Počet detekcí adwaru Andreed přitom začal s příchodem prázdnin klesat a v srpnu tento pokles pokračoval. Rozhodně bychom ale neměli předpokládat, že riziko v podobě adwaru je v Česku menší, nebo že se adware z našeho prostředí trvale stahuje.

Adware většina uživatelů a uživatelek nepovažuje za velkou hrozbu. I reklama však může být kromě toho, že zahltí naše zařízení, škodlivá. Prostřednictvím reklamy mohou útočníci inzerovat podvodná sdělení nebo nás odkazovat na nebezpečné stránky obsahující malware. Škodlivou reklamu využívají také ve větších a propracovanějších útocích jako prostředek k manipulaci. V takové kampani se útočníci zaměřili například i na české banky.

I kvůli tomu, že je adware jako kybernetická hrozba dlouhodobě podceňovaný, jej útočníci stále s oblibou využívají. V Česku jej dlouhodobě šíří prostřednictvím napodobenin mobilních her, na které můžeme narazit v obchodě třetí strany.

V srpnu se v případě adwaru Andreed jednalo o napodobeninu hry Mini Ninjas, objevoval se ale nadále také v aplikaci pro luštění křížovek. Bezpečnostní experti dlouhodobě upozorňují na to, že oběťmi adwaru mohou být i děti, pro které může být řada falešných her lákavá.

Cílem bankovního malwaru je i mobilní telefon

V srpnu se situace nezměnila ani v případě malwaru Agent.HQS. Objem jeho detekcí sice v červenci narostl, další růst počtu případů byl v srpnu již minimální. Útočníci jej také maskují za domnělou aplikaci, a to konkrétně za MXtech videoplayer.

Agent.HQS se šíří v podobě tzv. dropperu, který si lze představit jako obálku doručující škodlivý kód. Pokud dropper uživatelé stáhnou a nainstalují, „rozbalí se“ a umožní instalaci dalších škodlivých kódů. Útočníci se touto strategií snaží obcházet bezpečnostní řešení.

Škodlivé kódy na platformě Android doplnil opět bankovní trojský kůň Cerberus. Rizikem je především v okamžiku, kdy navštěvujeme internetové bankovnictví přes prohlížeč chytrého telefonu, a ne přes bankovní aplikaci.

Jedna z hlavních funkcionalit tohoto malwaru je tzv. webinject. Díky ní útočník dokáže upravit webovou stránku, například naší banky, tak, že přidá nová pole do formulářů, odebere ochranné prvky nebo převezme kontrolu nad tím, kam jsou posílána naše data. Útočníci tímto způsobem dokáží na svůj server posílat získaná hesla, přepsat bankovní účet, kam peníze zasíláme, nebo odcizit údaje z bankovních karet. Rozsah úprav webové stránky závisí jen na tom, nakolik je útočník “šikovný”.

Organizované skupiny útočníků versus uživatel

Škodlivé kódy jsou obecně velkým rizikem pro naše data, která mají pro útočníky velkou cenu. I adware jim může posloužit k získání celé řady informací o našem zařízení nebo o našem chování na internetu. Z nich si pak mohou poskládat obrázek o tom, kdo jsme. Lépe pak na nás zacílí útoky využívající techniky sociálního inženýrství, pro které je společným znakem především manipulativní komunikace.

Kvalitní bezpečnostní software chrání uživatele nejen před hrozbami v podobě malwaru, ale také před potenciálně nechtěnými aplikacemi či pochybnými webovými stránkami. Pokud je webová stránka, na kterou se adware snaží uživatele přesměrovat, na seznamu podvodných stránek, bezpečnostní program k ní zablokuje přístup.

Uživatelům se pak objeví varování s informacemi, proč je webová stránka blokována. Program také v případě, že nějakou aplikaci nebo soubor detekuje jako nebezpečné, zapne při jejich stažení či spuštění detekci rezidentní ochranou souborového systému. Tato funkce stažení nebo spuštění zablokuje a přesune nebezpečný objekt do karantény.

Nejčastější kybernetické hrozby v České republice pro platformu Android za srpen 2024:

1. Android/Andreed trojan (11,54 %)
2. Android/TrojanDropper.Agent.HQS trojan (8,52 %)
3. Android/Spy.Cerberus trojan (5,22 %)
4. Android/Agent.FBG trojan (4,12 %)
5. Android/TrojanDropper.Agent.GKE trojan (4,12 %)
6. Android/TrojanDropper.Agent.GKW trojan (3,57 %)
7. Android/Agent.FBE trojan (2,75 %)
8. Android/Monitor.Traca application (2,75 %)
9. Android/TrojanDropper.Agent.IDL trojan (2,47 %)
10. Android/Agent.CZB trojan (2,20 %)

Uživatelé řešení ESET jsou před těmito hrozbami chráněni.

Droppery infikují zařízení bankovním malwarem

V srpnu se droppery nejčastěji šířily z neoficiálních zdrojů, jako jsou různá fóra, a instalovaly trojského koně Cerberus. V českém prostředí se tento malware objevuje již dlouhodobě a bezpečnostní analytici jeho aktivitu pravidelně sledují. Ohrožuje zejména bankovní služby.

Cerberus obsahuje například funkce pro odcizení přihlašovacích údajů z legitimních stránek bank anebo ke čtení SMS kódů, a tím obcházení dvoufázového ověření, včetně Google Authenticatoru.

Cerberus je rizikový především při placení přes internetové bankovnictví, ale ne pro oficiální bankovní aplikaci.

Malware Cerberus je v současnosti velmi populární, jsou s ním spojené téměř tři čtvrtiny detekcí pro systém Android. Jeho zdrojový kód byl totiž zveřejněn na darkwebu, a to znamená, že ho může nyní kdokoli stahovat a upravovat.

Malware se maskuje za známé nástroje a služby

V srpnu byl nejčastěji detekovaným typem škodlivého kódu dropper GOF. Ten se maskoval za několik známých nástrojů a služeb, jmenovitě například za Pinterest. Uživatel na něj mohl narazit také v aplikaci na sledování statistik fotbalových zápasů nebo čtení ekonomických médií.

Druhým nejčastěji detekovaným typem byl dropper GUL, který parazituje na aplikacích od výrobců populárních mobilních telefonů a inteligentních hodinek. Pro šíření tohoto typu mohou být případně využity i nelegální modifikace populárních her.

Na pomyslném třetím místě ve statistice srpnových hrozeb se umístil trojský kůň Andreed. Ve srovnání s předchozími detekcemi se jedná o méně rizikový malware, který zobrazuje nevyžádanou agresivní reklamu. Vyskytoval se opět v aplikacích z neoficiálních zdrojů.

Před malwarem ochrání oficiální bankovní aplikace

Pro detekované hrozby za měsíc srpen je společné, že si je uživatel může stáhnout sám z neoficiálních míst a mimo obchod Google Play, kde jsou placené či nedostupné. Bezpečnostní tým Google Play na druhou stranu své aplikace proaktivně prověřuje a malware v nich vyhledává. Ochrana před těmito hrozbami je tak nadále z velké části v rukou samotného uživatele.

Bezpečnostní tým Google Play své aplikace proaktivně prověřuje a malware v nich vyhledává.

Uživatel by si měl do zařízení nainstalovat také renomovaný bezpečnostní software, který potenciální riziko včas odhalí. Cerberus ohrožuje pouze internetové bankovnictví a nikoli aplikace bank. Spolehlivou a účinnou ochranou je tak používání oficiálních bankovních aplikací a ověřování plateb přímo v nich, například pomocí otisků prstů.

Nejčastější kybernetické hrozby v České republice pro platformu Android za srpen 2021:

1. Android/TrojanDropper.Agent.GOF trojan (23,33 %)
2. Android/TrojanDropper.Agent.GUL trojan (10,89 %)
3. Android/Andreed trojan (6,10 %)
4. Android/TrojanDropper.Agent.DIL trojan (4,59 %)
5. Android/TrojanDropper.Agent.HSN trojan (3,92 %)
6. Android/TrojanDropper.Agent.IEG trojan (3,34 %)
7. Android/TrojanDropper.Agent.HQQ trojan (2,21 %)
8. Android/TrojanDropper.Agent.IGY trojan (2,10 %)
9. Android/TrojanDownloader.Agent.KE trojan (1,87 %)
10. Android/TrojanDownloader.Agent.WI trojan (1,84 %)

Uživatelé produktů ESET jsou proti těmto hrozbám chráněni.

Nejzásadnější aktuality pro vás shrnul Michal ve videu: 

Bankovní trojský kůň Cerberus slouží útočníkům k okradení obětí. Nejčastěji jej šíří právě jiný malware (tzv. dropper). Ten si uživatel stáhnul sám v aplikacích z neoficiálních zdrojů, šlo zejména o asistenční služby pro komunikaci s PC nebo jako falešný doplněk pro správu tiskáren.

Cerberus obsahuje funkce pro odcizení přihlašovacích údajů z legitimních webových stránek bank či ke čtení SMS kódů a obcházení dvoufázového ověření, včetně Google Authenticatoru. Představuje riziko při používání internetového bankovnictví v mobilním telefonu.

V mobilu doporučujeme používat oficiální aplikaci vaší banky. Je lépe chráněná.

Pozor, kdo se dívá: stalkerware zůstává hrozbou

Druhou nejčastěji detekovanou hrozbou v červenci byl stalkerware Cerberus. Jde o škodlivý kód, který slouží ke špehování uživatele. Stejné jméno s bankovním trojským koněm Cerberus je náhoda, shodou okolností různé virové laboratoře z jiných částí světa označily malware stejně.

Stalkerware Cerberus je možné stáhnout z webových stránek, v Google Play ale tuto aplikaci nenajdete. Aplikace umožní stalkerovi pomocí SMS příkazů ovládat telefon oběti – třeba přeposlat SMS, zapnout data nebo přesměrovat hovor. Oběti stalkingu jsou pod neustálý dohledem.

Na třetím příčce skončil další typ stalkerware. Jde o předinstalované nástroje detekované jako Guardian. Detekujeme je v levných zařízeních z Asie. Pravděpodobně umožňují dálkově monitorovat občany států, které nemají přísné zákony pro ochranu osobních údajů. V českých obchodech takové telefony ale patrně nenajdete. Vyskytuje se u opravdu levných neznámých značek, které si lze objednat jen přes internet od výrobce.

Jak předcházet rizikům v telefonu?

Prakticky vždy si uživatel stáhne malware do telefonu sám v aplikaci z neoficiálního zdroje. Proto doporučujeme využívat jen prověřený obchod Google Play a neumožnit cizím lidem, aby cokoli do telefonu stahovali. Pokud máte pocit, že v telefonu stalkerware nainstalovaný je, spusťte antivirovou kontrolu.

Dále je vhodné dodržovat pravidla kybernetické bezpečnosti, zejména pak aktualizovat operační systém i všechny aplikace v telefonu a využívat bezpečnostní aplikaci.

Nejčastější kybernetické hrozby v České republice pro platformu Android za červenec 2021:

1. Android/TrojanDropper.Agent.HQQ trojan (3,35 %)
2. Android/Monitor.Cerberus application (3,19 %)
3. Android/Monitor.Guardian application (2,68 %)
4. Android/TrojanDownloader.Agent.WI trojan (2,36 %)
5. Android/TrojanDropper.Agent.ICZ trojan (1,95 %)
6. Android/Triada trojan (1,95 %)
7. Android/TrojanDropper.Agent.GLE trojan (1,69 %)
8. Android/TrojanDownloader.Agent.KE trojan (1,60 %)
9. Android/Agent.BPO trojan (1,28 %)
10. Android/TrojanDropper.Agent.HIH trojan (1,24 %)

Uživatelé produktů ESET jsou proti těmto hrozbám chráněni.

