Náš výzkumný tým zaznamenal kampaň, ve které útočníci zneužívali popularitu CapCut k distribuci několika infostealerů a dalšího malwaru. Slibovali prémiové verze populárního softwaru pro tvorbu obsahu, jako jsou CapCut, Adobe Express a Canva, ve skutečnosti ale falešná aplikace ukradne data nebo dokonce umožní hackerům telefon ovládat.

Podívejte se na video, jak svůj telefon ochránit:

Sliby o AI měly nalákat uživatele

Útočníci se snaží falešné stránky maximálně připodobnit k těm legitimním. Na obrázku níže vidíte takový příklad. Podvodník vydává svou stránku za oficiální web aplikace CapCut. Skutečná prémiová verze se nazývá „CapCut Pro“ (někdy se označuje jen jako ‚Pro‘), nikoli „CapCutProAI“.

Na stránce můžete zadat prompt (neboli zadání pro AI) a nahrát svá data, podle kterých má údajná AI video vytvořit. Stránka poté napodobí zpracování požadavku.

Jakmile zadané video vytvoří, sklapne past. Stránka nabídne hotový soubor s názvem „Creation_Made_By_CapCut.mp4 – CapCut.com“ ke stažení. Ve skutečnosti se jedná o spustitelný soubor pro software pro vzdálený přístup. Pokud jej uživatel stáhne (a nemá spolehlivý antivir), může útočník získat kontrolu nad zařízením.

Vzdálený přístup umožní hackerovi získat data

Legitimní nástroje pro vzdálený přístup, jako jsou ConnectWise ScreenConnect, TeamViewer a AnyDesk, využívají běžně IT profesionálové a pracovníci technické podpory, útočníci ale vzdálený přístup  služby zneužívají. Typicky je využijí pro vytěžení dat, instalaci dalšího malware nebo zneužijí zařízení v dalším útoku.

CapCut není jediný. Útočníci se podobným způsobem zaměřili na další grafické programy. Je zcela běžné, že útočníci zneužívají známé a důvěryhodné firmy.

Jak poznat rizikovou aplikaci?

Nenechte se zlákat podvodníky. Připravili jsme několik znaků, jak podvodnou aplikaci poznáte:

• Aplikace stahujte vždy z oficiálních zdrojů. Pro mobilní telefony jsou to jen obchody Google Play nebo App Store. Pokud tam aplikace není nebo je placená a vy ji najdete zdarma, jde velmi pravděpodobně o podvod.
• Neklikejte na odkazy v nevyžádaných e-mailech nebo zprávách na sociálních sítích. Útočníci spam používají k šíření podvodů a malware.
• Neklikejte na reklamy, které slibují prémiové funkce zdarma nebo jiné zázraky na počkání. Raději navštivte oficiální stránku tvůrců služby a ověřte si nabídku.
• Zkontrolujte adresu webové stránky. Podvodníci často změní jeden znak nebo jinak mírně upraví název URL adresy a spoléhají, že si toho uživatelé nevšimnou.
• Používejte ve všech zařízeních s připojením k internetu bezpečnostní program.
• Pravidelně aktualizujte operační systém i aplikace, abyste se chránili před známými zranitelnostmi.

Anti-phishing

Zabraňuje pokusům o získání citlivých informací, jako jsou uživatelská jména a hesla či údaje o kreditních kartách a účtech. Blokuje podvodné webové stránky.

VYZKOUŠET

Shrnuto, podtrženo:

• Kyberzločinci zneužili popularitu aplikace CapCut a lákali tvůrce obsahu na falešné verze s umělou inteligencí.
• Falešné stránky napodobovaly oficiální weby a nabízely „prémiové“ verze, které kradly data nebo umožňovaly vzdálený přístup k zařízení.
• Malware umožňoval hackerům ovládnout zařízení a zneužít ho k dalším útokům nebo krádeži dat, často pomocí legitimních nástrojů jako TeamViewer nebo AnyDesk.
• Buďte ostražití. Stahujte aplikace jen z oficiálních obchodů, neklikejte na podezřelé odkazy a používejte bezpečnostní software

Termín smishing ale není tak známý jako phishing, byť využívá stejné psychologické principy. SMS zprávy nemají adresu odesílatele, kterou byste si mohli rychle ověřit. Některé se dokonce mohou chytře připojit k předchozím chatovacím vláknům v rámci legitimní korespondence v telefonu, a tak mohou na první pohled vypadat jako pravé i pro bezpečnostní profesionály.

E-book: Podvody na internetu

Chci dostávat aktuální informace o hrozbách, produktech a službách ESETu.  

Chci e-book

Jak funguje smishing

S podvodnými SMS jako by se roztrhl pytel a ubývat jich nebude. Útočníci dobře vědí, že SMSkám a telefonátům obecně důvěřujeme více. Pokud tedy napodobují nějakou známou značku, je pravděpodobnost, že někdo na podvod naletí, vyšší.

Typické je, že se jedná o urgentní záležitost: Například vás varuje platební aplikace, že dojde ke zrušení účtu, v případě balíků musíte doplatit clo nebo nějaký drobný poplatek, aby vám je doručili, a podobně. V podvodné SMS je vždy odkaz pro více informací, který vede na podvodnou phishingovou stránku.

Cílem smishingu je získat od vás osobní údaje, hesla nebo informace z platebních karet. To vše pak útočníci mohou prodat nebo dále zneužít.

Podvodníci jsou dobří zejména v jedné věci – v manipulaci. Tvrdí, že zaplatíte 10 Kč a váš problém se vyřeší. Místo toho vám ale vyluxují bankovní účet.

Co se stane, když kliknu na podvodnou SMS?

Celý podvod bývá dobře promyšlený a věrně napodobuje legitimní značky. Ty se samozřejmě brání, ale dopadnout podvodníky je bohužel oříšek.

Odkaz z SMS vede typicky na falešnou stránku. V ukázce výše například požaduje pošta zaplacení dopravy. Z SMS se prokliknete přímo na platební bránu, která vypadá zcela standardně. V ukázce je vidět URL adresa (tedy text odkazu), to nemusí být pravidlem, někdy podvodníci používají i zkracovače a pak není adresa tak zřejmá.

Podvodníci často napodobují oficiální adresy, ale přidají třeba pár slov navíc nebo změní znak. Ve spěchu takový detail mnoho lidí zkrátka přehlédne.

Platební brána je falešná. Vytvořit věrnou vizuální kopii je bohužel snadné. Pokud údaje z karty zadáte, je možné, že se vám strhne oněch avizovaných 79 Kč. Ale postupem času budou mizet i další,vyšší částky.

V ukázce na začátku článku zase útočníci sbírali prostřednictvím smishingu hesla do služby PayPal. Mnoho lidí svá hesla recykluje, takže hesla mohou útočníci prodat nebo je zkusit použít pro přihlášení do jiných služeb.

Naletěl jsem na smishing, co mám dělat?

Pokud na falešné stránce vyplníte údaje a uvědomíte si to pozdě, nepanikařte.

Vzpomeňte si, jaké údaje jste vyplnili. Pokud šlo o heslo, okamžitě jej změňte. Pokud to samé heslo používáte i do jiných služeb, změňte jej i tam. Doporučujeme používat vždy unikátní přihlašovací údaje. Ukládat si je bezpečně můžete ve správci hesel.

Pokud jste vyplnili údaje ke kartě nebo zadali platbu, neprodleně kontaktujte svou banku na oficiální infolince. Někdy je možné platbu stornovat. Pravděpodobně vám doporučí danou kartu zablokovat a vystavit novou.

Vyplnili jste osobní údaje jako je e-mail či adresa? To vrátit zpátky nepůjde a budete muset být obezřetní. Pak si dávejte pozor na jakékoliv nevyžádané zprávy. Můžete také zkusit monitorovat, zda se vaše údaje objeví na dark webu. Monitorovat osobní údaje můžete ve funkci Ochrana identity v úrovni ULTIMATE.

Jak se chránit před smishingem?

V dnešní rychlé době je důležité při čtení zpráv zpomalit. Trochu knížecí rada, ale je to tak. Obzvláště, pokud jde o zprávu, která vás děsí nebo z ní naopak máte radost, případně vyžaduje okamžitou reakci. Útočníci se vás snaží dostat pod emoční a časový tlak.

Pokud byste si v klidu přečetli adresu jako ceskaposta-poslatexpres.com, bude vám patrně připadat podezřelá.

Je-li zpráva urgentní, ale vy si nevybavujete, že byste si balík či službu vyžádali, navštivte nejprve oficiální stránky firmy nebo zavolejte na oficiální telefon a situaci si ověřte nezávisle na SMS.

Doporučujeme do každého telefonu, ze kterého přistupujete na internet,nainstalovat bezpečnostní aplikaci. Ta totiž podvodné stránky zablokuje dřív, než někde vyplníte svá citlivá data.

Štít, přes který se hackeři nedostanou

Předcházejte malware díky jedinému řešení. ESET
spolehlivě ochrání vaše zařízení i data. 

VYZKOUŠET

O SMS podvodech se stále mluví málo, upozorněte na ně i vaše blízké. Na SMS podvody mohou naletět i dospívající nebo senioři, kteří se s technologiemi třeba ještě učí zacházet.

Shrnuto, podtrženo:

• Smishing jsou podvody prostřednictvím SMS zpráv, které se tváří jako zprávy od známých služeb, například České pošty nebo DHL.
• SMS zprávy obsahují odkaz na phishingovou stránku, cílem je vylákat z obětí osobní údaje, hesla nebo údaje z platebních karet.
• Útočníci využívají psychologické manipulace, například tlačí na urgentní akci nebo vyvolávají emoce.
• Pokud na podvod naletíte, je důležité ihned změnit heslo, zablokovat kartu nebo kontaktovat svou banku, podle typu údajů, které jste zadali.
• Urgentní SMS zprávy si vždy nezávisle ověřte a používejte antivir do mobilu.

Proč malware šíří  hry?

Hry jsou pro útočníky ideálním způsobem, jak dostat do našich telefonů škodlivý kód. Jejich oficiální verze nemusí být dostupné pro všechny verze operačního systému Android. Mohou být také dostupné pouze v některých zemích. Řada uživatelů se tak může rozhodnout stáhnout si hru z neoficiálního zdroje  ve formě tzv. APK – Android Application Package. Útočníci toto všechno vědí.

V případě instalačních souborů APK mimo oficiální obchody je tak mnohem vyšší riziko, že budou obsahovat nějaký typ škodlivého kódu. Soubory APK standardně automaticky stahujeme a instalujeme i v Google Play. Tam ale podléhají daleko větší kontrole než v případě jiných obchodů a webových stránek či fór.

Evropské telefony v lednu nejvíce ohrožovaly také trojské koně. Útočníci je mohou šířit ve formě dropperu a maskovat jej za falešné verze různých aplikací. V lednu se opět jednalo například o Spotify, útočníci ale zneužili také popularitu hry Minecraft či aplikace Flightradar. Škodlivý kód v lednu vydávali ale také za nebezpečnou aplikaci VPN. Cílem byli především uživatelé v Německu, případy se objevily nicméně i v České republice.

Podle posledního průzkumu od společnosti ESET si už ale v Česku dáváme větší pozor a aplikace stahujeme pouze ze známých a oficiálních obchodů s mobilními aplikacemi. Většina z nás věnuje pozornost také uživatelským recenzím. Ty bychom si měli podle expertů přečíst vždy, když chceme nějakou aplikaci stáhnout.

VPN zdarma? Může to mít háček

Lednový případ falešné VPN aplikace se bohužel jasně ukazuje, že pokud zdarma stahujeme nějakou službu či software, který bývá jnak zpravidla placený, můžeme se lehce stát cílem škodlivých kódů nebo součástí útoků. Pokud si uživatelé stáhli falešnou verzi VPN, zaplatili za to svými daty. Útočníci je byli po stažení schopni zapojit do DDoS útoků.

Kvalitní a bezpečná VPN je vždy placená, protože provoz této technologie bývá nákladný. V minulosti se objevily také případy VPN aplikací ke stažení zdarma, které byly sice funkční, ale podvodné.

Experti doporučují používat i v případě mobilních telefonů moderní bezpečnostní software. Jeho součástí je i řada dalších funkcí, včetně zmíněné VPN. V rámci řešení ESET Home Security nabízí funkce VPN důvěrné prohlížení internetu vytvořením soukromého síťového připojení, které zaručuje ochranu při využívání veřejné Wi-Fi sítě, umožňuje také neomezený a soukromý přístup k webovým stránkám ve více než 60 zemích.

Díky této funkci tak můžeme na cestách bezpečně přistupovat k televizním pořadům a filmům ze své domovské země nebo využívat své oblíbené streamovací služby z různých částí světa.

VPN

Virtuální privátní síť, představuje štít proti kybernetickým rizikům.
Chrání data tím, že je šifruje, skrývá vaši skutečnou polohu a identitu.

VYZKOUŠET

Nejčastější kybernetické hrozby pro platformu Android v zemích EU za leden 2025:

1. Android/Andreed trojan (5,47 %)
2. Android/Agent.EQD trojan (3,88 %)
3. Android/TrojanDropper.Agent.GKE trojan (3,46 %)
4. Android/Clicker.OZ trojan (3,25 %)
5. Android/Spy.SpinOk trojan (3,12 %)
6. Android/Spy.Banker.BGB trojan (2,80 %)
7. Android/TrojanDropper.Agent.JZJ trojan (2,22 %)
8. Android/Agent.EXW trojan (1,35 %)
9. Android/Hiddad.SJ trojan (1,35 %)
10. Android/Agent.CZB trojan (1,27 %)

Uživatelé řešení ESET jsou před těmito hrozbami chráněni.

Malware, který do zařízení stáhne další malware, označujeme jako dropper (z ang. drop – upustit něco). Aplikace, které dropper obsahují, pochází z neoficiálních zdrojů.

Krom stažení a spuštění bankovního koně Cerberus neobsahují žádnou další funkci. Aplikace s dropperem se proto jeví jako poškozená. I když infikovanou aplikaci uživatel smaže, problém to neřeší. V tu chvíli je zařízení již infikované.

Detaily o dění na poli mobilního malware vám shrne Michal ve video-zpravodaji:

Detekcí ubylo o více než desetinu

Oproti začátku roku klesl v dubnu objem detekovaných hrozeb v Česku o 14 %. V případě tzv. dropperů, které šíří závažnější kybernetické hrozby, byl pokles dokonce čtvrtinový. Bankovního trojského koně Cerberus se snížení výskytu týkalo rovněž.

Pokles detekcí může být způsobený řadu faktorů: možná se útočníci soustředí na jiné útoky nebo vyvíjí nový malware.

Aktuálně se nedá přesně určit proč. Ve světovém měřítku žádný výrazný pokles vidět není. Je tedy možné i to, že se útoky už nevyplácejí, stejně jako to, že útočníci nyní vyvíjejí nový škodlivý kód.

Malware, který šíří malware

Nejčastější detekcí byly aplikace typu dropper. Detekujeme jej v aplikacích z neoficiálních zdrojů. Jejich jedinou funkci je stažení trojské koně Cerberus.

Bankovního trojského koně Cerberus se nevyplatí podceňovat. Obsahuje funkce pro odcizení přihlašovacích údajů a odečítání potvrzovacích SMS kódů. Pokud útočník takové informace získá, může ohrozit internetové bankovnictví. Na aplikace si ale malware nepřijde, proto jsou bezpečnější volbou.

Jen čtvrtina lidí, kteří spravují finance online, využívá výhradně mobilní bankovní aplikace.

Špionážní aplikace stále v kurzu

V přehledu nejčastějších rizik zůstal i stalkerware Cerberus. Jde o aplikaci, kterou stalkeři zneužívají ke špehování digitálních aktivit svých obětí.

Stalkerware umožňuje na dálku ovládat telefon pomocí SMS příkazů. Dovede zapnout data, přesměrovat telefonát nebo zobrazit zprávy. Útočníci vydávají aplikaci za nástroj rodičovské kontroly a službu pro nalezení telefonu v případě krádeže.

Jak ochránit chytrý telefon před aktuálními hrozbami?

