Miroslav Dvořák

Ředitel odboru Správa informační bezpečnosti společnosti GORDIC

Jakmile tyto aplikace zapnete, začnou se na pozadí připojovat k reklamním serverům a po nějaké době vám začnou inzerci zobrazovat. Uživatel ale žádnou aktivitu nevidí. Působí to tedy dojmem, že aplikace nefunguje.

Celá rodina sdružuje řadu aplikací - v případě Hiddad.HI se nejčastěji jedná o aplikace stahující videa nebo filmy z internetu, Hidad.XF útočníci zpravidla vydávají za přehrávač videí.

Varenyky je škodlivý kód distribuovaný pomocí spamové kampaně v podobě falešné faktury za zboží, kterou má uživatel údajně ověřit. Malware disponuje řadou nebezpečných funkcí, počínaje možností stáhnout a spustit další malware, komunikací s řídícím server pomocí sítě TOR a konče třeba schopností spamovat, krást hesla nebo nahrávat dění na obrazovce.

To, co je na Varenyky neobvyklé, je skutečnost, že si pro svoji nekalou činnost vybírá právě a pouze jen francouzsky mluvící uživatele a to navíc pouze pokud mají ve svém operačním systému nastavenu jako domovskou zemi Francii.

Publikovaná statistika pro systém Android se v tomto případě týká celého světa, jelikož v České republice infikují jednotlivé rodiny mobilního malware jen poměrně málo zařízení, tudíž by statistika nebyla příliš vypovídající. Nižší počet detekcí u nás má řadu důvodů.

Česká republika je poměrně malý trh, navíc jako uživatelé jsme opatrnější, takže nejsme primárním cílem útočníků. Celosvětově nejčastějším detekovaným malwarem zaměřeným na Android byl v srpnu Trojan.Android/Hiddad.HI se 4% detekcí. Rodina Hiddad obsahuje desítky různých variant.

Spolu s kolegy jsme navrhli nový hodnotící algoritmus, který nám umožňuje vytvářet statistiky tvrdého malwaru. Nepřekvapilo nás, že statistikám vedou kódy, které kradou citlivé informace. Ty mají totiž mezi útočníky značnou popularitu, protože jimi získané informace lze snadno zpeněžit. Proti útokům na citlivé informace existují dvě základní pravidla obrany.

Za prvé, pečlivě uvažovat, jaké soubory si uživatel stahuje a instaluje do svého počítače a za druhé, využívat na svém zařízení spolehlivé bezpečnostní řešení. Uživatelé bezpečnostních programů ESET jsou samozřejmě před všemi jmenovanými hrozbami chráněni.

Podstatou tohoto incidentu je skutečnost, že spuštěním běžné aplikace na starším systému Windows bez patřičné záplaty win32k.sys je útočník schopen získat nejvyšší systémová oprávnění a ovládnout tak kompletně napadené zařízení.