Infikované Android aplikace instalující další malware

Podle pravidelné měsíční statistiky ESET představují nejvážnější riziko pro české uživatele se systémem Android aplikace pocházející z neoficiálních zdrojů, které instalují do zařízení další malware - zpravidla jde o bankovního trojského koně.

"Tyto škodlivé aplikace označujeme jako droppery. Mají jediný úkol a tím je instalovat do zařízení další škodlivý kód. Celkově jejich počet vzrostl o více než 10%. Nejčastěji instalují bankovního trojského koně Cerberus, který představuje riziko při placení online. Droppery pocházejí z neoficiálních zdrojů, jako jsou fóra nebo různé webové stránky. Zachytili jsme široké spektrum aplikací, které malware šíří. Útočníci je vydávají za běžné nástroje, od běžných nástrojů až po volnočasové hry či aplikace pro správu chytrých vozů. Zástupci malware typu dropper skončili v březnu 2021 na prvním a druhém místě v přehledu detekcí," říká Martin Jirkal, vedoucí analytického oddělení v pražské pobočce společnosti ESET.

Podle expertů aplikace, které útočníci používají k instalaci dalšího malware, zpravidla neobsahují žádné funkční moduly. Uživatel tak po spuštění nabyde dojmu, že stažená aplikace je prostě porouchaná či nefunkční. Její odinstalace nepomůže. Pokud se jednalo o dropper, už stihnul další malware instalovat.

Tento krok navíc používají útočníci zcela záměrně. Je to výhodnější než umístit cílový škodlivý kód přímo do infikované aplikace, kterou uživateli vnutí. Mohou tak zmást uživatele i obejít některé nekvalitní bezpečností programy.

Infikované aplikace instalují bankovní malware

Bankovní malware Cerberus, který u nás infikované aplikace instalují, představuje vážné riziko pro bezpečnost online plateb. Obsahuje například funkci pro odcizení přihlašovacích údajů nebo obejití druhého faktoru ověření.

Aplikace zneužije oprávnění pro takzvané usnadnění přístupu. Ta normálně slouží uživatelům se zrakovou nebo sluchovou vadou. V tomto případě ale umožní získat přihlašovací údaje a na dálku kontrolovat například potvrzující SMS nebo mazat některé aplikace v telefonu.

Cerberus je rizikový při přihlášení do internetového bankovnictví prostřednictvím telefonu. Proto je důležité dávat přednost oficiálním bankovním aplikacím, které jsou mnohem bezpečnější.

Sledovací aplikace ustupují

Útočníci se od začátku roku 2021 zaměřují více na bankovní malware a detekce jiných typů škodlivého kódu naopak slábnou. V případě stalkerware Cerberus, který vloni představoval nejčastější hrozbu, klesl objem detekcí o pětinu.

Bankovní malware Cerberus a stalkerware Cerberus jsou dva zcela odlišné typy hrozeb - detekujeme je pod stejným označením, jde jen o pouhou shodu náhod.

Označování nového typu malware není celosvětově nijak sjednocené. V tomto případě pojmenovaly malware různé detekční laboratoře v různých letech.

Stalkerware Cerberus se jmenuje podle aplikace, kterou detekujeme. Proto v přesném označení malware najdeme i typ - např. Monitor, tedy nějaký monitorovací malware - a označení operačního systému - expert tak ze stručného názvu přesně pozná, o jakou hrozbu se jedná.

Stalkerware Cerberus umožňuje sledování oběti na dálku a ovládání zařízení pomocí různých SMS příkazů. Je tak možné např. přesměrovat hovory, čtení SMS nebo zapnutí WiFi připojení.

Na poklesu detekcí se podepisuje především přesnější detekce těchto typů hrozeb a také pečlivá osvěta.

Aplikace jen z oficiálního zdroje

Škodlivý kód si uživatel nejčastěji do telefonu stáhne spolu s nějakou aplikací z neoficiálního zdroje, ať už jde o webové stránky, sociální sítě či fóra.

Podle expertů je možné za důvěryhodný zdroj považovat výhradně obchod Google Play, jeho správci ostatně aktivně vyhledávají rizikové aplikace.

Ochranu Play Protect, kterou nabízí obchod Google Play, je vhodné kombinovat s bezpečnostním programem určeným pro mobilní telefon, který případné riziko zachytí.

Uživatel by měl volit spíše aplikace s dobrým hodnocením a delší historií a udělovat jim jen nezbytně nutná oprávnění. Pokud nějaká aplikace v Google Play není, patrně není pro uživatele bezpečná a je vhodné se jí vyvarovat.

Nejčastější kybernetické hrozby pro platformu Android v Česku za březen 2021: