Dvě aplikace, stejný malware. Jednou se vydává za aplikaci České pošty, podruhé za DHL, ve většině případů však nese název Flash Player 10 Update
- Android -
H Aktualizace Analýzy Android Apple APT Bezpečnost BigBrother BotNet Cloud Exploit Hacking Hardware ICS Incidenty IoT IT Kongresy Kriminalita Kryptografie Kyber Mobilní OS Ostatní Phishing Podvod Ransomware Rizika Rootkit Sociální sítě Software Spam Těžařské viry Útoky Viry Zabezpečení Zranitelnosti
Úvod Seznam Kategorie Podkategorie 0 1 2 3 4 5
V Androidu špehuje malware SkyGoFree
23.1.2018 SecurityWorld Android
Největší dosavadní bezpečnostní hrozbou roku 2018 spojenou s operačním systémem Android – tedy alespoň podle zájmu médií – je malware s mírně zarážejícím názvem SkyGoFree. Samotné jméno pravděpodobně pochází od výzkumníků společnosti Kaspersky a nestojí za ním žádné tajemno.
Toto slovní spojení totiž bylo nalezeno v jedné z domén požitých ve zkoumaném vzorku a malware tak nijak necílí na uživatele telekomunikační společnosti Sky nebo její televize Sky Go. A co vlastně SkyGoFree (nebo SkyFree dle identifikace produkty společnosti Sophos) přesně je? Jedním slovem: Spyware.
Následující část dekompilovaného kódu v Javě, přičemž znalost tohoto jazyka není nutná, protože se jedná jen o ilustraci, naznačuje rozsah dat, která může tento malware ukrást:
. . .
public static final String URL_UPLOAD_CAMERA = "upload_camera.php";
public static final String URL_UPLOAD_CELL_INFO = "upload_cella.php";
public static final String URL_UPLOAD_FILESYSTEM = "upload_filesystem.php";
public static final String URL_UPLOAD_FILE_SEND = "upload_documents.php";
public static final String URL_UPLOAD_HISTORY = "upload_history.php";
public static final String URL_UPLOAD_INFO_TEL = "upload_info_tel.php";
public static final String URL_UPLOAD_LISTAPP = "upload_listapp.php";
public static final String URL_UPLOAD_REG_CALL = "upload_reg_call.php";
public static final String URL_UPLOAD_RUBRICA = "upload_rubrica.php";
public static final String URL_UPLOAD_SMS = "upload_sms.php";
public static final String URL_UPLOAD_WHATSAPP_SMS = "upload_whatsapp_msg.php";
. . .
Při pozornějším pohledu si lze všimnout slova RUBRICA – jde o italský pojem pro adresář. Mnohé ze škodlivého kódu tohoto malware pochází pravděpodobně od italsky mluvících autorů. Výše uvedená ukázka pochází ze souboru s názvem Costanti.java, což by v angličtině odpovídalo názvu Constants.java.
SkyGoFree obsahuje řadu škodlivých funkcí včetně StartReverse(), která nakažený telefon připojí k serveru kybernetických zločinců a umožní tzv. reverzní shell (pojem shell odkazuje na terminologii unixových a linuxových systémů). Za normálních okolností se uživatel musí přihlásit do příkazové řádky a provést připojení k zařízení, což znamená projít několika firewally i překladem síťové adresy, které stojí v cestě.
Řada mobilních datových sítí a téměř všechny Wi-Fi sítě, kde je uživatel konzumentem dat (klient), sice umožňují odchozí komunikaci s jinými lidmi, ale připojení k jeho zařízení již nedovolí - jeho zařízení tak nemůže sloužit jako poskytovatel dat, tedy server. A právě technika reverzního shellu umožňuje hackerům toto omezení obejít a celý proces přihlašování vlastně o 180 stupňů převrátit.
První krok sice i v tomto případě iniciuje uživatelské zařízení, nicméně pouze za účelem navázání spojení se serverem provozovaným počítačovými podvodníky. Následně se již nakažený telefon chová jako server, zatímco zločinci vystupují jako klienti – přihlásí se a získají nad zařízením nic netušící oběti přímou kontrolu.
Součástí SkyGoFree je vlastnost – dá-li se tak vůbec tato funkce nazvat – označovaná jako Social, jejímž cílem je sbírat data z mnoha dalších aplikací spuštěných na klientském zařízení.
Následující fragment kódu ukazuje, jak se SkyGoFree pokouší získat data ze sociálních sítí:
. . .
mMap.put("messenger", new Social("/data/data/com.facebook.orca/databases/", new String[] { "upload_facebook_chat.php" }));
mMap.put("facebook", new Social("/data/data/com.facebook.katana/databases/", new String[] { "upload_facebook_search.php", "upload_facebook_contacts.php" }));
mMap.put("whatsapp", new Social("/data/data/com.whatsapp/databases/", new String[] { "upload_whatsapp_msgstore.php", "upload_whatsapp_contacts.php" }));
mMap.put("gmail", new Social("/data/data/com.google.android.gm/databases/", new String[] { "upload_email_gmail.php" }));
mMap.put("mlite", new Social("/data/data/com.facebook.mlite/databases/", new String[] { "upload_messengerlite_chat.php" }));
. . .
Dobrou zprávou je, že drtivé většiny telefonů se systémem Android využívaných běžným způsobem se tento problém netýká a aplikace si data vzájemně (a nepozorovaně!) číst nemohou. Pokud nejde o rootnutý telefon nebo o příliš staré či neaktualizované zařízení, které obsahuje bezpečnostní chybu umožňující utajený automatický Root, nebude uvedená část tohoto malware fungovat.