Detaily o aktuálním mobilním malware vám shrnul Michal ve video-zpravodaji:

Stalkerware prozradí, s kým si píšete

Nejčastěji jsme detekovali špehovací aplikaci Cerberus (přesněji ji detekujeme jako stalkerware). Ta umožní stalkerovi sledovat na dálku nepozorovaně digitální aktivity jeho oběti. Aplikace je k mání jen mimo oficiální obchod Google Play. K instalaci stačí jen chvilka, kdy se stalker dostane k odemknutému telefonu. Aplikaci Cerberus lze po instalaci skrýt, proto oběť nemá o sledování nejmenší ponětí.

Stalkerware se někdy označuje také jako spouseware – z anglického slova spouse (drahá polovička). Často jej totiž využívají žárliví partneři, aby mohli sledovat online aktivity svých protějšků.

Cerberus umožňuje pomocí SMS příkazů ovládat telefon oběti. Dokáže například zapnout data, přesměrovat telefonát nebo číst zprávy. Právě kvůli těmto funkcím nenajdete aplikaci v oficiálním obchodě Google Play, byť vývojáři aplikaci nabízejí jako nástroj pro nalezení telefonu.

Malware se šíří neoficiálními aplikacemi

Druhým nejvýraznějším rizikem byl trojský kůň Triada. Ten je vytvořený tak, aby manipuloval s platbami v aplikacích. V případě, že si chce uživatel v aplikaci zakoupit vylepšení, Triada přistoupí k platebnímu procesu a přesměruje platbu na účet útočníků.

Triada se šíří aplikacemi z různých fór a dalších neoficiálních zdrojů. Jde o velmi širokou škálu od kancelářských aplikací, přes ty volnočasové, až po doplňky her.

Mobilní malware se vyskytuje nejčastěji jako součást nelegitimní aplikace, které mají jedinou funkci, a to nainstalovat škodlivý kód. Uživatel může nabýt dojmu, že instalační balíček je pouze vadný a mávnout nad situací rukou.

Pomyslný bronz získal dropper Agent.HQQ. Jde o malware, jehož jedinou funkcí je  nainstalovat do telefonu jiný typ škodlivého kódu. V červnu instaloval bankovní malware Cerberus. Ačkoli se bankovní malware jmenuje stejně jako stalkerware na prvním místě detekčního přehledu, jde o jiný typ malware a shoda detekčních jmen je čistě náhodná, protože byly objeveny s odstupem několika let.

Cílem bankovního malware Cerberus je okrást oběti o úspory. Obsahuje funkce pro odečítání přihlašovacích údajů z legitimních webových stránek bank či ke čtení SMS kódů k platbám a obcházení dvoufázového ověření, včetně Google Authenticatoru. Rizikový je především při placení přes internetové bankovnictví, nikoli v bankovní aplikaci.

Jak se před aktuálními hrozbami chránit?

Malware si nejčastěji stahujeme sami v aplikaci z nespolehlivého zdroje. V řadě případů jde o bezplatné verze aplikací, které jsou jinak placené nebo nedostupné. Proto doporučujeme využívat výhradně obchod Google Play, který jeho správci kontrolují a tím je zajištěna vyšší legitimita stažených aplikací.

Na místě je také si do telefonu nainstalovat renomovaný bezpečnostní software, který potenciální riziko včas odhalí. Uživateli to nepřidělává žádné starosti, a zároveň je to nejspolehlivější prevence.

Nejčastější kybernetické hrozby v České republic pro platformu Android za červen 2021:

1. Android/Monitor.Cerberus application (3,47 %)
2. Android/Triada trojan (2,96 %)
3. Android/TrojanDropper.Agent.HQQ trojan (2,69 %)
4. Android/Monitor.Guardian application (2,14 %)
5. Android/Monitor.Traca application (1,70 %)
6. Android/Agent.CLR trojan (1,63 %)
7. Android/Rootnik trojan (1,43 %)
8. Android/TrojanDropper.Agent.DER trojan (1,36 %)
9. Android/TrojanDropper.Agent.GUW trojan(1,29 %)
10. Android/Monitor.Androidlost application (1,22 %)

Uživatelé produktů ESET jsou proti těmto hrozbám chráněni.  

Malware, který do zařízení stáhne další malware, označujeme jako dropper (z ang. drop – upustit něco). Aplikace, které dropper obsahují, pochází z neoficiálních zdrojů.

Krom stažení a spuštění bankovního koně Cerberus neobsahují žádnou další funkci. Aplikace s dropperem se proto jeví jako poškozená. I když infikovanou aplikaci uživatel smaže, problém to neřeší. V tu chvíli je zařízení již infikované.

Detaily o dění na poli mobilního malware vám shrne Michal ve video-zpravodaji:

Detekcí ubylo o více než desetinu

Oproti začátku roku klesl v dubnu objem detekovaných hrozeb v Česku o 14 %. V případě tzv. dropperů, které šíří závažnější kybernetické hrozby, byl pokles dokonce čtvrtinový. Bankovního trojského koně Cerberus se snížení výskytu týkalo rovněž.

Pokles detekcí může být způsobený řadu faktorů: možná se útočníci soustředí na jiné útoky nebo vyvíjí nový malware.

Aktuálně se nedá přesně určit proč. Ve světovém měřítku žádný výrazný pokles vidět není. Je tedy možné i to, že se útoky už nevyplácejí, stejně jako to, že útočníci nyní vyvíjejí nový škodlivý kód.

Malware, který šíří malware

Nejčastější detekcí byly aplikace typu dropper. Detekujeme jej v aplikacích z neoficiálních zdrojů. Jejich jedinou funkci je stažení trojské koně Cerberus.

Bankovního trojského koně Cerberus se nevyplatí podceňovat. Obsahuje funkce pro odcizení přihlašovacích údajů a odečítání potvrzovacích SMS kódů. Pokud útočník takové informace získá, může ohrozit internetové bankovnictví. Na aplikace si ale malware nepřijde, proto jsou bezpečnější volbou.

Jen čtvrtina lidí, kteří spravují finance online, využívá výhradně mobilní bankovní aplikace.

Špionážní aplikace stále v kurzu

V přehledu nejčastějších rizik zůstal i stalkerware Cerberus. Jde o aplikaci, kterou stalkeři zneužívají ke špehování digitálních aktivit svých obětí.

Stalkerware umožňuje na dálku ovládat telefon pomocí SMS příkazů. Dovede zapnout data, přesměrovat telefonát nebo zobrazit zprávy. Útočníci vydávají aplikaci za nástroj rodičovské kontroly a službu pro nalezení telefonu v případě krádeže.

Jak ochránit chytrý telefon před aktuálními hrozbami?

Uživatelé si obvykle stáhnou malware nevědomky v nějaké aplikaci z neoficiálního zdroje, přičemž za oficiální zdroj v případě Android je možné považovat jen Google Play. Doporučujeme proto stahovat prověřené aplikace z Google Play.  

Jako prevenci před stalkerware doporučujeme nastavit si zámek obrazovky ihned po pořízení telefonu a neumožnit nikomu, aby cokoli do zařízení instaloval bez vašeho vědomí. 

V neposlední řadě pravidelně aktualizujte operační systém zařízení i všechny používané aplikace a nainstalujte si anti-malware program určený pro smartphony.

Nejčastější kybernetické hrozby pro platformu Android v České republice za duben 2021:

1. Android/TrojanDropper.Agent.EHK trojan (4,87 %)
2. Android/Monitor.Cerberus application (3,17 %)
3. Android/TrojanDropper.Agent.HQQ trojan (3,02 %)
4. Android/Triada trojan (1,84 %)
5. Android/Agent.CJG trojan (1,73 %)
6. Android/Monitor.Guardian application (1,55 %)
7. Android/Monitor.Androidlost application (1,30 %)
8. Android/Rootnik trojan (1,21 %)
9. Android/Monitor.Traca application (1,18 %)
10. Android/Agent.CIA trojan (1,15 %)

Uživatelé bezpečnostních produktů ESET jsou před těmito hrozbami chráněni.

