“ verze, kterou se snažili virálně propagovat. Jedna z forem podvodu pracuje i s falešnou webovou stránkou, která nabízí údajnou prémiovou verzi FaceApp. Druhý typ zahrnoval i videa na platformě YouTube, která propagovala odkaz ke stažení verze „Pro“. Jedno z podvodných videí mělo v době dokončení výzkumu přes 150 000 zhlédnutí.

Legitimní aplikace FaceApp nabízí různé druhy filtrů obličeje – například dokáže přidat úsměv nebo zobrazit uživatele ve stáří. Dostupná je varianta pro iOS i Android. Samotná aplikace je zdarma, placené jsou pouze některé funkce. Filtry se staly rychle virálním hitem na sociálních sítích. Ruku v ruce s popularitou šel také zájem médií, především kvůli obavám o ochranu soukromí uživatelů.

ESET odhalil podvody. Na internetu je falešná verze aplikace FaceApp
ESET odhalil podvody. Na internetu je falešná verze aplikace FaceApp

Aplikace totiž ke zpracování a aplikací filtrů na fotografie využívá cloudové prostředí. Údajně jde o AWS a Google Cloud. Ačkoli vývojáři tvrdí, že fotografie ze serverů do 48 mažou, uživatel nemá žádnou možnost si toto tvrzení ověřit. Předání osobního údaje, jako je fotografie, nedůvěryhodné třetí straně, je potenciálním rizikem,“ varuje Miroslav Dvořák, technický ředitel pražské pobočky společnosti ESET.

Falešnou prémiovou verzi propagují i webové stránky

V jednom z podvodů vytvořili útočníci i podvodnou webovou stránku, která nabízela nákup prémiové verze. Ve skutečnosti podvodníci jen klamou oběti a snaží se je přinutit, aby klikly na bezpočet nabídek k instalaci dalších aplikací, reklam, průzkumů a podobně. Oběti také obdrží požadavek na odsouhlasení notifikací z řady webových stránek. Tyto notifikace vedou uživatele na další podvodné nabídky.

V případě videí na YouTube obsahujících odkaz ke stažení, byli návštěvníci navedeni na službu, jejíž jedinou funkcí je přimět uživatele stáhnout si další aplikace, popřípadě i malware.

Během čtvrtka jsme zachytili přes 200 tisíc případů, kdy se uživatelé setkali s falešnou fiktivní verzí FaceApp Pro. Jedno z YouTube videí mělo dokonce přes 150 tisíc zhlédnutí a na odkaz se škodlivým kódem v něm uvedeném kliklo přes 90 tisíc uživatelů,“ říká Lukáš Štefanko, bezpečnostní expert společnosti ESET. „O takto vysoké míře prokliku si legitimní firmy mohou nechat zdát,“ dodává Štefanko.

Stahujte aplikace jen z oficiálního zdroje

Než se rozhodnete k instalaci nějaké „módní“ aplikace, doporučují experti řídit se základními bezpečnostními pravidly. Vyhýbejte se stahování aplikací z jiného než oficiálního zdroje, bez ohledu na to, jak lákavou se nabídka zdá. Vždy se také seznamte s dostupnými informacemi o aplikaci.

Zajímejte se o vývojáře, hodnocení i komentáře. Vždy mějte také na zařízení, pokud to je možné, nainstalovaný bezpečnostní program, jako pojistku proti škodlivým aplikacím a podvodným odkazům.

FinSpy opět útočí. Nová verze je zacílena na systémy iOS i Android

Malware FinSpy opět útočí – nová verze je zacílena na iOS i Android. Odborníci společnosti Kaspersky objevili novou verzi pokročilého špionážního nástroje FinSpy.

