Bezpečnostní analytici upozorňujú na nový typ hrozby pre Android zariadenia, ktorá výrazne mení doterajšie predstavy o mobilnom malvéri. Spoločnosť iVerify objavila na darknete nástroj nazvaný Cellik, ktorý umožňuje útočníkom veľmi jednoducho vytvárať infikované aplikácie vydávajúce sa za legitímny softvér z Google Play. Malvér funguje ako služba a cieli na bežných používateľov, ktorí si často neuvedomujú žiadne varovné signály.
Podstata útoku spočíva v modulárnom systéme, kde si útočník vyberie populárnu aplikáciu alebo hru z oficiálneho obchodu Google Play a jediným krokom k nej pripojí škodlivý kód. Vznikne tak inštalačný balík, ktorý sa správa ako originálna aplikácia a v mnohých prípadoch dokáže obísť aj automatické kontroly služby Google Play Protect. Stačí ho následne zverejniť na webe alebo v diskusiách.
Telefón pod kontrolou útočníka
Najvážnejší problém nepredstavuje samotná distribúcia, ale rozsah oprávnení, ktoré Cellik po inštalácii získa. Napadnutý smartfón sa v praxi mení na vzdialene ovládané zariadenie. Útočník má k dispozícii webovú administračnú konzolu, v ktorej v reálnom čase sleduje obrazovku obete, stav siete či úroveň batérie, pričom môže spúšťať aplikácie a meniť nastavenia systému.
Pritom používateľ často len sleduje, ako sa telefón správa nepredvídateľne. Na pozadí súčasne prebieha zber citlivých dát. Cellik funguje ako keylogger, čiže zaznamenáva všetky stlačenia klávesnice. Správy, vyhľadávania aj prihlasovacie údaje sa ukladajú do databázy, ku ktorej má prístup útočník. Riziko úniku osobných informácií je preto mimoriadne vysoké.
Skrytý prehliadač a zisk z podvodov
Autori nástroja mysleli aj na spôsoby, ako z napadnutých zariadení profitovať. Súčasťou malvéru je neviditeľný webový prehliadač, ktorý beží bez vedomia majiteľa telefónu. Útočník ho môže využívať na generovanie príjmov z reklamy alebo na zobrazovanie falošných prihlasovacích okien, ktoré sa tvária ako dôveryhodné služby.
V praxi to znamená, že pri otvorení bankovej aplikácie či sociálnej siete sa používateľovi môže zobraziť podvrhnutá prihlasovacia obrazovka. Zadané meno a heslo sa však neodošle prevádzkovateľovi služby, ale priamo útočníkovi. Malvér navyše číta systémové notifikácie, takže zachytáva aj jednorazové SMS kódy a umožňuje obchádzať dvojfaktorové overenie.
Prečo je Cellik výnimočný
Bezpečnostní experti upozorňujú, že Cellik predstavuje nebezpečný posun v dostupnosti pokročilých útokov. Kombinácia jednoduchého použitia, integrácie s populárnymi aplikáciami a rozsiahlej vzdialenej správy znižuje bariéry pre menej skúsených útočníkov. Používatelia by preto mali sťahovať aplikácie výhradne z oficiálnych zdrojov a venovať pozornosť oprávneniam, ktoré si inštalovaný softvér vyžaduje.