To nejdůležitější z aktuálního přehledu hrozeb pro vás shrnul Michal ve video-zpravodaji.

Tyto infikované aplikace označujeme jako droppery. V březnu zástupci této hrozby skončili v našem přehledu detekcí na prvním a druhém místě, celkově jejich počet vzrostl o více než desetinu.

Útočníci je vydávají za běžné nástroje, stáhnout je lze z neoficiálních zdrojů, jakými jsou fóra nebo různé webové stránky. Zpravidla tyto infikované aplikace nemají žádnou funkci kromě instalace dalšího malware. Uživatel tak po spuštění nabyde dojmu, že stažená aplikace je prostě porouchaná či nefunkční. Ovšem na pozadí už taková aplikace dávno stáhla cílový škodlivý kód.

V Česku přibývá detekcí bankovního malware

V Česku droppery instalují bankovního trojského koně Cerberus, ten představuje vážné riziko pro bezpečnost online plateb.

Bankovní malware Cerberus zneužije oprávnění pro takzvané usnadnění přístupu. Ta normálně slouží uživatelům se zrakovou nebo sluchovou vadou. Oprávnění umožní útočníkům získat přihlašovací údaje a na dálku kontrolovat například potvrzující SMS nebo mazat některé aplikace v telefonu

Cerberus je rizikový při přihlášení do internetového bankovnictví přes telefon. Doporučujeme proto používat oficiální aplikace bank.

Stalkerware slábne

Na třetí příčce skončil stalkerware Cerberus. Objem jeho detekcí ale výrazně klesá, v březnu dokonce o celou pětinu. Před stalkerwarem varujeme veřejnost už téměř rok nejen my, ale také další bezpečností experti či Google. Zřejmě se snaha vyplácí a uživatelé jsou obezřetnější.

Stalkerware Cerberus umožňuje sledování oběti na dálku a ovládání zařízení pomocí SMS příkazů. Je tak možné například přesměrovat hovory, čtení SMS nebo zapnutí Wi-Fi připojení.

Do zařízení oběti tuto aplikaci nainstaluje v nestřeženém okamžiku stalker (tedy osoba, která oběť špehuje). Cerberus je navíc možné v telefonu skrýt, takže oběť o svém sledování nemusí nic tušit.

Jak chránit mobilní telefon

Škodlivý kód si uživatel nejčastěji do telefonu stáhne v aplikaci z neoficiálního zdroje, ať už jde o webové stránky, sociální sítě či fóra. Za důvěryhodný zdroj aplikací lze považovat výhradně obchod Google Play, jeho správci ostatně aktivně vyhledávají rizikové aplikace a mažou je, dříve, než by se mohly dostat k uživatelům.

Důležité je také aktualizovat všechny aplikace v telefonu a používat bezpečnostní program určený pro telefony.

Nejčastější kybernetické hrozby pro platformu Android v České republice za březen 2021

1. Android/TrojanDropper.Agent.EHK trojan (11,98 %)
2. Android/TrojanDropper.Agent.HAC trojan (2,64 %)
3. Android/Monitor.Cerberus application (2,45 %)
4. Android/Monitor.Guardian application (1,64 %)
5. Android/Triada trojan (1,64 %)
6. Android/TrojanDropper.Agent.DIF trojan (1,55 %)
7. Android/Agent.BPO trojan (1,22 %)
8. Android/TrojanDropper.Agent.FHG trojan (1,22 %)
9. Android/TrojanDropper.Agent.GUW trojan (1,22 %)
10. Android/Monitor.Traca application (1,22 %)

Uživatelé bezpečnostních produktů ESET jsou před těmito hrozbami chráněni.