Nově objevené škodlivé programy útočí na zařízení s iOS i Android a jsou schopné monitorovat aktivitu uživatele na téměř všech oblíbených službách pro zasílání zpráv včetně těch šifrovaných. Oproti dřívějším verzím malware daleko lépe maskuje svou přítomnost v systému. Nástroj tak umožňuje útočníkům sledovat veškeré aktivity na napadeném zařízení a vynášet citlivá data jako jsou poloha z GPS, zprávy, obrázky, hovory a další.

FinSpy je velmi efektivní softwarový nástroj umožňující cílené sledování. Podle odborníků kradl informace po celém světě od mezinárodních nevládních organizací, vlád a orgánů činných v trestním řízení. Útočníci mohou přizpůsobit chování každého škodlivého implantátu FinSpy konkrétnímu cíli nebo skupině cílů.

FinSpy opět útočí. Nová verze je zacílena na systémy iOS i Android
FinSpy opět útočí. Nová verze je zacílena na systémy iOS i Android

Neomezená schopnost monitoringu aktivit: FinSpy

Hlavní funkcí tohoto malwaru jsou téměř neomezené schopnosti monitoringu aktivit na napadeném zařízení. Útočníci mohou sledovat polohu zařízení, všechny příchozí a odchozí zprávy, kontakty, uložená médií a data z oblíbených platforem pro zasílání zpráv jako je WhatsApp, Messenger od Facebooku nebo Viber. Všechna ukradená data se k útočníkovi přenesou prostřednictvím SMS zprávy nebo v http protokolu.

Nejnovější známé verze tohoto malwaru mají navíc rozšířené sledovací funkce, díky nimž mohou sledovat i platformy, které byly pro zasílání zpráv považovány za bezpečné – Telegram, Signal nebo Threema. Mají také lepší schopnosti pro zamaskování svých stop. Například verze malwaru zacílená na iOS 11 a starší verze, je schopná skrýt stopy po jailbreaku (softwarové úpravě mobilního zařízení iPhone, po níž lze nainstalovat neoficiální aplikace). Podobně je tomu i u Androidu – nová verze FinSpy obsahuje exploit schopný získat rootovací oprávnění a tím pádem neomezený přístup k souborům a příkazům.

Buď fyzický přístup, nebo zařízení, které prošlo jailbreakem

Aby mohli kyberzločinci úspěšně infikovat mobilní zařízení s operačním systémem iOS nebo Android, potřebují k nim buď fyzický přístup, nebo zařízení, které prošlo jailbreakem nebo rootováním. Vyplývá to z informací, které mají odborníci z Kaspersky k dispozici. K infikování takto „oslabených“ zařízení pak útočníci mohli využít jeden ze tří možných způsobů: SMS zprávu, e-mail nebo vyskakující oznámení.

Z telemetrie Kaspersky vyplývá, že bylo v uplynulém roce tímto malwarem infikováno několik desítek zařízení.

Vývojáři stojící za malwarem FinSpy průběžně sledují bezpečnostní aktualizace mobilních platforem na jejichž základě pružně mění své škodlivé programy, tak aby se vyhnuly detekování. Sledují také aktuální trendy a zavádějí funkcionality, díky nimž jsou schopni dostat data z aplikací, které jsou v danou dobu na vrcholu popularity. V podstatě každý den se setkáváme s novými oběťmi FinSpy, proto je důležité věnovat pozornost nejnovějším aktualizacím svých zařízení a provádět je hned jak jsou k dispozici,“ varuje Alexey Firsh, bezpečnostní odborník společnosti Kaspersky.

Aby se uživatelé nestali obětí malwaru FinSpy, doporučují odborníci z Kaspersky následující opatření:

  • Nikdy nenechávejte nezamčený mobil nebo tablet bez dohledu a ujistěte se, že se nikdo nedívá, když zadáváte svůj bezpečnostní kód pro odemčení obrazovky.
  • Neprovádějte u svých zařízení jailbreak nebo rootování – hackerům byste tím velmi usnadnili práci.
  • Instalujte si aplikace pouze z oficiálních obchodů Google Play a App Store.
  • Neklikejte na podezřelé odkazy, které vám přišly od neznámého čísla/odesilatele.
    V nastavení svého zařízení si zablokujte instalace programů z neznámých zdrojů.
  • Pokud to není nutné, nesdílejte s nikým přístupové heslo nebo PIN svých mobilních zařízení.
  • Neukládejte si na svá zařízení žádné neznámé soubory nebo aplikace, protože mohou ohrozit vaše soukromí.
  • Nainstalujte si na své zařízení účinné bezpečnostní řešení určené pro mobilní zařízení jako je Kaspersky Internet Security for Android.

Komerční spyware Exodus. V obchodu Google Play je pořád smetí

Android je zranitelný. V Google Play je pořád smetí. Android a iOS, dva operační systémy, které vyznávají úplně jinou politiku. V prvním případě jde o otevřený systém, do kterého může každý zasahovat a upravit si ho dle vlastních představ, v tom druhém pak o uzavřenou platformu s přísnějšími pravidly. Selský rozum tedy jasně říká, že se majitelé zařízení s nakousnutým jablkem nemusí tolik strachovat, v realitě tomu tak ale není. Android je podle posledních výzkumů dostatečně zabezpečený, politika Google Play ale tyto skvělé zprávy boří. Už několikrát se totiž stalo, že se ke koncovým zákazníkům skrze tuto hlavní distribuční platformu dostal škodlivý software.

Každá aplikace je potencionální hrozbou

Není to tak dávno, co internetem proběhla zpráva o další vlně škodlivého kódu nacházejícího se v řadě aplikací. V prosinci loňského roku uživatele zasáhlona první pohled 22 neškodných výtvorů. Ty na pozadí dokázaly simulovat zobrazování reklam a následné klikání. Naštěstí se neprokázalo, že by ještě navíc sledovaly uživatele či sbíraly data o jejich činnosti, i tak ale způsobily nepříjemné problémy. Jelikož tato simulace běžela neustále, zvyšovalo se tak využití dat a baterie telefonu byla mnohem rychleji vybitá.

Komerční spyware Exodus. V obchodu Google Play
Komerční spyware Exodus. V obchodu Google Play je pořád smetí

Spyware Exodus vznikl komerčně v Itálii?

A nemusíme chodit ani tak daleko do minulosti, abychom našli ještě horší příklad. Minulý měsíc byl totiž objeven komerční spyware s názvem Exodus, který se dokázal zahnízdit do systému tak hluboko, že všechna napadená zařízení pak bylo možné ovládat. Tento kód mělo v sobě několik aplikací. Zajímavostí potom budiž fakt, že se jeho ořezanější verze dostala i na přísněji korigovaný App Store, což samozřejmě ihned vyvolalo paniku. Spyware Exodus, který se jeví jako asistenční aplikace od mobilních operátorů po nainstalování dokáže potají krást telefonní kontakty, audionahrávky, fotografie, videa nebo informace o současné poloze uživatele. Kromě toho jej může tvůrce aktivovat na dálku. Za aplikací stojí firma eSurv (eSurv S.R.L.), která se specializuje na kamerové systémy a špionáž.

iOS v ohrožení. Nasazení u uživatelů mimo úložiště aplikací společnosti Apple bylo umožněno zneužitím podnikového systému Apple. Program Apple Developer Enterprise je určen k tomu, aby umožnil organizacím distribuovat vlastní, interní aplikace svým zaměstnancům, aniž by museli používat iOS App Store. Podnik může získat přístup k tomuto programu pouze za předpokladu, že splňuje požadavky stanovené společností Apple. Licence vyjde na 300 USD.