SkyGoFree obsahuje i komponentu, která „může volat domů“ a stáhnout si k instalaci další moduly. Jde vlastně o obdobu systému pluginů, jen ve světě malware. Nicméně aktuálně jsou tyto dodatečné balíčky nedostupné. Malware bývá často naprogramován tak, aby se mohl sám aktualizovat i rozšiřovat. Důsledkem tohoto přístupu je, že reálné hrozby jsou ještě větší a nikdo, ani uživatelé ani bezpečnostní výzkumníci, vlastně neví, k čemu infikovaná zařízení kybernetičtí zločinci v budoucnu zneužijí.
Z pohledu uživatele
Zkoumaný vzorek Malware předstírá, že se jedná o „aktualizaci systému“ a používá k tomu zelenou ikonu Androidu:
Dojde-li ke spuštění této aplikace, poběží na pozadí a takřka okamžitě svoji ikonu odstraní a uživatel tak může snadno podlehnout dojmu, že se „aktualizace“ zdařila. Naštěstí se ale tento program stále zobrazuje v přehledu aplikací (Nastavení|Aplikace), kde ho lze zastavit a odinstalovat:
Všechny dostupné informace svědčí o tom, že tento malware nikdy nebyl součástí obchodu Google Play. Aby šlo tento škodlivý software nainstalovat, musí uživatelé zapnout volbu Povolit instalaci neoficiálních aplikací (Nastavení|Zabezpečení|Neznámé zdroje):
Obchod Google Play sice není rajská zahrada bez jakéhokoli viru obehnaná neprostupnou zdí, nicméně ve srovnání s neznámými zdroji – jako jsou alternativní obchody, nemoderovaná diskusní fóra nebo odkazy od přátel – jde pořád o mnohem bezpečnější místo pro získávání aplikací.
Co s tím?
Držet se obchodu Google Play. Pokud opravdu potřebujete využívat specifickou aplikaci, která není k dispozici v Google Play, po její nainstalování možnost využití neznámých zdrojů opět zakažte (Nastavení|Zabezpečení|Neznámé zdroje).
Používejte antivirový program pro operační systém Android.
Nevěřte systémovým aktualizacím třetích stran. Zvláště obezřetní buďte před „aktualizacemi“ uvádějícími, že nabízí další funkce a vlastnosti, které oficiálně nejsou k dispozici.
Falešný WhatsApp zaneřádil Google Play Store
8.11.2017 Securityworld Android
Víc než milionkrát byla z Google Play Storu stažena falešná verze populární komunikační aplikace WhatsApp.
Aplikace s názvem Update WhatsApp Messenger se tvářila autenticky, dokonce u ní byl uveden reálný vývojářský tým WhatsApp Inc., obsahovala však reklamy a v některých případech do telefonů stahovala nežádoucí software. V současnosti už na Play Store uvedena není.
Ať už za ní stál kdokoliv, podařilo se mu během pouhých tří dnů dokonale zmást dle všeho víc než milion uživatelů. Jediný nepatrný rozdíl oproti pravému WhatsApp Messengeru byl v názvu aplikace, kdy ta falešná nevyužívala mezeru, ale znak, který se jen jako mezera tvářil.
Běžný uživatel však takovou odchylku mohl jen těžko postřehnout. Ti uživatelé, kteří využívají automatickou aktualizuaci WhatsApp, problémem stiženi nebyli.
Pro Google přitom nejde ani zdaleka o první případ, kdy z Play Store musel mazat falešné nebo škodlivé aplikace. Například před dvěma lety nadělal řadě uživatelů problémy falešný BatteryBot Pro, aplikace monitorující využití baterie, který z telefonů odesílal nevyžádané prémiové SMS.
Mobilní aplikace pro alternativní taxi napadá virus
10.9.2017 Novinky/Bezpečnost Android
Nový trojský kůň láká od uživatelů mobilní aplikace alternativní taxislužby Uber a dalších údaje k platebním kartám, virus se dostává do zařízení s operačním systémem Android po stažení falešné aplikace nebo kliknutí na podvržený odkaz. Uber mobilní aplikaci používá i v Česku. Škodlivý program nazvaný Androidos Fake Token se zatím ale šíří hlavně v Rusku a anglicky mluvících zemích. Uvedla to Vzhledem k celosvětové popularitě aplikací na sdílení jízd a alternativních taxi služeb typu Uber, Lyft, Sidecar či Easy a Grab podle firmy představuje Fake Token pro uživatele těchto služeb značné riziko. Například počet instalací aplikace Uber z Google Play se pohybuje od 100 do 500 miliónů.
Nebezpečí představují hlavně informace uložené a používané v těchto aplikacích. Jsou to osobní data i údaje potřebné k identifikaci při internetových platbách. Nejnovější verze Fake Token je ukradne sledováním aplikací nainstalovaných v zařízení v reálném čase. V momentě, kdy uživatel takovou aplikaci spustí, je jeho uživatelské rozhraní překryté designově stejnou stránkou škodlivého softwaru za účelem neoprávněného získávání údajů.
Tato stránka poté požádá oběť o zadání podrobných informací k její platební kartě. Falešná stránka na neoprávněné získání údajů se nedá od té originální odlišit, má identické uživatelské rozhraní včetně loga a barevného schématu.
Kyberzločinci dovedou obejít i takzvanou dvoufaktorovou identifikaci, při které banka, vydavatel platební karty nebo mobilní operátor pošle uživateli ověřovací kód prostřednictvím SMS. Nejnovější verze Fake Token dovede zachytit přicházející SMS zprávy s identifikačním kódem a odevzdat odcizené údaje na server kyber zločinců. Fake Token navíc dokáže monitorovat a zaznamenávat telefonické hovory, které se v podobě digitálních záznamů ukládají na servery kyber zločinců.
Zařízení s Androidem jsou nebezpečná, varuje průzkum
27.3.2017 SecurityWorld Android
Skoro tři čtvrtiny zařízení s Androidem obsahuje bezpečnostní aktualizace zastaralé až dva měsíce. Uživatelé se tak vystavují riziku, že jejich mobily či tablety mohou být napadené.
Se statistikou přišla společnost Skycure, specializující se právě na bezpečnost mobilních zařízení.
Obecně lze říci, že množství útoků na mobilní zařízení roste a podstatný díl na tom mají i samotní uživatelé, kteří dostatečně nedbají na jejich bezpečnost. Podle Skycure není v 71 % zařízení s Androidem nainstalován aktuální bezpečnostní patch. A právě tato zařízení jsou nejčastěji mezi napadenými.
Průzkum tak potvrzuje nedávno zveřejněnou zprávu Googlu, podle které na zhruba polovině zařízení s Androidem neproběhla aktualizace s potřebným bezpečnostním patchem už přinejmenším rok.
Mnozí uživatelé argumentují, že systémové aktualizace snižují výkon jejich zařízení, a proto se jim vyhýbají. Odborníci však kontrují tím, že takové uvažování je nesmyslné, jelikož škodlivý software, kterému takovým konáním uvolňujeme cestu, ve finále výkon snižuje mnohem víc.
„Všichni se můžeme chovat ještě zodpovědněji, pokud jde o zabezpečení našich telefonů – výrobci, operátoři i uživatelé,“ říká Varun Kohli, marketingový specialista Skycure. Podle něj je však problémem i to, že mnozí uživatelé o aktualizacích vůbec neví nebo zkrátka mají zastaralý telefon, který je nepodporuje.
„Důrazně však doporučujeme záplatovat každé zařízení s Androidem co nejdřív to jde, protože každý patch je vyvinutý k předcházení nově objeveným hrozbám.“
Mimochodem, ukázalo se například, že s ohledem mobilních hrozeb je nejrizikovějším městem v USA Boston, kde množství útoků na mobilní zařízení v posledním kvartále loňského roku vzrostlo o 960 %. Mezi nejbezpečnější z velkých měst patří naopak San Francisco.
Na české uživatele Androidu míří další vlna malwaru. Co vir Android/Spy.Banker.HO dokáže?
15.2.2017 Živě.cz Android
Do Česka dorazila další vlna falešných aplikací, tentokrát se vydávají za DHL
Za cíl mají krádež přihlašovacích údajů do bankovnictví
Jak se těmto podvodům bránit?
Minimálně od poloviny ledna narážíme každý týden na několik upozornění před škodlivou aplikací pro Androidy, kterou útočníci šíří pomocí SMS. Nejčastěji rozesílají zprávy vydávající se za některou z českých bank, nicméně problémům se nevyhnula ani Česká pošta, e-shop Alza a nejnovější případ se týká přepravní společnosti DHL.
Vzorec útoku je vždy stejný: uživateli dorazí SMS s textem vztahující se k danému subjektu a požadavkem na stáhnutí aplikace. Falešné zprávy od České pošty tak obsahovaly výzvu k vyzvednutí zásilky na depu, u bank útočníci nejčastěji používají variantu s důležitým sdělením, jež má být přečteno právě v odkazované aplikaci, u Alzy slibují výhru a u DHL nabízí v aplikaci změnu doručovací adresy pro dodání balíku.
Dvě aplikace, stejný malware. Jednou se vydává za aplikaci České pošty, podruhé za DHL, ve většině případů však nese název Flash Player 10 Update
Prvním poznávacím prvkem podvodné aplikace může být už adresa, z níž má být stažena. Doposud totiž útočníci vždy použili doménu .online – u Alzy to byla adresa http://alza-shop.online, u DHL je to nyní http://dhl-express.online a u pošty využívali útočníci líbivou adresu http://ceskaposta.online. I díky těmto URL se mohou zprávy pro mnohé uživatele tvářit jako legitimní.
Takto může vypadat podvodná zpráva, tahle se konkrétně vydává za Českou poštu (foto: @TerezaChlubna)
Dalším společným rysem těchto podvodných aplikací je jejich minimální velikost. Při stahování instalačního balíku APK to je vždy pod 1 MB, po instalaci se potom u všech zmíněných verzí velikost pohybovala kolem 1,4 MB. Při spuštění si aplikace samozřejmě vyžádá všechna oprávnění v systému, a pokud je uživatel odsouhlasí, umožní aplikaci nejen přístup do kontaktů, ale například i možnost číst a odesílat zprávy.
Aplikace si vyžádá kompletní systémová oprávnění díky nimž se později může dostat například k ověřovací SMS pro přihlášení do bankovnictví
Základní obranou proti tomuto typu útoku by však měla být především obezřetnost a také zdravý rozum. Pokud uživatel nečeká zásilku od České pošty či DHL nebo mu přijde zpráva z banky, u níž není klientem, je podvod nejpravděpodobnější variantou. Problémem může být například zpráva z Alzy slibující výhru při instalaci aplikace, kdy podobné způsoby promování svých aplikací by mohly některé společnosti opravdu využívat. U všech variant by však mělo platit základní pravidlo neinstalovat aplikace z cizích zdrojů a spoléhat se na integrovaný obchod Google Play.
Podvržené bankovnictví
Pokud uživatel aplikaci nainstaluje, ta běží na pozadí a čeká na svoji příležitost až bude moci naservírovat podvodný přihlašovací formulář do internetového bankovnictví. To se může stát nejen při spuštění samotné podvodné aplikace, ale i při spuštění dalších služeb. Jedna z variant malwaru Android/Spy.Banker tak zobrazovala formulář pro zadání platebních údajů při každém spuštění některého z komunikátorů – Skype, Facebook Messengeru, Hangouts, ale i u sociálních sítí jako je Instagram nebo Twitter.
Aplikace může zobrazovat také formuláře pro zadání údajů platební karty (foto: Fortinet)
U nás se však uživatelé budou setkávat především s lokalizovanou variantou upravenou pro české uživatele. V případě posledního útoku, který využívá jméno přepravce DHL jde čistě o phishing, kdy je po otevření aplikace zobrazen přihlašovací formulář do internetového bankovnictví ČSOB. V případě, že uživatel zadá svoje identifikační číslo a kód PIN, útočníci už mají jednoduchou práci. I k případné ověřovací SMS totiž mají přístup díky udělenému oprávnění číst zprávy.
Pokud uživatel spustí aplikaci, naservíruje mu přihlašovací formulář do internetového bankovnictví. K ověřovací SMS už má také přístup a v napadení účtu mu po zadání údajů nic nebrání (foto: ČSOB)
Aktuálně hrozí trojan Android/Spy.Banker především ve východní Evropě, což je vidět také na mapě společnosti Eset. K jeho rozšíření však došlo už na podzim loňského roku, kdy byl ve své původní podobě využíván pro krádeže přihlašovacích údajů do bankovnictví v Německu, Francii či Rakousku a v menší míře Polsku či Spojených státech.
Aktuálně se malwaru Android/Spy.Banker daří hlavně ve východní Evropě, nejvíc v Rusku a na Slovensku (foto: Eset)
Aktuální vlna útoků je nebezpečná především pečlivou lokalizací – ať už se týká jak doručovaných zpráv, v nichž nenajdeme chyby, tak již zmíněných domén, které se opravdu tváří jako oficiální. Pokud jste aplikaci spustili a zadali do ní údaje, neváhejte s kontaktováním zákaznické linky vaší banky. Aplikaci odinstalujte běžným způsobem v nastavení Androidu a nabídce Aplikace. Velmi často nese název Flash Player 10 Update, v některých případech však útočníci změnili i jméno na DHL nebo Česká pošta.
Levné Androidy s malware: v Rusku takových našli desítky
15.12.2016 Root.cz Android
Kupujete levný telefon či tablet s Androidem od málo známého výrobce? Tak to si dejte pozor, aby v systému nebyl i nechtěný přídavek v podobě malware. Ruský trh je jím zaplavený.
Bezpečnost operačního systému Android je dlouhodobě problematická, hlavně proto, že výrobci pomalu záplatují svoje verze operačního systému. Zde se alespoň situace pomalu vyvíjí k lepšímu. Koupí zařízení s Androidem se však můžete setkat i s mnohem horšími bezpečnostními problémy. Výzkumníci z antivirové společnosti Dr.Web odhalili, že řada chytrých telefonů a tabletů rovnou z výroby obsahuje trojského koně.
Než se začnete děsit, je třeba dodat, že jde převážně o zařízení určená pro ruský trh. Zároveň jde o značky pomyslné třetí kategorie, o kterých jste možná ani neslyšeli. Jmenovitě např. Irbis, Bravis, Supra, Nomi, Ritmix nebo Marshal. Trojský kůň byl nalezen v celkem 26 modelech. Trochu známější už je značka Prestigio, jejíž tablet MultiPad Wize 3021 se prodával i v České republice. Obraz systému však velmi pravděpodobně mohl být jiný.
Seznam kompromitovaných zařízení na ruském trhu: MegaFon Login 4 LTE, Irbis TZ85, Irbis TX97, Irbis TZ43, Bravis NB85, Bravis NB105, SUPRA M72KG, SUPRA M729G, SUPRA V2N10, Pixus Touch 7.85 3G, Itell K3300, General Satellite GS700, Digma Plane 9.7 3G, Nomi C07000, Prestigio MultiPad Wize 3021 3G, Prestigio MultiPad PMT5001 3G, Optima 10.1 3G TT1040MG, Marshal ME-711, 7 MID, Explay Imperium 8, Perfeo 9032_3G, Ritmix RMD-1121, Oysters T72HM 3G, Irbis tz70, Irbis tz56, Jeka JK103.
Trojan se živí hlavně z reklam
Android.DownLoader.473.origin je stahovač, který se spustí vždy se zapnutím zařízení. Malware monitoruje Wi-Fi adaptér a poté se připojí ke command and control serveru, aby získal konfigurační soubor s instrukcemi. Soubor obsahuje informace o dalších aplikacích, které má trojan stáhnout. Po stažení je potají nainstaluje, popisují výzkumníci počáteční aktivitu malwaru. Takto může instalovat jak další škodlivé programy, tak prosté otravné aplikace nebo třeba vkládat reklamu na různá místa v systému. Odinstalace nechtěných programů obvykle nepomůže, protože je základní trojan nainstaluje znovu.
Payload od Android.Sprovider.7 je umístěn v samostatném modulu, který je detekován jako Android.Sprovider.12.origin. Je zašifrován a uložen ve zdrojích hlavního malwaru. Když uživatel odemkne domovskou obrazovku, trojan zkontroluje, zda je modul stále aktivní. Pokud ne, Android.Sprovider.7 znovu získá komponentu ze svého těla a spustí ji, píše se na stránkách Dr.Web. Poté už může dělat mnoho různých věcí. Z toho nejhoršího zmiňme možnost volat na libovolné číslo, zobrazovat reklamy ve stavovém řádku nebo ve všech aplikacích, otevírat odkazy v prohlížeči nebo instalovat balíčky (k tomu však musí dát uživatel svolení).
Původcem je zřejmě dodavatel systému
Ptáte se, jak se trojan vůbec do systému mohl dostat a kdo ho tam dal? Přesnou odpověď neznáme, nicméně výroba noname zařízení je celkem přímočará. Firma objedná hardware, obvykle v Číně, a mnohdy od někoho objedná i hotový obraz systému. Na starost už má potom jen prodej a distribuci. Vzhledem k tomu, že se problém týká širokého spektra značek, je dost možné, že samotní výrobci-značky o malwaru ani neví a nic z něj nemají. Systém o malware zřejmě „obohatil“ dodavatel obrazu systému.
Malou útěchou může být, že malware zřejmě nekrade data nebo se nepokouší uživatele nějak víc špehovat. Jde mu zkrátka o to vydělat svému tvůrci co nejvíc peněz, hlavně z všudypřítomných reklam apod. Jeho funkcionalita se však může rozšiřovat a není vyloučeno, že časem zdivočí. Zatím není znám způsob, jak systém očistit. Dr.Web informoval výrobce a teď je na nich, jak se k situaci postaví a zda vydají čistou aktualizaci systému. Dost možná nikoliv. Jediným řešením tak zůstává zařízení rootnout a o očištění se pokusit svépomocí, případně nahrát důvěryhodnou ROM. Komunitní podpora noname zařízení však často bývá slabá.
Jaké z toho plyne ponaučení? Asi nevěřit velmi levným zařízením od neznámých firem. Modely oficiálně distribuované v ČR sice pravděpodobně budou čisté, ale pokud objednáváte z Číny nebo jiných dalekých končin, už to může být horší a nebudete vědět, co je pro vás v zařízení přichystáno. Zřejmě nejlepším řešením, pokud už chcete koupit levný noname smartphone či tablet, je vybrat rozšířený model s dobrou komunitní podporou a nahrát do něj slušnou ROM.
Android opět pod útokem, na vině je AirDroid
6.12.2016 SecurityWorld Android
Nepříliš zdařilá implementace šifrování v oblíbené aplikaci na vzdálenou správu systému v Androidu umožňuje hackerům útok pomocí vzdáleného spuštění kódu a potenciálně ohrožuje miliony uživatelů.
Podle výzkumníků z firmy Zimperium, která se specializuje na mobilní zabezpečení, posílá aplikace na sdílení obrazovky a vzdálenou kontrolu AirDroid ověřovací informace zašifrované pomocí pevně přiděleného klíče. Tato informace umožňuje man-in-the-middle útočníkům (MITM, také „člověk uprostřed“) vynutit si škodlivou aktualizaci aplikace, díky kterým získají částečná práva na zásahy do systému, stejná, jako má AirDroid.
AirdDroid v základu může přístupovat ke kontaktům uživatele, informacím o poloze, textovým zprávám, fotografiím, záznamům hovorů, foťáku, mikrofonu a obsahu na SD kartě. Může také uskutečňovat platby (alespoň ty v aplikaci), měnit některá systémová nastavení, zrušit zámek displeje, měnit nebo zrušit síťové spojení a ještě mnohem více.
Aplikace, vyvinutá týmem jménem Sand Studio, je v Google Play obchodu již od roku 2011 a od té doby má, podle dat vývojářů, přes 20 milionů stažení.
Ačkoli AirDroid využívá pro většinu svých funkcí zašifrované HTTPS spojení, některá komunikace se vzdálenými servery přesto probíhá skrze základní http, popisují vědci z firmy Zimperium v příspěvku na blogu. Vývojáři se pokusili takto odesílaná data zabezpečit pomocí DES standardu, ale šifrovací klíč je statický a zakódovaný přímo do aplikace, takže si jej může kdokoli zjistit, vysvětlují vědci.
Jednou z takto zranitelných funkcí je sběr statistik, které aplikace posílá na server pomocí DES metodou šifrovaných JSON nákladů. Lze z nich zjistit informace vedoucí k identifikaci účtu a zařízení uživatele a mohou být použitý k vydávání se za daný chytrý telefon, což útočníkům umožní připojit se k jiným serverům, které aplikace využívá.
„S touto informací se může útočník vydávat za mobilní zařízení oběti a vykonávat různé HTTP a HTTPS požadavky jeho jménem přímo na koncových bodech API AirDroidu,“ vysvětlují vědci.
Tak například MITM útočník může tímto způsobem přesměrovávat žádosti na server, využívané pro vyhledání nových aktualizací, a vložit tam svůj infikovaný kód. Uživatel dostane standardní oznámení o dostupné aktualizaci a pravděpodobně ji nainstaluje; tím hacker dostane přístup k pravomocem samotné aplikace.
Vědci ze Zimperium již vývojáře AirDroidu o problému informovali v květnu; ze zářijové odpovědi vyplynulo, že oprava má přijít v listopadových aktualizacích 4.0.0 a 4.0.1, aplikace však přesto zůstává zranitelná. Pracovníci firmy se tak rozhodli zranitelnost veřejně oznámit.
Podle šéfky marketingu Sand Studio, Betty Chenové, má opravná aktualizace vyjít do dvou týdnů. Vývojářský tým potřebuje čas na nalezení řešení a synchronizaci kódu u všech svých klientů na různých platformách a serverech, než nové šifrování vypustí do světa. Není totiž kompatibilní s předchozími verzemi, vysvětlila.
Vznikl zde jistý komunikační šum, neboť datum, které společnost dalo firmě Zimperium, se skutečně týkalo vydání AirDroidu 4.0, který sice učinil nějaké související změny, ne však samotnou opravu.
Není to poprvé kdy se v AirDroidu objevila významná zranitelnost. V dubnu 2015 odhalil výzkumník, že skrze AirDroid může převzít kontrolu nad zařízení s Androidem prostým odesláním infikovaného odkazu uživateli skrze SMS. V únoru zase jiní výzkumníci z firmy Check Point přišli na způsob, jak ukrást data ze zařízení skrze systém kontaktů vCards s použitím právě AirDroidu.
Výzkumníci ze Zimperium doporučují aplikaci deaktivovat nebo odstranit do doby, než vyjde oficiální oprava. Instalovat v mezidobí jiné aktualizace této aplikace může pro uživatele být velmi nebezpečné.
Nebezpečný malware cílí na klienty bank. Útočí na Android
5.12.2016 Novinky/Bezpečnost Android
Na pozoru by se měli mít v poslední době majitelé přístrojů s operačním systémem Android. Na tuto platformu se totiž podle všeho soustředí počítačoví piráti stále častěji. Jeden z posledních zachycených kyberútoků může udělat pěkné vrásky na čele především klientům bank, nezvaný návštěvník se je totiž snaží obrat o peníze.
Před bankovním malwarem, jejž bezpečnostní výzkumníci pojmenovali SmsSecurity, varoval Národní bezpečnostní tým CSIRT.CZ.
Počet zaznamenaných útoků navíc není podle vyjádření expertů zanedbatelný. „V poslední době bylo zaznamenáno množství útoků nové verze škodlivé aplikace SmsSecurity cílící na zákazníky bank,“ varoval Pavel Bašta, bezpečnostní analytik CSIRT.CZ, který je provozován sdružením CZ.NIC.
Podle něj byly doposud zaznamenány útoky na klienty bank v Rakousku, Německu, Maďarsku, Rumunsku a Švýcarsku. Není nicméně vyloučeno, že tento nebezpečný malware se budou počítačoví piráti snažit nasadit i v Česku.
Převzetí kontroly nad zařízením
Při snaze o infiltraci škodlivého kódu jsou navíc kyberzločinci velmi vynalézaví. „Aplikace pro operační systém Android se maskuje jako součást dvoufaktorové autentizace některé z bankovních aplikací,“ podotkl Bašta.
„Podvodným oznámením o nutnosti aktualizace se škodlivý software stáhne a v dalších krocích získá kontrolu nad zařízením pomocí instalace aplikace TeamViewer QuickSupport, obvykle využívané pro vzdálenou podporu uživatelů. Cílem aplikace je kromě převzetí kontroly nad zařízením také krádež hesel,“ doplnil bezpečnostní expert.
V případě, že se uživatelé setkají s nestandardním fungováním aplikace pro internetové bankovnictví, měli by se neprodleně obrátit na zástupce své banky. A to platí i v případě, kdy ve svém mobilním přístroji objeví program, jehož původ je neznámý.
Oficiální zdroj není zárukou bezpečí
Vhodné je také stahovat veškeré aplikace pouze z oficiálních zdrojů, v případě operačního systému Android tedy přímo z Google Play. Ani tak ale uživatelé nemají 100% záruku, že budou v bezpečí.
Na podzim se totiž například v oficiálním obchodu od této internetové společnosti objevila podvodná aplikace Guide for Pokémon Go (Průvodce hrou Pokémon Go), která dokázala v chytrém telefonu udělat pěknou neplechu. Útočníci se totiž jejím prostřednictvím mohli zmocnit přístupových práv, a tím pádem i celého napadeného zařízení.
Jak je už z názvu podvodné aplikace zřejmé, útočníci se tehdy snažili využít velkého zájmu lidí o hru Pokémon Go.
Podvodná aplikace Guide for Pokémon Go
Malware Gooligan napadá starší zařízení s Androidem. Ohroženo je více než milion účtů
1.12.2016 cnews.cz Android
Experti z Check Pointu objevili a dlouhodobě sledovali malware nazvaný Gooligan. Na zařízeních s Androidem potichu převezme kontrolu nad systémem. Může získat data ze služeb Googlu, ale primárně má útočníkům vydělávat. Napadeno je minimálně milion účtů.
Malware Gooligan napadl více než milion účtů
Gooligan využívá zranitelností ve starších verzích Androidu (4.x a 5.x), které najdeme na přibližně třech čtvrtinách aktivních zařízení. Ohrožené jsou primárně účty v Asii (57 %), těch evropských je jen 9 %. Do zařízení se malware dostane instalací falešné aplikace ze zdrojů třetích stran. Tedy přímou instalací APK nebo použitím jiného obchodu než Play Storu. (Ty jsou kvůli nedostupnosti Googlu rozšířeny především v Asii.)
Malware získá pomocí exploitů Vroot nebo Towelroot rootovská práva. Pak se dostane k autentizačním tokenům Googlu, takže má přístup k uloženým datům i bez znalosti hesla či potřeby projít dvoufázové ověření. Na napadené telefonu lze přistupovat do Dokumentů, Disku, Gmailu, Fotek a především Google Play.
Skrz již oficiální obchod Googlu stahuje nové aplikace (i vícekrát díky falšování IMEI a IMSI) a hodnotí je, takže v Play Storu stoupá jejich prestiž. Kromě do zařízení instaluje adware, který pak v systému obtěžuje reklamou.
Bezmocný Google
Google již o problému ví a s Check Pointem spolupracuje. Na své straně toho ale moc nevyřeší. Chyby ve starších Androidech již opravil, ale záplaty se kvůli liknavosti výrobců nedostaly do všech zařízení. Android 6.0+ už navíc má i ochranu, která hlídá i aplikace instalované z neověřených zdrojů. Je to pro něj ale signál, na které závadné aplikace v Play Storu si dát pozor.
Gooligan se nachází v necelé stovce falešných aplikací (seznam níže). Jejich smazání nepomůže, řešením není ani obnova do továrního nastavení. Jediným lékem je přeinstalace systému pomocí flashnutím obrazu, který poskytuje výrobce telefonu. Bude také nutné změnit heslo k účtu. Check Point nabízí též nástroj, pomocí něhož si můžete ověřit, zdali jste obětí Gooliganu. Stačí zadat e-mail.
Falešné aplikace s Gooliganem
Assistive Touch
ballSmove_004
Battery Monitor
Beautiful Alarm
Best Wallpapers
Billiards
Blue Point
CakeSweety
Calculator
Clean Master
Clear
com.browser.provider
com.example.ddeo
com.fabullacop.loudcallernameringtone
com.so.itouch
Compass Lite
Daily Racing
Demm
Demo
Demoad
Detecting instrument
Dircet Browser
Fast Cleaner
Fingerprint unlock
Flashlight Free
Fruit Slots
FUNNY DROPS
gla.pev.zvh
Google
GPS
GPS Speed
Hip Good
Hot Photo
HotH5Games
Html5 Games
Chrono Marker
Kiss Browser
KXService
Light Advanced
Light Browser
memory booste
memory booster
Memory Booster
Minibooster
Multifunction Flashlight
Music Cloud
OneKeyLock
Pedometer
Perfect Cleaner
phone booster
PornClub
PronClub
Puzzle Bubble-Pet Paradise
QPlay
SettingService
Sex Cademy
Sex Photo
Sexy hot wallpaper
Shadow Crush
Simple Calculator
Slots Mania
Small Blue Point
Smart Touch
SmartFolder
Snake
So Hot
StopWatch
Swamm Browser
System Booster
Talking Tom 3
TcashDemo
Test
Touch Beauty
tub.ajy.ics
UC Mini
Virtual
Weather
Wifi Accelerate
WiFi Enhancer
Wifi Master
Wifi Speed Pro
YouTube Downloader
youtubeplayer
Více než milion účtů Google ohroženo novým malwarem Gooligan
1.12.2016 SecurityWorld Android
Check Point Software odhalil novou variantu malwaru pro Android, která narušila bezpečnost více než milionu účtů Google.
Nová malwarová kampaň Gooligan rootuje zařízení se systémem Android a krade e-mailové adresy a uložené ověřovací tokeny. S těmito informacemi mohou útočníci získat přístup k citlivým uživatelským datům z Gmailu, Fotek Google, Dokumentů Google, Google Play a G Suite.
„Tato krádež informací o více než miliónu účtů Google nemá obdoby a je to další etapa kybernetických útoků,“ říká Daniel Šafář, Country Manager pro Českou republiku a region CZR ve společnosti Check Point. „Vidíme posun ve strategii hackerů, kteří nyní cílí na mobilní zařízení a snaží se z nich dostat citlivé informace.“
Klíčová zjištění:
Kampaň infikuje 13 000 zařízení každý den a jako první způsobila root více než 1 milionu zařízení.
Stovky e-mailových adres jsou spojeny s podnikovými účty z celého světa.
Gooligan cílí na zařízení se systémem Android 4 (Jelly Bean, KitKat) a 5 (Lollipop), které představují téměř 74 % aktuálně používaných zařízení Android.
Jakmile útočníci získají kontrolu nad zařízením, generují tržby podvodným instalováním aplikací z Google Play a hodnotí je jménem obětí.
Každý den Gooligan instaluje na kompromitovaných zařízeních minimálně 30 000 aplikací, což je více než 2 miliony aplikací od začátku kampaně.
Malware ohrozil i účty a zařízení českých uživatelů.
Check Point s informacemi o kampani okamžitě informoval bezpečnostní tým společnosti Google.
„Společně jsme pracovali na pochopení situace a odpovídajících krocích. V rámci naší trvalé snahy chránit uživatele před malwarem z rodiny Ghost Push jsme přijali řadu opatření, abychom naše uživatele chránili a vylepšili celkové zabezpečení ekosystému Android,“ říká Adrian Ludwig, ředitel zabezpečení systému Android ve společnosti Google. Google mimo jiné kontaktoval postižené uživatele a zrušil jejich tokeny, odstranil aplikace spojené s malwarovou rodinou Ghost Push z Google Play a přidal nové vrstvy ochrany do technologie ověřování aplikací.
Mobilní výzkumný tým společnosti Check Point poprvé zaznamenal Gooliganův kód ve škodlivé aplikaci SnapPea minulý rok. V srpnu 2016 se objevila nová varianta malwaru a od té doby infikoval denně minimálně 13 000 zařízení. Asi 57 % z těchto zařízení se nachází v Asii a asi 9 % v Evropě.
Unikly informace o stovkách e‑mailových adres spojených se společnostmi z celého světa. K infikování zařízení dojde, pokud uživatel stáhne a nainstaluje Gooliganem nakaženou aplikaci na zranitelném zařízení se systémem Android nebo klikne na nebezpečný odkaz ve zprávě použité k phishingovému útoku.
Check Point nabízí bezplatný online nástroj, který umožňuje uživatelům systému Android zkontrolovat, jestli byla narušena bezpečnost jejich účtu.
„Pokud byl váš účet napaden, je nutné provést čistou instalaci operačního systému na vašem mobilním zařízení. Tento komplexní proces se nazývá ‚flashování‘ a doporučujeme vypnout přístroj a zařízení donést k certifikovanému technikovi nebo vašemu poskytovateli mobilních služeb, protože celá operace vyžaduje odborné provedení,“ dodává Šafář.
Nezvaný návštěvník vydělává kyberzločincům peníze. Zobrazuje reklamu a volá na prémiové linky
14.9.2016 Novinky/Bezpečnost Android
Velký pozor by si uživatelé měli dát na nový škodlivý kód zvaný CallJam, který objevili bezpečnostní experti společnosti Check Point. Tento nezvaný návštěvník totiž dokáže z chytrého telefonu volat na placená čísla a tím uživateli pěkně prodražit pravidelné vyúčtování. Navíc zobrazuje reklamu na displeji přístroje, díky čemuž útočníci inkasují další peníze.
Výzkumníci odhalili škodlivý kód ve hře Gems Chest for Clash Royale, kterou bylo možné stahovat pro zařízení s operačním systémem Android v Google Play od letošního května. Od té doby si ji stáhly stovky tisíc lidí.
„CallJam přesměruje oběti na nebezpečné webové servery, které útočníkům generují podvodné příjmy. Aplikace zobrazuje na těchto webových stránkách podvodné reklamy namísto jejich zobrazení přímo na zařízení,“ varoval David Řeháček, bezpečnostní odborník ze společnosti Check Point.
Virus CallJam se maskoval za hru Gems Chest for Clash Royale.
FOTO: Check Point
Podle něj si nicméně hned po stažení aplikace mohli zběhlejší uživatelé všimnout, že je něco v nepořádku. „Ještě než malware zneužije infikované zařízení k volání na prémiová čísla, požádá aplikace o udělení oprávnění. Bohužel jak jsme často viděli i u podobných předchozích útoků, většina uživatelů udělí oprávnění dobrovolně a často bez čtení nebo plného pochopení možných následků,“ doplnil Řeháček.
Přístroj pak vytáčí předem vytipovaná čísla, která útočníkům vytvářejí zisk. Peníze jim mimochodem vydělává i reklama, kterou dokáže CallJam také zobrazovat.
„Hra dosáhla relativně vysokého hodnocení, protože uživatelé byli požádáni o ohodnocení hry ještě před spuštěním škodlivých aktivit pod falešnou záminkou a slibem dalších herních bonusů. Je to další příklad, jak mohou útočníci získat pro svou aplikaci vysoké hodnocení a distribuovat ji na oficiálním obchodu s aplikacemi a ohrožovat zařízení a citlivá data,“ konstatoval bezpečnostní odborník.
Objevená hra Gems Chest for Clash Royale, která zákeřný virus obsahovala, byla určena pro operační systém Android. Není nicméně vyloučeno, že CallJam budou útočníci maskovat za úplně jinou aplikaci, případně že se s ním pokusí napálit také uživatele jiných mobilních platforem.
Uzamkne displej mobilu
Na operační systém Android před nedávnem cílila také falešná verze hry Pokémon Go. Šlo o tzv. lockscreen, který uzamkne displej telefonu a tím jej zcela zablokuje. I tohoto záškodníka se počítačovým pirátům podařilo propašovat do oficiálního obchodu Google Play.
„Pokemon GO Ultimate je první zaznamenanou falešnou aplikací v Google Play s funkčností lockscreen. Ve skutečnosti není příliš škodlivá, jejím cílem je skryté klikání na porno reklamy,“ uvedl Petr Šnajdr, bezpečnostní expert společnosti Eset.
Záměr útočníků je tedy zřejmý. Nesnaží se uživatele nějak poškodit nebo odcizit jeho data. Pouze se snaží prostřednictvím umělého navýšení kliků na bannery zvýšit příjmy daných webů z reklamy. Zamčený displej nejde žádným způsobem odemknout.
V mnoha případech je jediným řešením tzv. tvrdý restart zařízení, který se dělá jednoduše vyndáním baterie nebo kombinací určitých kláves. I po restartu ale zvládne nezvaný návštěvník klikat na porno stránky na pozadí a tím ukrajovat výkon smarpthonu.
Towelroot: Uživatelé starších Androidů v ohrožení
26.4.2016 Android
Útočníci zneužili dříve nevídaným způsobem Towelroot, aby uživatelům starších Androidů do systému v tichosti nainstalovali škodlivý software.
Uživatelé starších verzí Androidu můžou mít problém. Útočníci našli novou fintu, jak jim do systému nainstalovat ransomware z webových stránek se škodlivými reklamami. Podobné útoky vedené skrze prohlížeče nebo jejich plug-iny jsou běžné na počítačích s operačním systémem Windows, nikoliv však na Androidech, kde je bezpečnostní model efektivnější.
Nový drive-by útok teď objevili vývojáři z týmu Blue Coat System, když jejich testovací tablet Samsung běžící s ROMem CyanogenMod 10.1 (postaveném na Androidu 4.2.2) infikoval po návštěvě škodné webové stránky ransomware.
„Tohle je, pokud je mi známo, poprvé, kdy byli útočníci schopni úspěšně nainstalovat škodlivou aplikaci do mobilního zařízení bez jakékoliv interakce nebo přispění uživatele,“ říká Andrew Brandt z Blue Coat. „Zařízení během útoku nezobrazilo standardní box s povolením práv, který normálně instalaci androidové aplikace předchází.“
Další analýza ukázala, že škodlivá reklama obsahovala JavaScript kód, který využil od loňska známé slabiny v knihovně libxslt. Po následném spuštění ELFu s názvem module.so se útočník mohl dostat až k root právům a jejich zneužitím stáhnout a v tichosti nainstalovat APK v podobě ransomwaru známého jako Dogspectus nebo Cyber.Police.
Ten, na rozdíl od jiného ransomwaru, nešifruje soubory, ale namísto toho zobrazí falešné varování (vydávající se za zprávu oficiálních úřadů), že na zařízení byla zjištěna nezákonná aktivita a majitel proto musí zaplatit pokutu. Aplikace zároveň oběti znemožní dělat se zařízením cokoliv dalšího, dokud nezaplatí nebo neprovede tovární reset. Druhá možnost však z telefonu smaže veškeré soubory, je proto lepší se předtím připojit k počítači a zálohovat je.
„Zásadní je, že starší zařízení, která nebyla aktualizována (a nejspíš ani nebudou) posledním Androidem, mohou být vůči této hrozbě zranitelná už napořád,“ uvádí Brandt.
Díra využívající ELFu module.so je ve světě Androidářů už několik měsíců známá jako Towelroot a primárně není škodlivá. Někteří uživatelé ji dokonce účelově využívají k rootování svých zařízení a odblokování některých bezpečnostních opatření či funkcí, které nejsou běžně přístupné.
Jelikož však mohou být snadno zneužity, Google aplikace určené k rootování považuje za potenciálně nebezpečné a jejich instalaci blokuje prostřednictvím funkce Verify Apps (ovládat lze následovně: Google Settings – Security – Scan device for security threats). Nejlepším doporučením je však upgradeování Androida na nejnovější verzi obsahující bezpečnostní patche a vylepšení.
V případě, že už zařízení aktualizace nepodporuje, uživatelé by podle Googlu měli omezit surfování po internetu a místo defaultního anroidího prohlížeče nainstalovat Chrome.