Hned v lednu ohrozil třetinu napadených zařízení v České republice javový skript JS/CoinMiner, který zneužívá výpočetního výkonu počítačů k těžbě kryptoměn. Začátkem prvního měsíce roku 2018 dokonce stál za polovinou všech útoků, které jsme v Česku detekovali. JS/CoinMiner běží na pozadí internetových stránek a běžný uživatel jeho přítomnost nezaznamená, pokud si nevšimne pomalejší odezvy počítače a zpomalené reakce používaných programů. Jde o potenciálně nechtěnou aplikaci, která počítač přímo nepoškozuje, ale znepříjemňuje uživateli práci.
Od JS/CoinMiner k JS/Adware.Agent.AA
JS/CoinMiner se držel na první příčce mezi zachycenými online hrozbami až do června. První prázdninový měsíc jej vystřídala další potenciálně nechtěná aplikace JS/Adware.Agent.AA, která si drží prvenství mezi detekovanými škodlivými kódy dodnes. Jde o adware, který se do napadených zařízení stahuje společně s některými nástroji – například video přehrávači, manažery stahování souborů, PDF generátory – volně šířenými po internetu. Poté, co jsou nainstalovány, zobrazují například vyskakovací okna s reklamou, bannery a podobně. Pro jejich autory jsou zdrojem peněz, které plynou z reklamních prokliků.
Konkrétně JS/Adware.Agent.AA se šíří především prostřednictvím webů, které nabízí nelegální kopie filmů. Slibuje instalaci neoficiálního doplňku internetového prohlížeče, který má zrychlit práci s tímto prohlížečem, ale ve skutečnosti jej zpomalí. V době své největší „slávy“ v srpnu letošního roku stál JS/Adware.Agent.AA téměř za třetinou všech zachycených hrozeb, podobně jako v lednu JS/CoinMiner. Poté jeho podíl začal klesat a v závěru roku 2018 se dostal pod podíl 10 %. Během loňského roku nás ale potrápily i méně časté, zato nebezpečnější škodlivé kódy.
QRecorder vysával peníze z účtů
V září jsme upozornili na rizikovou mobilní aplikaci QRecorder, která se objevila v oficiálním obchodě Google Play. Tento oblíbený nástroj pro nahrávání hovorů se po jedné z aktualizací stal pro uživatele hrozbou, která umožňuje útočníkům vzdálený přístup do bankovního účtu napadeného uživatele. Jen v České republice tuto aplikaci používaly desítky tisíc uživatelů. Malware v telefonu čekal na zašifrovaný příkaz z tzv. C&C serveru útočníka, na základě něhož vykonal požadovanou aktivitu. V první fázi zjišťoval, zda jsou v telefonu aplikace, které mohou být pro útočníky zpeněžitelné a nemusí se jednat pouze o bankovní aplikace.
Následně se do telefonu stáhl modul, který vytvořil neviditelnou vrstvu nad cílovou aplikací, například internetovým bankovnictvím, a snímal přihlašovací údaje uživatele. Útočníci dále měli přístup k sms zprávám, které jsou nejčastějším druhým ověřovacím faktorem při převodech peněz. Útočníkům tedy nic nebránilo v tom, aby si vzdáleně posílali peníze z účtu napadeného uživatele na cizí bankovní účty bez jeho vědomí. Trojan cílil na uživatele, kteří měli přednastavenou českou, polskou či německou jazykovou lokalizaci operačního systému Android, což bylo poměrně neobvyklé.
První kód útočící na UEFI a bankovní vir BackSwap
V říjnu jsme objevili a analyzovali zřejmě první škodlivý kód, který infikuje UEFI, tedy moderní náhradu BIOSu v dnešních počítačích. Pojmenovali jsme ho LoJax a na základě několika znaků se domníváme, že za ním stojí nechvalně proslulá skupina Sednit. Ta stála podle amerického ministerstva spravedlnosti za útokem na Demokratický národní výbor ve Spojených státech krátce před prezidentskými volbami v roce 2016. Skupina je bezpečnostními experty rovněž spojována s únikem e-mailů ze Světové antidopingové agentury či za útoky na francouzskou televizní stanici TV5 Monde. V tomto aktuálním případě skupina útočila na vládní instituce ve státech střední a východní Evropy.
Krátce před Vánoci pak na české uživatele internetu zaútočil škodlivý kód BackSwap, který zneužíval škodlivé přílohy e-mailů, s jejichž pomocí útočníci dokázali změnit údaje platebního příkazu a zcizit peněžní částky až do výše 200 000 korun. BackSwap se šířil prostřednictvím přílohy „VydanaFaktura.zip“ nebo „VydanaFaktura.zip.rar“ a umožňoval obcházet dvoufaktorovou autentizaci, tedy potvrzení internetové platby pomocí jednorázového kódu zaslaného formou sms na mobilní telefon uživatele. Na účet bílého koně pak útočníci posílali částky od 60 000 do 200 000 korun, které pak jejich komplicové vybírali z bankomatů.