Web společnosti eSurv.it dostupný už pouze na Webarchivu
Web společnosti eSurv.it dostupný už pouze na Webarchivu

Výzkumníci společnosti Lookout sledovali v uplynulém roce sledovací systémy v Androidu a iOS, které dokáží exfiltrovat kontakty, zvukové nahrávky, fotografie, umístění a další zařízení ze zařízení. Jak již bylo dříve hlášeno, v obchodě Google Play byly přítomny některé verze softwaru Android. Verze iOS byly k dispozici mimo úložiště aplikací, prostřednictvím phishingových stránek, a zneužily Apple Developer Enterprise.

Přívětivá politika softwarového giganta v posledních letech nese shnilé ovoce. Podle analýzy společnosti Trend Micro bylo jen v posledních měsících nakaženo více než devět milionů zařízení, o což se postaralo 85 aplikací. Šlo například o Easy Universal TV Remote, jenž na první pohled umožňoval ovládat chytrou televizi za pomoci telefonu, místo toho zahlcoval zákazníka reklamou až do pádu telefonu. Tento a dalších 84 podlých výtvorů už naštěstí na Google Play nenalezneme.

Dá se vůbec bránit? Aplikace vs. spyware

Obrana proti aplikacím, které navíc Google propustí na svůj obchod, je v mnohých případech obtížná. I tak vám dáme několik rad, jak včas předejít nepříjemnostem zmíněným výše. Absolutním základem je obezřetnost. Dávejte si pozor, co stahujete. Dobře si přečtěte popisek, prohlédněte obrázky, a hlavně projeďte uživatelské recenze. Pokud už aplikaci někdo před vámi použil, bude mít alespoň základní přehled o závadném chování, které vás může včas odradit. I to mnohdy nestačí, pak tedy nastupuje druhá obranná linie v podobě ochranného softwaru.

Vybírat můžete z široké nabídky, placené i neplacené, přičemž i varianty zdarma mají v zásobě několik černých koní. Není od věci sáhnout po špičce v Google Play. Mobile Security & Antivirus zastřešuje společnost ESET. Jádra ESETu dlouhodobě patří mezi to nejlepší, co můžeme ve svém počítači nebo mobilu mít. Můžeme doporučit AhnLab V3 Mobile Security nebo AVL 2.7. Mobilní antiviry zdarma dělá i německá firma GDATA.

Krom výše zmíněných věcí není od věci myslet na ochranu už na začátku, a zvolit tak mobilní telefon s operačním systémem Android One. Jde o operační systém, jenž se na první pohled téměř neliší od klasické verze, má ale hned několik výhod, mezi které patří i větší bezpečnost. Tu zajišťuje mnohem rychlejší odezva vývojářů a častější vydávání aktualizací poskytujících tolik potřebné záplaty.

Zdroj: wired.com/exodus-spyware-ios/, vice.com/android-malware-google-play-store-exodus

Palo Alto Networks našlo v Google Play 145 aplikací nakažených malwarem

Bezpečnost Androidu nadevše. Společnost jménem Palo Alto Networks, která se zabývá bezpečností softwaru se podívala blíže na zoubek aplikacím uložených na Google Play. A našli zde přesně 145 aplikací, které obsahovaly malware. Tedy škodlivý software, který je hojně využíván ke kradení údajů. Je tedy nebezpečný a na shopu, jako Google Play, by rozhodně neměl co dělat. O této informaci informoval server DailyMail.co.uk.

Společnost Google samozřejmě reagovala rychle a po tomto zjištění byly tyto škodlivé soubory okamžitě odstraněny. Není možné vše kontrolovat, ač, od malých vývojářů by měli být instalační balíčky dobře kontrolovány.

Palo Alto Networks našlo v Google Play 145 aplikací nakažených malwarem
Palo Alto Networks našlo v Google Play 145 aplikací nakažených malwarem

Některé z těchto nebezpečných aplikací

Problém ovšem přetrvává i po rychlém a razantním zákroku ze strany Googlu. Některé z těchto nebezpečných aplikací byly k dispozici ke stažení již od minulého roku a za tu dobu si je stáhlo tisíce lidí. Je tedy možné, že značná část z tohoto objemu je stále někde mezi lidmi. Aplikace mohou být samozřejmě stále na zařízení a odesílat data od hostitele.

