Vracejí se internetové útoky, které kvůli pandemii oslabily. Pozor na hesla!

27.7.2020 Kybernetická rizika, Technologie

Útoky na hesla zůstávají nejvážnější hrozbou pro české uživatele. Zpravidla se šíří spamem a získávají hesla uložená v prohlížečích. Nejvážnějším rizikem pro uživatele telefonů s operačním systémem Android pak zůstává stalkerware. Tento typ škodlivého kódu se často zneužívá ke sledování partnera bez jeho vědomí. Mezi nejčastější detekce se vrátil také reklamní malware. Vyplývá to z pravidelné statistiky společnosti ESET.

Nejvážnější červnovou hrozbou byl v České republice trojský kůň Spy.Agent.AES. Tento malware má za úkol získávat hesla. Zaměřuje se na více než 20 prohlížečů, včetně těch nejpopulárnějších jako je Chrome, Firefox, Opera či Microsoft Edge. Nejnovější verze, kterou analytici zachytili, kromě toho obsahuje keylogger, dokáže tedy zaznamenávat, co uživatel píše na klávesnici. V květnu dosáhl Spy.Agent.AES rekordního poměru na detekcích (34 %), v červnu ovšem mírně slábl.

„Potvrdila se tak naše předpověď, že bude tato rekordní kampaně oslabovat ve prospěch dalšího malware. Je to způsobeno tím, že během pandemické krize řada útočníků své aktivity omezila a nyní se vracejí na scénu,“ popisuje Martin Jirkal, vedoucí analytického týmu v české pobočce společnosti ESET. „Podle nejnovějších dat se domníváme, že květnový výkyv byl způsobem také tím, že se tvůrci Spy.Agent.AES zaměřili specificky na Českou republiku. To není obvyklé. Většina škodlivých kampaní míří jinam, spíše detekujeme anglickou verzi nějaké globální kampaně.“

Mohlo by vás zajímat: Vladimír Přikryl: Pojišťovny jsou pod tlakem. Musí přehodnotit přístup k rizikům

V Česku se malware testuje

Spy.Agent.AES se šířil e-maily v češtině, v červnu analytici zachytili přílohy s názvy „kopie platby09886673.exe” a „urgentní objednávka.exe”. Podle expertů to ale neznamená, že útočníci nutně byli Češi. „Útočníci se z pochopitelných důvodů snaží skrývat jak svou identitu, tak skutečnou lokalitu. Máme zkušenosti s tím, že útočníci využívají Česko k otestování nových typů škodlivých kampaní před tím, než je spustí globálně. V tuto chvíli vidíme rozšíření Spy.Agent.AES do dalších států,“ říká Jirkal.

Tomu, že v Česku se kampaně testují, nasvědčujeme i vývoj druhé nejčastější hrozby – backdooru FormBook. Jedná se typ malware, který lze na černém trhu pronajmout jako službu. Zneužít jej tak mohou i méně technicky zdatní útočníci. FormBook v květnu dosáhl také výrazného podílu na detekcích, v červnu ovšem klesl o polovinu. „Procentuálně vzato je útoků méně. Vidíme také výrazné rozšíření FormBooku do dalších evropských zemí, v květnu byl výraznější pouze v České republice, v Japonsku a na Tchaj-wanu. Je možné, že vývojáři FormBooku více propagují úspěchy svého malware a zvyšují tak poptávku ostatních,“ vysvětluje Jirkal. FormBook podobně jako Spy.Agent.AES útočí na hesla uložená v prohlížečích. Taktéž se šířil především v přílohách podvodných e-mailů.

Mohlo by vás zajímat: Obvyklí podezřelí: Přehled typických profilů podvodníků v pojištění

Vracejí se starší typy malware

Podle expertů z ESET řada útočníků během pandemie COVID-19 přestala s aktivními útoky a spíše se zaměřila na vývoj kódů. Nyní se ale vrací vše do starých kolejí a s tím také typy malware, které byly v minulých měsících velmi slabě zastoupeny. Příkladem takového malware je trojský kůň Fareit. Ten se ještě na začátku roku pohyboval okolo 5% procentního podílu na detekcích. V dubnu ale klesl na 2 %, v červnu začal výrazně posilovat. „Z dat vidíme, že se nyní typy útoků, které byly v lednu úspěšné, vracejí na scénu. Nečekal bych, že bude jejich množství výrazně odlišné, bude nejspíše směřovat ke svým původním hodnotám z počátku roku,“ doplňuje Jirkal. Fareit se zaměřuje taktéž na získání hesel z prohlížečů. I tento trojský kůň se šíří prostřednictvím infikovaných příloh ve spamu.

Mohlo by vás zajímat: Sloupek Kateřiny Lhotské: Černí pasažéři už nebudou černí...

Hesla je nutné více chránit

Nejčastějším cílem jsou již několik měsíců v kuse uživatelská hesla. Experti proto doporučují dbát na základní pravidla jejich ochrany. To ale mnoho lidí nedodržuje, podle nedávného průzkumu firem ESET a Seznam dokonce třetina lidí používá v některých heslech jen jednoduchou větu či slovo. Speciální znaky pak využívá necelá polovina českých uživatelů. „V kontextu aktuálních hrozeb bych doporučil používat speciální program na správu hesel, namísto ukládání hesel v prohlížečích. Podobně bych neradil nastavení automatického přihlašování, byť je to pohodlné. Naopak je dobré využívat druhý faktor ověření, kdykoli je to možné. Samozřejmostí by pak měla být silná hesla. Doporučil bych zkombinovat více náhodných slov, která pro uživatele tvoří zapamatovatelný příběh,“ radí Jirkal.

Nejčastější kybernetické hrozby v České republice za červen 2020:

MSIL/Spy.Agent.AES (24,88 %)
Win32/Formbook (3,95 %)
Win32/PSW.Fareit (3,48 %)
Win32/Neshta (1,70 %)
Java/Adwind (1,60 %)
Win32/HackTool.Equation (1,31 %)
MSIL/NanoCore (1,20 %)
Win32/Tofsee (1,13 %)
Win32/Agent.UAW (1,04 %)
MSIL/Spy.Agent.CTW (1,01 %)

Stalkerware ohrožuje české telefony nejvíce

V květnu překvalifikovali analytici z ESETu sledovací aplikace z potenciálně nechtěných na škodlivý kód. Detekční pravidla pro malware se obvykle stanovují tak, aby chránila vlastníka zařízení. Pokud je možné nějakou aplikaci v zařízení skrýt, představuje z perspektivy vlastníka problém. „Stalkerware se jeho tvůrci snaží vydávat za aplikace ke sledování zařízení pro případ krádeže nebo nástroje rodičovské kontroly. Je zde ale několik zásadních rozdílů. Například legitimní sledovací aplikace není možné na zařízení skrýt. Aplikace, které detekujeme, mají několik desítek funkcí. Krom určení polohy, tak můžete číst SMS nebo přesměrovat hovor,“ vysvětluje rozdíly Martin Jirkal, vedoucí analytického oddělení z české pobočky firmy ESET.

Stalker v případě těchto aplikací potřebuje ve většině případů přístup k zařízení. Nainstaluje na ně stalkerware a v systému jej skryje. Velmi často se tyto aplikace označují také jako spouseware – spouse je anglický výraz pro partnera, spouseware tedy slouží ke sledování partnera. „Není to nic těžkého. Každý občas někde necháme ležet na okamžik telefon. V případě partnerů může útočník lhát, že jen nainstaluje bezpečnostní program, pro případ že na dovolené oběť telefon ztratí. Pokud se jedná o stalkera může v krajním případě získat přehled o veškeré komunikaci oběti prostřednictvím telefonu, tedy s kým telefonuje nebo komu a co píše. Může také na dálku blokovat některé kontakty nebo vybrané telefonáty přesměrovat na své číslo. Možnosti zneužití jsou opravdu široké,“ dodává Jirkal.

