Vyděračský ransomware po PC už ovládl i mobily

29. 6. 2018

Sdílet

 Autor: © agsandrew - Fotolia.com
Mobilní ransomware se stal nejrozšířenější hrozbou pro telefony a tablety, přičemž některé typy dokonce úspěšně držely krok se svými desktopovými protějšky, ukazuje studie společnosti Trend Micro s názvem 2017 Mobile Threat Landscape.

Mnohem sofistikovanější hrozbou jsou ale podle ní bankovní trojské koně, které mohou citlivé údaje z účtů nic netušících uživatelů získávat v reálném čase. Mobilní adware, který byl dříve jen něčím obtěžujícím, dnes krade data o chování uživatelů.

Rozrůstá se také množství cílených útoků, které slouží ke zneužívání mobilních zařízení pro kybernetickou špionáž (počátky těchto aktivit spadají nejméně do roku 2011). Za růstem počtu a závažnosti hrozeb nestojí pouze lepší dovednosti kyberzločinců, ale především nízká úroveň ochrany uživatelů.  Mnozí zločinci pro své útoky využívali ukázkové exploity a již zveřejněné škodlivé kódy.

Mobilní hrozby se dnes zaměřují také na velmi oblíbenou těžbu kybernetických měn. Útočníkům již nejde jen o krádeže dat či poškození zařízení, ale právě i o vytěžení maxima z vlny popularity měn, jako je Bitcoin, Litecoin nebo Monero.

Zločinci pro své cíle využívají širokou škálu způsobů včetně úprav v obtěžujícím softwaru, „půjčování si “ zdrojů napadaných zařízení a získávání obtížně odhalitelné nadvlády nad zařízením. Nic netušící uživatelé se tak snadno stávají součástí počítačové kriminality.

Pokroku se dočkaly i metody utajení nežádoucích aktivit. Nové mechanismy jsou založené na pečlivějším skrývání škodlivého kódu a schovávání/vydávání se za legitimní služby.

Vzhledem ke stále větším možnostem chytrých telefonů a rostoucí vzájemné propojitelnosti těchto zařízení se rozšiřuje spektrum bezpečnostních nedostatků a dopady jedné jediné zranitelnosti nebo chyby v návrhu zařízení jsou čím dál významnější.

 

Mobilní ransomware

Velmi nebezpečným typem hrozby je mobilní ransomware. Malware zamykající obrazovku mobilního zařízení nebo šifrující uložená data v loňském roce ukázal, proč se jedná o tak závažnou kybernetickou kriminalitu.

Trend Micro získal a zanalyzoval 468 837 jedinečných vzorků mobilního ransomwaru, což je o celých 415 procent jedinečných variant více než v roce 2016. Za takto velkým nárůstem stojí především SLocker (Simple Locker), nejrozšířenější mobilní ransomware. Za rozšířením těchto hrozeb může i snadný přístup do operačního systému Android.

Zajímavá byla i situace z pohledu exploitů – počet zranitelností pro operační systémy Android a iOS se vůči roku 2016 zdvojnásobil. Pro rootování zařízení využívali kybernetičtí zločinci zejména dvě starší zranitelnosti: CVE-2015-1805 (iovyroot) a CVE-2016-5195 (Dirty COW). Obě se týkají přímo jádra a v případě zneužití umožňují získat oprávnění uživatele root.

Za pozornost stojí například ZNIU, první malware postavený právě nad Dirty COW, kterému náleží 30 000 zachycených vzorků a objevil se ve více než čtyřiceti zemích.

K výraznému poklesu došlo u aktivit spojených se zneužíváním aplikačního rozhraní multimediálního frameworku (slouží pro komunikaci s multimediálním hardwarem), obzvláště pak po zdokonalení bezpečnosti v systému Android verze 7.0 (Nougat) a novějších.

 

Bankovní krádeže, kam se podíváš

Nedílnou součástí mnoha chytrých telefonů je dnes mobilní bankovnictví. V roce 2020 se očekává, že více než 2 miliardy uživatelů budou používat nějakou aplikaci pro mobilní transakce. A je tak zcela pochopitelné, že i zde se chtějí počítačoví zločinci trochu přiživit – v roce 2017 zaznamenal a analyzoval Trend Micro přes 100 tisíc (108 439) jedinečných vzorků bankovního malwaru, tedy o 94 procent více než v roce 2016.

Za vším stál především malware BankBot, který je známý i pod názvy CronBot nebo Catelites Bot. S velkou pravděpodobností jde o vylepšenou verzi open source malwaru šířeného v rámci hackerského fóra. Poprvé se tento škodlivý software objevil na počátku roku 2017 a nakonec se dostal až do obchodu Google Play.

Znepokojivé je stále častější zneužívání legitimních služeb ke kybernetickému zločinu. Například počet škodlivých aplikací v obchodě Google Play se v roce 2017 oproti roku 2016 zvýšil o více než 30 tisíc.

Tyto hrozby bylo obtížné rozpoznat, protože byly ukryté za legitimní a šifrovanou komunikací a běžnou funkcionalitou. Po nainstalování aplikace došlo ke stažení škodlivého kódu z řídícího serveru. Potíž byla v tom, že tento kód byl velmi dobře maskovaný a běžnými prostředky prakticky nezjistitelný.

ICTS24

Bezpečnostní incidenty se nevyhnuly ani platformě iOS. Například do oficiálního obchodu App Store se dostal adware i potenciálně nežádoucí aplikace. Problémy působily také škodlivé konfigurační profily, které mohly zařízení s operačním systémem iOS uvést do nereagujícího stavu nebo přimět uživatele ke stažení upravených aplikací.