Před Vánoci ohrožuje české smartphony s Androidem hlavně bankovní malware

V listopadu bezpečností experti zaznamenali zvýšenou aktivitu bankovního malwaru Cerbeus, který se v českém prostředí již dlouhodobě objevuje a patří mezi hlavní hrozby pro uživatele operačního systému Android.

Malware ke svému šíření zneužívá známé nebo populární nástroje a služby, které jsou ke stažení mimo oficiální obchod Google Play. Útočníci v listopadu využili například aplikace pro sledování televize nebo přehrávání hudby či videí. Škodlivý kód se ale objevil i v nástrojích pro hledání telefonu či k rozpoznání podvodného telefonátu. Vyplývá to z pravidelné statistiky hrozeb společnosti ESET.

Ve více než dvou třetinách všech detekovaných hrozeb se v listopadu jednalo o bankovní malware Cerberus. Tento malware využívá ke svému šíření droppery, další škodlivé kódy, které na sebe berou podobu nelegitimních verzí jinak známých nebo populárních nástrojů a služeb, které mohou být v oficiálním obchodu nedostupné nebo zpoplatněné.

„V listopadu šířil bankovní malware nejvíce dropper Spy.Cerberus, který se vydával například za aplikaci pro hledání ztraceného telefonu,“ říká Martin Jirkal, vedoucí analytického týmu v pražské pobočce společnosti ESET. „Droppery, které fungují jako obálky a berou na sebe podobu různých aplikací, v sobě bankovní malware skryjí a do zařízení ho uživateli nepozorovaně doručí. Nebezpečné jsou především proto, že je méně kvalitní bezpečnostní software neodhalí. Své verze i podobu mění velmi rychle a využívají různých populárních trendů, čímž chtějí uživatele zmást a přimět ho, aby si aplikaci rychle stáhnul.“

Malware Cerberus je rizikem především pro bankovní služby, protože dokáže odcizit přihlašovací údaje do internetového bankovnictví a číst ověřovací SMS kódy. Zatímco v říjnu zaznamenali bezpečnostní analytici pokles jeho aktivity, před blížícím se koncem roku a vánočními svátky se jeho aktivita opět výrazně zvýšila.

Malware se ukrýval také v přehrávači hudby a videí

Mezi třemi nejčastějšími hrozbami se v listopadu objevily také dropper Agent.IEG a Agent.IYY. Oproti malwaru Spy.Cerberus byl podíl jejich detekcí v celkové statistice spíše marginální, útočníci se ale zaměřili na služby a nástroje, které uživatelé ve volném čase využívají k zábavě nebo relaxaci.

„V případě dropperu Agent.IEG i Agent.IYY se ukazuje, jak se útočníci snaží cílit na chování uživatelů v předvánočním období. Dropper Agent.IYY napodoboval v listopadu například přehrávač hudby a videí, nebo se objevoval v jeho modifikované podobě. V případě dropperu Agent.IEG na něj mohli uživatelé narazit v aplikaci pro sledování televize,“ říká Jirkal. „Dropper Agent IYY šířil v listopadu bankovního trojského koně Banker.AQN. Jedná se o poměrně univerzální malware typu backdoor a cílí především na španělské banky. Vyznačuje se různými funkcemi, například dokáže přímo v aplikaci odcizit přihlašovací údaje nebo čísla kreditních karet, a zároveň zneužívá data ze samotného zařízení, jako jsou kontakty, dokáže sledovat polohu, odesílat SMS zprávy, fotit či dělat screenshoty a mnoho dalších operací.“

Podobně, jako u výše zmíněného dropperu Spy.Cerberus, zneužil malware Agent.IEG také službu, která má uživatele před kybernetickým nebezpečím chránit.

„Agent.IEG, který se podobně zaměřuje na odcizení přihlašovacích údajů do internetového bankovnictví, se vydával také za nástroj, který má kontrolovat, aby vás nikdo nekontaktoval podvodným telefonátem. Takový podvod se označuje jako vishing. Útočník se v tomto případě snaží přesvědčit uživatele k vyzrazení citlivých informací či ho přimět k nějaké aktivitě. Zpravidla se vydává za nějakou důvěryhodnou osobu – zástupce banky, známé instituce, poskytovatele IT služeb či policii. Útoky bývají úspěšné, protože pracují s naším strachem a zvědavostí,“ shrnuje Jirkal.

Během nákupů ochrání oficiální aplikace od banky

V aktuálním období zvýšených online nákupů a transakcí bezpečnostní specialisté doporučují, aby byli uživatelé při veškeré online aktivitě obezřetní a věnovali dostatek času prověření jak zabezpečení obchodu, ve kterém nakupují, tak platebním transakcím a ochraně svých dat. Bankovní malware Cerberus je hrozbou pro internetové bankovnictví, nikoli ale pro oficiální aplikaci od poskytovatele bankovních služeb.

Své zařízení před aplikacemi, které mohou šířit škodlivý kód, ochrání především sám uživatel. Hlavním doporučením je nestahovat nástroje a služby z neoficiálních míst, jako jsou různé pochybné webové stránky, fóra a nelegitimní obchody s aplikacemi. Uživatelé se tak riziku nejlépe vyhnou, pokud budou aplikace stahovat z Google Play, kde je bezpečnostní tým proaktivně prověřuje.

Nejčastější kybernetické hrozby v České republice pro platformu Android za listopad 2021:

1.      Android/Spy.Cerberus trojan (65,10 %)

2.      Android/TrojanDropper.Agent.IEG trojan (4,45 %)

3.      Android/TrojanDropper.Agent.IYY trojan (2,80 %)

4.      Android/Andreed trojan (2,39 %)

5.      Android/GriftHorse trojan (1,97 %)

6.      Android/Spy.Agent.BXF trojan (1,30 %)

7.      Android/TrojanDropper.Agent.DIL trojan (1,17 %)

8.      Android/TrojanDropper.Agent.ITV trojan (0,94 %)

9.      Android/TrojanDropper.Agent.IGY trojan (0,93 %)

10.  Android/Agent.CTO trojan (0,82 %)

Zveřejněno: 20. 12. 2021