Mohlo by vás zajímat: Jak dnešní studenti využívají moderní technologie?

Stalkerware lze stáhnout z neoficiálních zdrojů

Nejčastěji detekovaným stalkerwarem v České republice je aplikace Cerberus. Krom běžných anti-theft funkcí (například sledování polohy, fotografie či vymazání zařízení na dálku) dokáže také číst SMS, přesměrovat hovory, ovládat zařízení pomocí SMS příkazů nebo třeba nahrát a odeslat útočníkovi video. Navíc je možné aplikaci v systému skrýt. Oběť se tak o sledování nedozví. Cerberus je možné stáhnout pouze z webových stránek mimo oficiální obchod. Aplikace působí lákavě, protože má řadu pochvalných recenzí.

„Aplikace Cerberus byla až do roku 2018 dostupná i v oficiálním obchodě. Pak Google změnil podmínky a některé funkce označil za rizikové, šlo například o SMS příkazy a možnost aplikaci skrýt. Sledovací aplikace totiž dle podmínek Google Play musí jít zřetelně identifikovat. Aplikace byla proto z obchodu odstraněna,“ popisuje Jirkal. Na předních příčkách statistik se objevuje také Guardian, jedná se o součást čínské monitorovací aplikace.

„V praxi jsou to asistenční nástroje, které jsou předinstalované v telefonech ZTE. Primárně má sloužit jako ochrana při ztrátě či odcizení zařízení. Nicméně aplikace může být zneužita i k monitoringu. Rizikovým předinstalovaným softwarem jsou známé především levné telefony. Proto je vhodné dát přednost důvěryhodným výrobcům,“ popisuje Jirkal.

Mohlo by vás zajímat: Mračna nad cestovním ruchem

Stalkerware se objevil i v Google Play

Minulý měsíc varoval ESET také před stalkerwarem, který bylo možné stáhnout z Google Play. Na problémovou aplikaci upozornili analytici také samotné správce aplikačního obchodu. „Jelikož jsme od zástupců Google nedostali žádnou zpětnou vazbu, předpokládáme, že vývojáři aplikace AndroidLost s bezpečnostním týmem Google komunikují a pracují na tom, aby jejich aplikace v budoucnu neobsahovala žádné rizikové funkce,“ říká k situaci Jirkal.

Po skončení pandemie posílil reklamní adware

Třetí nejčastější hrozbou byl pro Čechy trojský kůň Agent.BPO. Ten dokáže ovládat aplikace pro prohlížení internetu, modifikovat URL adresy, instalovat další malware. V Česku nejčastěji zobrazuje nevyžádanou reklamu prostřednictvím tzv. adware. „Adware pro uživatele nepředstavuje přímou hrozbu, nicméně snižuje komfort při používání mobilního zařízení. Reklamní inzeráty často odkazují na stažení infikovaných doplňků či aplikací nebo na podvodné stránky, které, v případě jejich stažení a instalace, mohou pro uživatele představovat podstatně větší riziko. Ovšem i zobrazováním legitimní reklamy vydělává útočník na úkor uživatele,“ vysvětluje Jirkal.

Mohlo by vás zajímat: Jak si vedou německé pojišťovny a evropské zajišťovny v Číně?

Agent.BPO vyniká také svou schopností skrývat se jako komponenta uživatelského rozhraní. Uživatel tak prakticky nemá možnost problémovou aplikaci odstranit a reklamy se zbavit. „Tento typ trojského koně si uživatel zpravidla stáhne v nějaké aplikaci mimo oficiální obchod. Pokud má uživatel dojem, že se mu v jeho zařízení zobrazuje příliš mnoho reklamy, doporučil bych instalovat důvěryhodný bezpečnostní software určený pro mobilní zařízení a spustit detekci. Obecně je nejlepší prevencí instalovat aplikace jen z oficiálního obchodu,“ radí Jirkal.

Nejčastější kybernetické hrozby pro platformu Android v České republice za červen 2020: