ESET objevil nový vir, který zašifruje telefon. Šíří se prostřednictvím SMS

14.8.2019 Technologie

Výzkumný tým společnosti ESET objevil nový ransomware zaměřený na uživatele chytrých telefonů s operačním systémem Android. Pomocí SMS zpráv v několika desítkách jazykových mutací včetně češtiny se snaží rozšířit do celého světa. Tým společnosti ESET objevil mobilní ransomware po více než dvouletém období, kdy výskyt této hrozby celosvětově klesal.

„Ransomware je typ škodlivého kódu, který zašifruje obsah zařízení, v tomto případě mobilního telefonu či tabletu se systémem Android. Za dešifrovací klíč požaduje od majitele výkupné,“ vysvětluje Ondřej Šafář, tiskový mluvčí společnosti ESET. „V tomto konkrétním případě ransomware po své instalaci odešle lokalizovanou SMS s odkazem na stažení škodlivého kódu na všechny v telefonu uložené kontakty. Snaží se tak přimět další uživatele, aby si ransomware nainstalovali. To vše proběhne ještě předtím, než proběhne zašifrování napadeného zařízení,“ dodává Šafář.

„To může teoreticky vést k velkému nárůstu infekcí. Obzvláště proto, že ransomware má 42 jazykových verzí SMS zprávy. Naštěstí si i nic netušící uživatel musí všimnout špatného, pravděpodobně strojového překladu. Některé jazykové verze nedávají vůbec smysl,“ vysvětluje Lukáš Štefanko, analytik společnosti ESET, který se dlouhodobě zaměřuje právě na hrozby pro mobilní platformu Android a tento malware zkoumal. Například česká verze SMS zprávy říká: „Jak mohou dát své fotografie do této aplikace, myslím, že vám musím říct.“ Jazykovou verzi vybírá ransomware na základě jazykového nastavení mobilního zařízení.

Mohlo by vás zajímat: ČAP k 1. pololetí 2019: Předpis smluvního pojistného narostl o 4,7 %

Malware se šířil z populární platformy Reddit

Škodlivý kód se šířil ze stránek Reddit v pornografických příspěvcích a dále skrz fórum pro vývojáře na platformě Android XDA Developers. Po upozornění od společnosti ESET byly škodlivé odkazy ze stránky XDA Developers rychle odstraněny, na webu Reddit ale nadále zůstávají.

Štefanko dodává, že celá kampaň je malá a působí značně amatérsky. „Samotný ransomware obsahuje chyby, které se především týkají špatně implementovaného šifrování. Jakékoli zašifrované údaje mohou být dešifrované i bez pomoci útočníků. Pokud ale tvůrci kódu tuhle chybu odstraní a vylepší distribuci, může se z této kampaně stát vážná hrozba,“ varuje Štefanko. Výše výkupného je dynamická od 0,01 do 0,02 Bitcoinu, což je dle aktuálního kurzu přibližně 2 100 až 4 300 korun. Uživatelé bezpečnostního řešení ESET Mobile Security jsou před hrozbou chráněni.

V návaznosti na detekci tohoto malware odborníci ze společnosti ESET připomínají základní bezpečnostní doporučení. Mezi ty nejzásadnější patří pravidelné aktualizace operačního systému chytrého telefonu, stahování důvěryhodných aplikací z oficiálního obchodu Google Play a používání bezpečnostní aplikace.

Mohlo by vás zajímat: Hledání dodatečných rozpočtových zdrojů jde proti ekonomické teorii

Bezpečnostní doporučení společnosti ESET

Nastavte si v zařízení s operačním systémem Android automatické aktualizace. Budete tak chráněni, i pokud nejste technicky příliš zdatní.
Stahujte si aplikace jen z oficiálních obchodů jako je Google Play. Ty totiž proaktivně hledají škodlivý kód v aplikacích. I do oficiálního obchodu může malware proniknout, ale šance je výrazně nižší.
Před instalací nové aplikace si zkontrolujte její hodnocení a recenze. Zaměřte se hlavně na ty negativní, ty obvykle píší reální uživatelé.
Sledujte, jaká povolení aplikace vyžaduje. Pokud se vám zdají neadekvátní, aplikaci neinstalujte.
Mějte v telefonu nainstalovaný spolehlivý bezpečnostní software, který vás na podezřelé chování aplikace dokáže upozornit.

Mohlo by vás zajímat: Jak dopadl přezkum 2018 Solventnosti II?

Celkově pak Analytici společnosti ESET zaznamenali zvýšené množství tzv. trojských koní, s jejichž pomocí se útočníci zaměřují na získání hesel a dalších citlivých informací z infikovaných zařízení v České republice. Tato data umožní útočníkům zneužít přístupové údaje, nebo je dále zpeněžit na černém trhu.

Trojský kůň označovaný jako Trojan.Win32/PSW.Fareit stál za téměř 9 % detekcí. Stal se tak nejčastější červencovou hrozbou, se kterou se museli Češi potýkat. „Tento malware se pokouší ukrást hesla ke konkrétním programům. Data následně odesílá útočníkům na vzdálený server. Škodlivý kód Fareit ohrožuje například prohlížeče Chrome, Firefox, Opera, Internet Explorer nebo programy Adobe Suite či přístup k FTP službám. Poté, co data získá, se trojský kůň sám vymaže z infikovaného zařízení,“ vysvětluje Miroslav Dvořák, technický ředitel české pobočky společnosti ESET.

Na druhé příčce se umístil další trojský kůň Trojan.MSIL/Spy.Agent.AES. Tento malware se šíří prostřednictvím příloh podvodných e-mailů. Útočníci se snaží škodlivý kód ukrýt v dokumentech, které působí legitimně. Přílohy se tak jmenují například „STATEMENT OF ACCOUNT FILES“ nebo „New Order 4502165216.exe“. „Podobně jako Fareit i pomocí tohoto malware se útočníci pokoušejí získat hesla. Cílí přitom na internetové prohlížeče Chrome a Firefox. Škodlivý kód Spy.Agent.AES stojí za necelými 7 % detekcí,“ říká Dvořák.

Mohlo by vás zajímat: 16 možných rizik blízké budoucnosti podle Swiss Re

Na třetí příčce se umístil backdoor, který analytici v ESET detekují jako Backdoor.Win32/Rescoms. Útočníci jsou schopni jeho činnost řídit na dálku a stejně jako další nejčastější červencové detekce jej zneužívají k odcizení citlivých dat – například informace o zemi, kde se zařízení nachází, jméno zařízení a uživatele, snímky obrazovky a záznamy z webkamery. Útočníci také mohou webkamerou zachytit vlastní video. Veškerá data se následně odesílají na vzdálený server.

Nejčastější kybernetické hrozby v České republice za červenec 2019: