Smartphone nebo tablet vlastní u nás přibližně 8 milionů lidí, a pro útočníky je to atraktivní pole. Škodlivé aplikace se snaží maskovat jako legitimní a užitečné služby. Přibývá také ztrojanizovaných aplikací. V těchto případech vytvoří útočník upravenou škodlivou verzi aplikace, a nahraje ji jako aktualizaci verze původní.
Aplikace na první pohled nevyvolávají žádné podezření.
Za poslední půlrok jsme objevili tři nové aplikace z těchto skupin, které útočí na finance uživatelů: bankovní trojské koně a falešné bankovní aplikace. Zástupce obou typů detekoval náš slovenský analytik Lukáš Štefanko na Slovensku i český tým analytiků u nás. Objevili i konkrétní jazykové mutace aplikací, které měly oslovit české uživatele. Jako příklad trojského koně můžeme uvést aplikaci k nahrávání hovorů QRecorder, správce kryptoměn MetaMask (respektive aplikaci MetaMask pro Android) nebo slovníkovou aplikaci Word Translator.
Jak se liší falešné aplikace od ztrojanizovaných?
Technicky vzato nejsou falešné aplikace ani zdaleka perfektní, ale mají pro hackery několik výhod. Díky nim jsou efektivnější než mnohem obávanější trojské koně, kteří jdou také po vašich penězích. Falešná bankovní aplikace využívá reálnou službu. Zneužije logo, grafiku i název. Aplikace na první pohled nevyvolávají žádné podezření. Tento případ je prozatím nejčastější.
Ztrojanizovaná aplikace je aplikace, která byla zneužitá v průběhu aktualizace. Původní aplikace – například v úvodu zmíněný QRecorder – je neškodná a slouží jak má. Jeho popularitu zneužije hacker.
Existují dva scénáře nasazení škodlivého kódu. Vývojář po nějaké době obohatí aplikaci o malware sám formou aktualizace a pokusí se získat vaše finanční zdroje. Případně se útočník pokusí „hacknout“ celou aplikaci bez vědomí jejího vývojáře. S posledním případem se setkáváme nejméně často, protože vývojáři se snaží své aplikace aktivně chránit. Upravenou aplikaci útočník nahraje zpět do Google Play a čeká, jaká data se mu podaří získat.
Podle slov analytika Lukáše Štefanka využívají falešné bankovní aplikace toho, že vypadají jako legitimní bankovní aplikace. Pokud uživatel aplikaci v dobré víře stáhne, je pravděpodobné, že do ní zadá skutečné přihlašovací údaje. Na rozdíl od trojských koní nevyskočí na displeji žádná rušivá žádost o autorizaci, která by mohla uživatele varovat.
Trojské koně byly dlouho odborníky považovány za největší riziko pro uživatele platformy Android.
Z technického pohledu jsou trojské koně robustní, to znamená, že dokážou více než „jen“ získat přístupy k bankovnictví. Mohou například také obsahovat špehující funkce nebo ransomware.
Trojští koně jsou náchylnější k odhalení. Bezpečnostní software sleduje chování aplikace, tedy hledá například procesy, ke kterým by z logiky věci přístupy mít neměly. Trojské koně byly dlouho odborníky považovány za největší riziko pro uživatele platformy Android.
Naši analytici se domnívají, že falešné aplikace jsou stejně nebezpečné. O hrozbách pro Android bude analytik Lukáš Štefanko mluvit na odborném kongresu Mobile World Congress v Barceloně na konci února. Aktuální dění z veletrhu budete moct sledovat na našich sociálních sítích.