Bezpečnostní experti upozorňujú na dôsledne premyslenú kampaň škodlivého softvéru na zariadeniach s operačným systémom Android, ktorá cielene zasahuje českých a slovenských používateľov. Útoky využívajú lákavé reklamy na aplikácie propagované falošným obsahom. Po nainštalovaní sa celý proces vymkne kontrole a môže viesť až k odcudzeniu finančných prostriedkov.
Princíp fungovania útokov
Útočníci využívajú viaceré fázy, aby maximálne využili neopatrnosť používateľa. Po inštalácii prvej aplikácie si táto vyžiada povolenie na inštaláciu ďalších aplikácií. Žiadosť o povolenie systémových práv, ktoré bežné aplikácie spravidla nepotrebujú, už naznačuje potenciálne riziko, ktorému sa však mnohí nevenujú. Druhá fáza získaná prostredníctvom tejto aplikácie zneužíva služby Prístupnosti a ďalej rozširuje svoje oprávnenia. Táto fáza následne stiahne hlavnú časť malvéru určenú na vykonávanie útokov na bankové a kryptomenové účty.
Hlavný modul dokáže interagovať s rozhraním cieľových aplikácií spôsobom, ktorý imituje fyzickú manipuláciu zariadenia. Popri tom obchádza bezpečnostné mechanizmy, ako sú dvojfaktorová autorizácia, a mení systémové nastavenia vrátane limitov na finančných účtoch alebo kryptopeňaženkách. Sleduje aktivity obrazovky a môže zachytiť citlivé údaje, ako sú PIN kódy či heslá.
Široký rozsah funkcionality
Malvér má prepracované nástroje na špehovanie a ovládanie zariadenia. Umožňuje identifikáciu mena používateľa, záznam obrazovky, preposielanie komunikácie cez SMS či uskutočnenie operácií s využitím kontaktov v telefóne. Dokáže manipulovať internetové bankové aplikácie vrátane českého bankového softvéru, upravovať údaje v kryptopeňaženkách, či získať kontrolu nad aplikáciami ako WhatsApp a Facebook. Softvér je lokalizovaný pre niekoľko jazykov vrátane češtiny a slovenčiny, čo ešte viac zvyšuje jeho presvedčivosť.
Priestor na zneužitie sa rozširuje, ak má zariadenie aktívne NFC a nachádza sa v jeho blízkosti platobná karta. Tento modul môže komunikovať s kartou bez vedomia používateľa a vykonať podvodné operácie. Kombinácia legitímne vyzerajúceho rozhrania, zneužívania práv aplikácií a aktívneho sledovania umožňuje útočníkom obísť preventívne kroky bežných používateľov bez toho, aby si to všimli.
Prevenčné opatrenia a riešenia po útoku
Najlepším spôsobom ochrany je inštalácia aplikácií výhradne z oficiálnych obchodov a vypnutie inštalácie z neznámych zdrojov. Pri žiadostiach aplikácií o práva treba dodržiavať zásadu minimálnej nutnosti. Funkcie ako služba Prístupnosti sa neodporúča povoľovať aplikáciám, ktorých povaha tieto práva nevyžaduje. V prípade podozrivej aktivity alebo ak sa používateľ stane obeťou, je nutné zariadenie okamžite obnoviť do továrenských nastavení a zmeniť všetky prihlasovacie údaje.
Bankám odporúčame informovať zákazníkov o možných hrozbách a poskytnúť konkrétne odporúčania, ak bol účet napadnutý. Pri kryptomenách je vhodné vykonať okamžitý prevod na nové adresy v maximálne zabezpečenom prostredí a preferovať hardvérové peňaženky ako bezpečnejší spôsob úschovy. Práva všetkých aplikácií je po incidente potrebné dôsledne skontrolovať a nevyužívané funkcie čo najskôr zakázať.
Útočníci sa spoliehajú na rýchle meniace sa taktiky na oklamanie používateľov, no jadro ich stratégie závisí na neopatrnom udeľovaní prístupov. Jedno zlé rozhodnutie môže viesť k rozsiahlym finančným stratám, ktoré sú často odhalené až príliš neskoro. Prevencia a minimálna úroveň dôvery k aplikáciám sú základom, ako predísť podobným situáciám.