Uživatelé si obvykle stáhnou malware nevědomky v nějaké aplikaci z neoficiálního zdroje, přičemž za oficiální zdroj v případě Android je možné považovat jen Google Play. Doporučujeme proto stahovat prověřené aplikace z Google Play.  

Jako prevenci před stalkerware doporučujeme nastavit si zámek obrazovky ihned po pořízení telefonu a neumožnit nikomu, aby cokoli do zařízení instaloval bez vašeho vědomí. 

V neposlední řadě pravidelně aktualizujte operační systém zařízení i všechny používané aplikace a nainstalujte si anti-malware program určený pro smartphony.

Nejčastější kybernetické hrozby pro platformu Android v České republice za duben 2021:

1. Android/TrojanDropper.Agent.EHK trojan (4,87 %)
2. Android/Monitor.Cerberus application (3,17 %)
3. Android/TrojanDropper.Agent.HQQ trojan (3,02 %)
4. Android/Triada trojan (1,84 %)
5. Android/Agent.CJG trojan (1,73 %)
6. Android/Monitor.Guardian application (1,55 %)
7. Android/Monitor.Androidlost application (1,30 %)
8. Android/Rootnik trojan (1,21 %)
9. Android/Monitor.Traca application (1,18 %)
10. Android/Agent.CIA trojan (1,15 %)

Uživatelé bezpečnostních produktů ESET jsou před těmito hrozbami chráněni.

Rychlé video-shrnutí si pro vás připravil Michal:

Nejvážnějším rizikem zůstal stalkerware

Mobilní hrozby v celém roce 2020 zcela ovládl stalkerware. Dobrou zprávou je, že podle našich telemetrických dat už několik měsíců jejich detekce klesají. Na snížení se podepisuje celoroční snaha bezpečnostních společností a Googlu tyto aplikace vyřazovat z oficiálních zdrojů a také osvětové aktivity k tomuto tématu.

Stalkerware je aplikace nebo nástroj, který dokáže monitorovat aktivitu na telefonu a špehovat uživatele bez jeho vědomí.

Aplikace, kterou klasifikujeme jako stalkerware, může být i užitečná. Nicméně některou její část lze zneužít. Zpravidla takovýto program nainstaluje někdo blízký do telefonu a aplikaci následně skryje. Tím může i na dálku kontrolovat svou oběť a sledovat její digitální stopy.

Nejčastěji detekovaným stalkerwarem v prosinci byla v Česku aplikace Cerberus. Její tvůrci ji vydávají za nástroj pro nalezení zařízení v případě krádeže. Cerberus nabízí řadu SMS příkazů k ovládání zařízení na dálku – například lze vypnout a zapnout data a Wi-Fi, přesměrovat hovory nebo zobrazit polohu. Aplikaci je také možné v zařízení zcela skrýt. Kombinace těchto funkcí je důvod, proč Google už v roce 2018 aplikaci ze svého obchodu stáhl jako rizikovou.

Dalším běžným příkladem je sada nástrojů Guardian, které taktéž umožní zařízení na dálku monitorovat. Guardian bývá předinstalovaný v levných telefonech čínské výroby.

U obou detekcí pozorujeme trvalý pokles. V případě programu Cerberus jde přibližně o čtvrtinu každý měsíc, Guardian slábne každý měsíc o pětinu. To je výborná zpráva, byť neočekáváme, že by stalkerware zcela vymizel.

Riziko pro internetové bankovnictví

Na předních příčkách statistik se udržel trojský kůň Triada. V Česku šířil nejčastěji nevyžádanou reklamu a spam. Některé novější verze obsahují funkci, která dokáže modifikovat verifikační SMS zprávy. To může ohrozit online platby. Triada se dokáže v zařízení skrývat a je velice problematické se jí zbavit.

Jak se chránit?

Uživatel si malware zpravidla stáhne do zařízení sám často z neoficiálního obchodu spolu s aplikací, která působí legitimním dojmem, případně je zdarma.

Doporučujeme proto aplikace stahovat výhradně z oficiálního obchodu Google Play a používat  renomovaný bezpečnostní software, který potenciální riziko včas odhalí. Podobně je na místě, aby uživatel pracoval se svým telefonem sám a nehrozilo tak, že někdo cizí bude moci do zařízení stalkerware nainstalovat.

Nejčastější kybernetické hrozby pro platformu Android v České republice za prosinec 2020:

1. Android/Monitor.Cerberus application (3,87 %)
2. Android/Triada trojan (2,79 %)
3. Android/Monitor.Guardian application (1,99 %)
4. Android/Agent.BNL trojan (1,64 %)
5. Android/TrojanDropper.Agent.DKT trojan (1,39 %)
6. Android/Iop trojan (1,18 %)
7. Android/Agent.BZF trojan (1,08 %)
8. Android/Hiddad.ALH trojan (1,08 %)
9. Android/TrojanDropper.Agent.EUQ trojan (1,08 %)
10. Android/TrojanDropper.Agent.GQX trojan (1,08 %)

Společnost Google aktualizovala v říjnu podmínky pro vývojáře aplikací, podle kterých není například možné skrývat sledovací funkce nebo novou aplikaci promovat jako špehovací.

Nejvíce ohrožoval uživatele stalkerware

Na první příčce naší statistiky se umísil stalkerware Cerberus. Jde o aplikaci z neoficiálního zdroje, kterou její tvůrci vydávají za nástroj pro nalezení ztraceného telefonu a rodičovskou kontrolu. Aplikace nicméně umožňuje ovládat telefon na dálku pomocí SMS, navíc může stalker samotnou aplikaci v zařízení oběti skrýt.

Druhým běžným stalkerwarem je sada nástrojů Guardian. Detekujeme jej v předinstalovaných aplikacích v levných telefonech z Číny. Tyto nástroje mají různé sledovací funkce.

Aplikace si instalujte sami, vždy jen z oficiálního obchodu Google Play.

Pozor na reklamní malware

Třetí nejčastější hrozbou byl pro Čechy trojský kůň Agent.BPO, který jsme detekovali mezi nejrozšířenějšími  v červnu. Agent.BPO v Česku nejčastěji zobrazuje nevyžádanou reklamu, ale v některých verzích dokáže také ovládat aplikace pro prohlížení internetu, modifikovat URL adresy a instalovat další malware.

Agent.BPO se dokáže v systému napadeného zařízení skrývat jako komponenta uživatelského rozhraní. Uživatel tak prakticky nemá žádnou možnost se reklamy zbavit. Tento trojský kůň na vás zpravidla číhá v nějaké aplikaci mimo oficiální obchod

 Vidíte v zařízení příliš mnoho otravné reklamy? Stáhněte si mobilní bezpečnostní řešení a spusťte kontrolu.

Během adventu přibude rizik

Celosvětově pozorujeme nárůst skrytých aplikací a počtu detekcí bankovních trojských koní.  Typickým zástupcem skryté aplikace je malware z rodiny Hiddad, který zobrazuje reklamu, nebo již zmíněný Agent.BPO.

Vánoce bývají pro útočníky žně. Letos budou uživatelé po celém světě nakupovat dárky online a útočníci na to budou dobře připraveni. Očekáváme nárůst reklamního malware i finančních podvodů.

Jak chránit mobilní zařízení před malwarem?

Doporučujeme stahovat nové aplikace jen z oficiálního obchodu Google Play. Jeho správci proaktivně vyhledávají ve spolupráci s ESETem a dalšími experty rizikové aplikace a blokují je ještě, než se dostanou k uživatelům.

Základem péče o bezpečnost mobilního zařízení jsou pravidelné aktualizace operačního systému i aplikací a používání spolehlivého bezpečnostního programu určeného pro smartphony.

Nejčastější kybernetické hrozby pro platformu Android v České republice za říjen 2020:

1. Android/Monitor.Cerberus application (3,94 %)
2. Android/Monitor.Guardian application (2,48 %)
3. Android/Agent.BPO trojan (1,95 %)
4. Android/Agent.CBL trojan (1,65 %)
5. Android/Monitor.Androidlost application (1,61 %)
6. Android/Spy.SmsSpy.PD trojan (1,5 8%)
7. Android/TrojanDropper.Agent.FHB trojan (1,43 %)
8. Android/Triada trojan (1,39 %)
9. Android/Agent.CAM trojan (1,34 %)
10. Android/Monitor.Traca application (1,09 %)