Proto níže přikládáme seznam všech nebezpečných aplikací. A vy si pro jistotu vašeho bezpečí můžete sami zkontrolovat, zda nemáte ve vašem mobilu aplikaci, která může krást osobní data.

Zde najdete ty opravdu nejnebezpečnější:

Baby Room, MotorTraiL, Tattoo Name, Car Garage, Japanese Garden, House Terrace, Skirt Design, Yoga Meditation, Shoe rack, Unique T-shirt, Mens Shoes, TV RuanG TaMu, Idea Glasses, Fashion Muslim, Bracelet, Clothing Drawing, Minimalist Kitchen, Nail Art, Ice Cream Stick, Roof, Children Clothes, Home Ceiling, PoLa BaJu, Living Room, Bookshelf, Knitted Baby, Hair Paint, Wall Decoration, Painting Mahendi, Bodybuilder, Couple Shirts, Unique Graffiti, Paper flower, Night gown, Wardrobe Ideas, Dining table, Gymnastics, Use Child, Window Design, Hijab StyLe, Wing Chun a Fencing Technique.

Pokud jste u sebe našli byť jedinou z výše zmíněného seznamu, pak ji okamžitě odstraňte a váš telefon nechte zkontrolovat antivirem!

Android: Ohrožení v podobě trojanu

Nový trojan pro Android využívá neznámé chyby a výzkumníci z Kaspersky Lab se jej nebáli označit jako nejsofistikovanější škodlivý kód, jaký kdy viděli. Výzkumníci tento malware pojmenovali Backdoor.AndroidOS.Obad.a a pokládají ho za nejdokonalejší k dnešnímu dni.

Android-Ice-Cream-Sandwich

Princip malwaru spočívá v infekci zařízení a následném poslání SMS na prémiová čísla, která zpětně umožňují útočníkům vzdálený přístup a možnost přímo v shellu daného zařízení spouštět libovolné příkazy (to zahrnuje i instalaci dalších škodlivých aplikací).

Trojan Obad.a používá velmi složité, doposud neprolomené šifrování. Výzkumník z Kaspersky Lab – Roman  Unuchek – k celé  situaci dodal: „Tvůrci malwaru se obvykle snaží, aby byl jejich kód tak složitý, jak jen to jde, aby co nejvíce ztížili práci anti-malwarovým expertům. Nicméně je velmi vzácné vidět tak pokročilé zabezpečení, jako má právě Obad.a.“

Kromě dokonalého šifrování nebo využití chyby v kódu, využívá Trojan aplikace třetích stran. Jednou z nich je DEX2JAR, která slouží pro převedení Android aplikací do Java balíčků. Dalším způsobem, jak tvůrci ošetřili Obad.a, je úprava souboru AndroidManifest.xml. Tento soubor je v každé aplikaci a obsahuje informace o její struktuře a spouštěcích parametrech. U trojanu je však AndroidManifest.xml upraven tak, aby se sice neshodoval se specifikacemi Googlu, ale aby byl stále ještě správně zpracovaný pro běh v operačním systému Android.

Při prvním spuštění Obad.a požádá o administrátorská práva. Tyto aplikace nemohou být odinstalovány standardně, nejdříve jim musí být odebrána administrátorská práva v zabezpečovacím nastavení telefonu.

Alespoň částečnou útěchou může být, že tento typ trojanu není zatím příliš rozšířen – uvádí se, že pouze 0,15% z celkových malwarových útoků za poslední tři dny měl na starosti Obad.a. Ze získaných informací lze vytušit, kam se budou přesouvat malwerové útoky. Stále častější budou útoky na mobilní zařízení (jako tomu bylo i v případě Mactans).