Co je spyware?

Spyware je typ škodlivého kódu, který se „propašuje“ do vašeho zařízení a snaží se ukrást citlivá data (např. přihlašovací nebo bankovní údaje, historii prohlížení a obsah soukromých komunikací) za účelem zisku. Třeba prodejem na dark webu.

Některé chytřejší typy spywaru ovšem data nejen odesílají, ale i samy pořizují, a to pomocí fotoaparátu a mikrofonu, které si umí aktivovat. Spyware nejčastěji chytíte kliknutím na škodlivý odkaz, otevřením přílohy v phishingovém e-mailu nebo stažením zdánlivě bezpečných aplikací z neověřeného zdroje.

A co je horší, spyware cílí i na ty nejmenší, jak ukázal případ populární hry Hamster Kombat. Za tu se „převlékl“ spyware pro Android s názvem Ratel, který se po nainstalování zmocnil SMS zpráv a nastavení notifikací, což útočníkům umožnilo platit z účtu oběti prakticky úplně bez povšimnutí.

Co je stalkerware?

Stalkerware je aplikace, která umožňuje nenápadně sledovat činnost a polohu zařízení, ve kterém se schovává. Od spywaru se liší ve dvou základních ohledech: musí být na dané zařízení cíleně nainstalovaná a jejím účelem není finanční podvod, ale kontrola nad uživatelem.

V obchodech se obvykle schovává pod nevinnou nálepkou „lokalizátor zařízení“ nebo „bezpečnostní aplikace“ a rychle se stala jedním z nejoblíbenějších nástrojů manipulativních partnerů, domácích násilníků nebo – v případě dětí – vtipkujících kamarádů či spolužáků.

„Děti to často vnímají jako hru, legrácku nebo se tak rozhodnou z nudy a většinou nedomyslí, že jde pro druhého o ztrátu soukromí. Velmi snadno se to může přehoupnout v šikanu nebo manipulaci,“ vysvětluje dětská psycholožka Kamila Ryšánková. „Občas slyším, že spolu dospívající stejně sdílí svou polohu a co právě dělají přes různé aplikace, avšak tady vidím velký rozdíl v tom, že se tak vědomě rozhodli. Doma by rodiče, ale i ve škole učitelé, měli s dětmi a dospívajícími pravidelně hovořit o hranicích v online světě, jelikož děti a dospívající již nerozlišují svět virtuální od toho skutečného.“

Stalkerware ale není nebezpečný jen pro majitele napadeného zařízení. Když došlo začátkem letošního roku k úniku dat z aplikací Spyzie, Cocospy a Spyic, byly mezi nimi i e-mailové adresy samotných stalkerů. A rozhodně nešlo o výjimku. Výzkum ESETu z roku 2021 ukázal, že podobná bezpečnostní rizika obsahuje 58 z 86 testovaných stalkerware aplikací pro Android.

Spyware vs. stalkerware ve zkratce:

Je rodičovská kontrola stalkerware?

Nebudeme chodit kolem horké kaše: rodičovská kontrola se od stalkerware technicky příliš neliší. Ten hlavní a nejzásadnější rozdíl není v jedničkách a nulách, ale v účelu a transparentnosti jejich užívání.

„Dítě má vědět, že je v jeho zařízení rodičovská kontrola a proč tam je. Doporučuji vysvětlit, že dítěti důvěřujeme, ale chceme mu tímto krokem pomoci se pohybovat v digitálním světě bezpečně. Rodičovská kontrola by proto neměla být v zařízení tajně nebo používána jako nástroj dozoru.

Otevřenost rodiče směrem k dítěti, vzájemná důvěra a vysvětlení účelu je to, co z rodičovské kontroly dělá prostředek ochrany. Ještě předtím, než dítě začne vůbec vlastní technologická zařízení používat, je možné si s ním vytvořit digitální dohodu a zahrnout zde i právě zmíněnou rodičovskou kontrolu. O tomto by se mělo mluvit stejně samozřejmě, jako o jiných pravidlech v domácnosti, jako je například čas návratu domů nebo s kým může dítě vyrazit ven.

Digitální hranice jsou způsobem, jak budovat odpovědnost a bezpečí. Právě vzájemná důvěra je tím, co dítě chrání víc než jakákoli technologie,“ doplňuje Kamila Ryšánková.

Odhal špiona aneb jak poznat malware?

Procento úspěšnosti spywaru a stalkerwaru roste úměrně s tím, jak dlouho oběti trvá, než ho v zařízení odhalí. Dobrá zpráva je, že pro ty, kteří ví, co hledat, se často prozradí poměrně snadno.

Na co si tedy dát pozor?

• Zhoršený výkon. Snížená rychlost, padající aplikace, „sekání“ zařízení či velká spotřeba baterie obecně značí, že se počítač pere s programem na pozadí. Podezřelý je i samovolný pohyb myši nebo touchpadu.
• Kontrolka kamery. Většina stalkerwaru se snaží webkameru deaktivovat, ale naštěstí ne vždycky uspějí. Pokud tedy webkamera bliká a svítí, i když ji nepoužíváte, je čas to prověřit.
• Nové soubory. Spyware a stalkerware vytváří dočasné soubory (např. snímky obrazovky), které se bezpečnostním programům občas podaří zachytit, než zmizí. Když se tak stane, je nutné okamžitě jednat.
• Neznámé aplikace. Špehovací aplikace se obvykle schovávají pod „Správu systému“, „Správu zařízení“ a podobně nenápadné názvy. Pokud na něco podobného narazíte a nevíte, kde se to vzalo, je čas to prověřit.

Jak odstranit malware z PC?

Pokud váš počítač vykazuje jeden nebo více příznaků napadeného systému, na nic nečekejte a začněte hned uklízet.

1. Nainstalujte si prověřený antivirus a nechte ho zaktualizovat databázi.
2. Odpojte zařízení od internetu a spusťte kontrolu počítače.
3. Projděte si aplikace a odinstalujte všechno, co přibylo nedávno a vypadá podezřele.
4. Aktualizujte software a operační systém. Pravidelné aktualizace snižují bezpečnostní rizika aplikací a dělají tak počítač bezpečnějším.
5. Změňte všechna hesla včetně hlavních.
6. Pozorujte chování počítače při běžném užívání. Pokud se jeden nebo více příznaků objeví znovu, vyhledejte pomoc IT odborníka.

Nejdůležitější jsou ale správné návyky

Stejně jako ve všech ostatních otázkách internetové bezpečnosti, i tady je nejdůležitější prevence. K efektivní ochraně před stalkerwarem většinou stačí jen 3 jednoduché kroky, které si snadno zapamatují i ti nejmladší fanoušci technologií.

✅ Zakrývejte webkameru. Většina moderních notebooků má vestavěnou krytku. Pokud ne, dá se snadno dokoupit. Nebo můžete použít starou dobrou lepící pásku.

✅ Nenechávejte odemknutá zařízení bez dozoru. I když je to v přítomnosti lidí, které znáte, jako jsou třeba vaši kolegové v práci nebo spolužáci vašich dětí, kteří si přišli zahrát Minecraft.

✅ Dbejte na bezpečná hesla a vícefaktorové ověření. Žádný účet není tak nedůležitý, aby nestálo za to ho chránit. Čím dřív se to děti naučí, tím bezpečněji si budou na internetu počínat.

S účinnou ochranou proti spywaru a stalkerwaru vám pomůže i komplexní bezpečností řešení. Vybírejte takové, které disponuje funkcemi ochrany chytré domácnosti, jako je například rodičovská kontrola, ochrana webkamery a ochrana mikrofonu.

Mohlo by vás zajímat:
🚨 Přehled aplikací rodičovské kontroly: jak ohlídat děti online
🚨 5 tipů, jak poznat malware a odstranit ho z počítače
🚨 Jak poznat stalkerware? Napoví podivné chování telefonu

#1 Kybertest

Mezi nejčtenější články loňského roku patřil například ten o Kybertestu, společném projektu společnosti ESET, České bankovní asociace (ČBA) a Policie ČR. Díky němu si můžete na praktických příkladech ověřit, zda poznáte všechny moderní podvody v online světě.

#2 Co dělat, když ztratím telefon?

Ve svých mobilních telefonech nosíme stále více osobních dat, jako jsou fotky, dokumenty a kontakty. Pokud příliš nedbáme na zálohování, může nás ztráta telefonu pořádně potrápit a být velkým rizikem pro naše soukromí. Tipy, jak data zabezpečit a co udělat v případě ztráty jako první, byly dalším nejčtenějším článkem roku 2021.

#3 Největší hrozby pro Android

Mezi články na Dvojkliku najdete kromě bezpečnostních tipů také pravidelné zprávy o aktuálních hrozbách v České republice. Vloni vás nejvíce zaujalo varování před stalkerwarem a bankovním malwarem Cerberus. Oba dva typy škodlivých kódů byly po celý rok rizikem pro uživatele zařízení s operačním systémem Android.

#4 Jak poznat podvodný e-mail?

Další článek, který vás nejvíce zaujal, představuje devět rychlých kroků, jak poznat podvodný e-mail. Dozvíte se vše o taktikách, které v rámci e-mailových podvodů útočníci využívají, a na konkrétních ukázkách se naučíte e-mailové podvody rozeznat.

#5 Vše o stalkerwaru

Stalkerware byl vloni opravdu silným tématem. Jak ho v telefonu poznat a bránit se mu? Jak této hrozbě předcházet a jak se škodlivého kódu zbavit? V článku najdete kroky, co dělat, pokud máte podezření, že byl váš telefon napaden.

Ačkoli se jedná o druh škodlivého softwaru, na různé „špehující” aplikace uživatel narazí při běžném vyhledávání na internetu. Nemusí tak vůbec chodit na žádná neoficiální pochybná fóra nebo darknet. Výrobci tyto aplikace často nabízejí jako monitorovací nástroje pro hlídání dětí, aktivit zaměstnanců, vyhledávání ztraceného telefonu nebo jako službu pro zajištění bezpečí žen.

Ačkoli se jedná o druh škodlivého softwaru, na různé špehující aplikace uživatel narazí při běžném vyhledávání na internetu.

I když mohou být některé aplikace ve společnosti přijímány, mají přístup k velmi citlivým údajům, k jejich shromažďování, ukládání a přenosu, a to v daleko větší míře, než jiné aplikace nebo sociální sítě.

Chování takových aplikací tak nemusí být v pořádku a mohou být považovány za nebezpečné. Aplikace mohou mít vážné problémy s bezpečností a ochranou soukromí. Autor škodlivého kódu pak může převzít kontrolu nad zařízením sledovaného, ale i nad údaji toho, kdo využívá takovou aplikaci pro sledování druhých.

Trojúhelník stalker – oběť – vývojář škodlivého kódu

Mimo zmíněné nástroje a služby mohou být některé aplikace využívány přímo za účelem stalkingu. Samotný malware může být ale nebezpečný jak pro oběť, tak pro stalkera. Autor škodlivého kódu se nezaměřuje jen na data jednoho aktéra, může sbírat citlivá data všech stran. A i když sledující může požadovat vymazání svých dat z aplikace, stalkerware je na serveru i přes tento příkaz nadále uchovává.

Autor škodlivého kódu se nezaměřuje jen na data jednoho aktéra, může sbírat citlivá data všech zúčastněných stran.

Potenciálnímu nebezpečí může být vystaven i výrobce aplikace, který nabízí službu s využitím škodlivého kódu, a tím nechává otevřené dveře útočníkům.

V českém prostředí je oblíbená aplikace Cerberus

V českém prostředí můžeme pravidelně narazit na malware Cerberus. Aplikace svými funkcemi slouží žárlivým partnerům, aby mohli sledovat online aktivity svých protějšků.

Tito lidé z blízkého okolí oběti většinou dobře znají zamykání telefonu či jiná bezpečnostní hesla a během chvilky nepozornosti mohou stalkerware do telefonu nainstalovat. Aplikace Cerberus se po instalaci skryje a oběť tak nemá o situaci nejmenší ponětí.

Prostřednictvím aplikace pak sledující ovládá telefon oběti přes SMS příkazy. Může na zařízení zapnout data, přesměrovat telefonní hovor nebo číst zprávy. Právě kvůli těmto funkcím není možné stáhnout aplikaci oficiálně přes Google Play, i když ji výrobci nabízejí například jako nástroj na ochranu před krádeží nebo nástroj rodičovské kontroly.

Největší obranou je silné a soukromé heslo

Stejně jako v případě jiného druhu obtěžování, nejčastěji pochází stalker z kruhu rodiny, přátel či blízkého pracovního kolektivu oběti. Vhodnou prevencí je zamykat displej telefonu otiskem prstu nebo silným heslem.

Obecným doporučením je pak stahovat si do telefonu jen důvěryhodné aplikace z obchodu Google Play. Nástroje a služby z ostatních zdrojů nemusí být bezpečné.  Vhodné je také dodržovat pravidla kybernetické bezpečnosti, zejména pak aktualizovat operační systém i všechny aplikace v telefonu.

Nejzásadnější aktuality pro vás shrnul Michal ve videu: 

Bankovní trojský kůň Cerberus slouží útočníkům k okradení obětí. Nejčastěji jej šíří právě jiný malware (tzv. dropper). Ten si uživatel stáhnul sám v aplikacích z neoficiálních zdrojů, šlo zejména o asistenční služby pro komunikaci s PC nebo jako falešný doplněk pro správu tiskáren.

Cerberus obsahuje funkce pro odcizení přihlašovacích údajů z legitimních webových stránek bank či ke čtení SMS kódů a obcházení dvoufázového ověření, včetně Google Authenticatoru. Představuje riziko při používání internetového bankovnictví v mobilním telefonu.

V mobilu doporučujeme používat oficiální aplikaci vaší banky. Je lépe chráněná.

Pozor, kdo se dívá: stalkerware zůstává hrozbou

Druhou nejčastěji detekovanou hrozbou v červenci byl stalkerware Cerberus. Jde o škodlivý kód, který slouží ke špehování uživatele. Stejné jméno s bankovním trojským koněm Cerberus je náhoda, shodou okolností různé virové laboratoře z jiných částí světa označily malware stejně.

Stalkerware Cerberus je možné stáhnout z webových stránek, v Google Play ale tuto aplikaci nenajdete. Aplikace umožní stalkerovi pomocí SMS příkazů ovládat telefon oběti – třeba přeposlat SMS, zapnout data nebo přesměrovat hovor. Oběti stalkingu jsou pod neustálý dohledem.

Na třetím příčce skončil další typ stalkerware. Jde o předinstalované nástroje detekované jako Guardian. Detekujeme je v levných zařízeních z Asie. Pravděpodobně umožňují dálkově monitorovat občany států, které nemají přísné zákony pro ochranu osobních údajů. V českých obchodech takové telefony ale patrně nenajdete. Vyskytuje se u opravdu levných neznámých značek, které si lze objednat jen přes internet od výrobce.

Jak předcházet rizikům v telefonu?

Prakticky vždy si uživatel stáhne malware do telefonu sám v aplikaci z neoficiálního zdroje. Proto doporučujeme využívat jen prověřený obchod Google Play a neumožnit cizím lidem, aby cokoli do telefonu stahovali. Pokud máte pocit, že v telefonu stalkerware nainstalovaný je, spusťte antivirovou kontrolu.

Dále je vhodné dodržovat pravidla kybernetické bezpečnosti, zejména pak aktualizovat operační systém i všechny aplikace v telefonu a využívat bezpečnostní aplikaci.

Nejčastější kybernetické hrozby v České republice pro platformu Android za červenec 2021:

1. Android/TrojanDropper.Agent.HQQ trojan (3,35 %)
2. Android/Monitor.Cerberus application (3,19 %)
3. Android/Monitor.Guardian application (2,68 %)
4. Android/TrojanDownloader.Agent.WI trojan (2,36 %)
5. Android/TrojanDropper.Agent.ICZ trojan (1,95 %)
6. Android/Triada trojan (1,95 %)
7. Android/TrojanDropper.Agent.GLE trojan (1,69 %)
8. Android/TrojanDownloader.Agent.KE trojan (1,60 %)
9. Android/Agent.BPO trojan (1,28 %)
10. Android/TrojanDropper.Agent.HIH trojan (1,24 %)

Uživatelé produktů ESET jsou proti těmto hrozbám chráněni.

Jaké typy škodlivého kódy nás ohrožovaly v květnu? Pusťte si náš video-zpravodaj s Michalem.

Pozor na šmírovací aplikaci

Nejčastější hrozbou v květnu byl stalkerware Cerberus. Přesto se zdá, že v Česku už zůstane spíše druhořadou hrozbou. Na první místě skončil hlavně proto, že tvůrci jiných škodlivých kódů omezili své aktivity.

Stalkerware je typ škodlivého kódu, který umožní na dálku sledovat aktivity oběti. Stalker tak ví, s kým si oběť píše, komu volá, nebo může na dálku některé funkce telefonu spravovat.

Stalkerware Cerberus detekujeme ve stejnojmenné aplikaci, kterou si uživatel může stáhnout z webových stránek jeho vývojářů, mimo oficiální obchod Google Play. Vývojáři ji vydávají za nástroj pro nalezení odcizeného zařízení a rodičovské kontroly. Aplikace umožní pomocí SMS příkazů sledovat digitální aktivity oběti – například číst SMS, kontrolovat hovory, zapínat GPS a podobně.

Trojský kůň, který krade peníze při nákupu v aplikaci

V první trojici škodlivého kódu se umístil také bankovní trojský kůň Triada, jeho výskyt stoupl o 47 %. Takto aktivní byl naposledy v únoru. Triada tak nahradila jiný typ bankovního trojského koně.

Bankovní malware je poměrně rozšířený. V telefonech se zaměřuje na odcizení finančních obnosů během plateb v aplikacích nebo na krádeže přístupových údajů k účtům obětí.

Hlavní funkcí Triady je manipulace s transakcemi v legitimních aplikacích. Oběť tak věří, že si kupuje prémiovou verzi aplikace nebo nějaké vylepšení své oblíbené hry. Ve skutečnosti ale peníze bez vědomí tvůrců aplikace nebo samotné oběti putují do kapes útočníka. Ve starších verzích šířila Triada také nevyžádanou reklamu.

Malware se objevil i v populárních hrách

Pomyslný bronz si získal trojský kůň Agent.CJG. Škodlivý kód se šířil rozšířením pro populární hru Grand Theft Auto V (GTA V). Aplikaci s malwarem si uživatel opět v dobré víře stáhnul z neoficiálního zdroje.

Jak ochránit telefon před aktuálními riziky

V naprosté většině případů si uživatel stáhne mobilní malware do zařízení sám z neoficiálního zdroje, jako jsou například fóra či webové stránky. Za jediný doporučený zdroj považujeme obchod Google Play. Správci obchodu jej totiž pravidelně kontrolují a proaktivně vyhledávají rizikové aplikace.

Před stalkerwarem se mohou uživatelé chránit pomocí zámku obrazovky. Telefon si zamyká většina Čechů nejčastěji pomocí otisku prstu.

Důležité je také dbát na základní pravidla bezpečnosti, zejména tedy pravidelně aktualizovat operační systém i veškeré aplikace a také využívat bezpečnostní program určený pro Android.

Nejčastější kybernetické hrozby pro platformu Android v České republice za květen 2021:

1. Android/Monitor.Cerberus application (3,63 %)
2. Android/Triada trojan (2,63 %)
3. Android/Agent.CJG trojan (2,48 %)
4. Android/TrojanDropper.Agent.HQQ trojan (2,45 %)
5. Android/Monitor.Guardian application (2,25 %)
6. Android/Agent.CJN trojan (1,68 %)
7. Android/Monitor.Androidlost application (1,24 %)
8. Android/TrojanDropper.Agent.HHB trojan (1,21 %)
9. Android/TrojanDropper.Agent.GUW trojan (1,18 %)
10. Android/Monitor.Traca application (1,15 %)

Uživatelé produktů ESET jsou proti těmto hrozbám chráněni.

Malware, který do zařízení stáhne další malware, označujeme jako dropper (z ang. drop – upustit něco). Aplikace, které dropper obsahují, pochází z neoficiálních zdrojů.

Krom stažení a spuštění bankovního koně Cerberus neobsahují žádnou další funkci. Aplikace s dropperem se proto jeví jako poškozená. I když infikovanou aplikaci uživatel smaže, problém to neřeší. V tu chvíli je zařízení již infikované.

Detaily o dění na poli mobilního malware vám shrne Michal ve video-zpravodaji:

Detekcí ubylo o více než desetinu

Oproti začátku roku klesl v dubnu objem detekovaných hrozeb v Česku o 14 %. V případě tzv. dropperů, které šíří závažnější kybernetické hrozby, byl pokles dokonce čtvrtinový. Bankovního trojského koně Cerberus se snížení výskytu týkalo rovněž.

Pokles detekcí může být způsobený řadu faktorů: možná se útočníci soustředí na jiné útoky nebo vyvíjí nový malware.

Aktuálně se nedá přesně určit proč. Ve světovém měřítku žádný výrazný pokles vidět není. Je tedy možné i to, že se útoky už nevyplácejí, stejně jako to, že útočníci nyní vyvíjejí nový škodlivý kód.

Malware, který šíří malware

Nejčastější detekcí byly aplikace typu dropper. Detekujeme jej v aplikacích z neoficiálních zdrojů. Jejich jedinou funkci je stažení trojské koně Cerberus.

Bankovního trojského koně Cerberus se nevyplatí podceňovat. Obsahuje funkce pro odcizení přihlašovacích údajů a odečítání potvrzovacích SMS kódů. Pokud útočník takové informace získá, může ohrozit internetové bankovnictví. Na aplikace si ale malware nepřijde, proto jsou bezpečnější volbou.

Jen čtvrtina lidí, kteří spravují finance online, využívá výhradně mobilní bankovní aplikace.

Špionážní aplikace stále v kurzu

V přehledu nejčastějších rizik zůstal i stalkerware Cerberus. Jde o aplikaci, kterou stalkeři zneužívají ke špehování digitálních aktivit svých obětí.

Stalkerware umožňuje na dálku ovládat telefon pomocí SMS příkazů. Dovede zapnout data, přesměrovat telefonát nebo zobrazit zprávy. Útočníci vydávají aplikaci za nástroj rodičovské kontroly a službu pro nalezení telefonu v případě krádeže.

Jak ochránit chytrý telefon před aktuálními hrozbami?

Uživatelé si obvykle stáhnou malware nevědomky v nějaké aplikaci z neoficiálního zdroje, přičemž za oficiální zdroj v případě Android je možné považovat jen Google Play. Doporučujeme proto stahovat prověřené aplikace z Google Play.  

Jako prevenci před stalkerware doporučujeme nastavit si zámek obrazovky ihned po pořízení telefonu a neumožnit nikomu, aby cokoli do zařízení instaloval bez vašeho vědomí. 

V neposlední řadě pravidelně aktualizujte operační systém zařízení i všechny používané aplikace a nainstalujte si anti-malware program určený pro smartphony.

Nejčastější kybernetické hrozby pro platformu Android v České republice za duben 2021:

1. Android/TrojanDropper.Agent.EHK trojan (4,87 %)
2. Android/Monitor.Cerberus application (3,17 %)
3. Android/TrojanDropper.Agent.HQQ trojan (3,02 %)
4. Android/Triada trojan (1,84 %)
5. Android/Agent.CJG trojan (1,73 %)
6. Android/Monitor.Guardian application (1,55 %)
7. Android/Monitor.Androidlost application (1,30 %)
8. Android/Rootnik trojan (1,21 %)
9. Android/Monitor.Traca application (1,18 %)
10. Android/Agent.CIA trojan (1,15 %)

Uživatelé bezpečnostních produktů ESET jsou před těmito hrozbami chráněni.

To nejdůležitější z aktuálního přehledu hrozeb pro vás shrnul Michal ve video-zpravodaji.

Tyto infikované aplikace označujeme jako droppery. V březnu zástupci této hrozby skončili v našem přehledu detekcí na prvním a druhém místě, celkově jejich počet vzrostl o více než desetinu.

Útočníci je vydávají za běžné nástroje, stáhnout je lze z neoficiálních zdrojů, jakými jsou fóra nebo různé webové stránky. Zpravidla tyto infikované aplikace nemají žádnou funkci kromě instalace dalšího malware. Uživatel tak po spuštění nabyde dojmu, že stažená aplikace je prostě porouchaná či nefunkční. Ovšem na pozadí už taková aplikace dávno stáhla cílový škodlivý kód.

V Česku přibývá detekcí bankovního malware

V Česku droppery instalují bankovního trojského koně Cerberus, ten představuje vážné riziko pro bezpečnost online plateb.

Bankovní malware Cerberus zneužije oprávnění pro takzvané usnadnění přístupu. Ta normálně slouží uživatelům se zrakovou nebo sluchovou vadou. Oprávnění umožní útočníkům získat přihlašovací údaje a na dálku kontrolovat například potvrzující SMS nebo mazat některé aplikace v telefonu

Cerberus je rizikový při přihlášení do internetového bankovnictví přes telefon. Doporučujeme proto používat oficiální aplikace bank.

Stalkerware slábne

Na třetí příčce skončil stalkerware Cerberus. Objem jeho detekcí ale výrazně klesá, v březnu dokonce o celou pětinu. Před stalkerwarem varujeme veřejnost už téměř rok nejen my, ale také další bezpečností experti či Google. Zřejmě se snaha vyplácí a uživatelé jsou obezřetnější.

Stalkerware Cerberus umožňuje sledování oběti na dálku a ovládání zařízení pomocí SMS příkazů. Je tak možné například přesměrovat hovory, čtení SMS nebo zapnutí Wi-Fi připojení.

Do zařízení oběti tuto aplikaci nainstaluje v nestřeženém okamžiku stalker (tedy osoba, která oběť špehuje). Cerberus je navíc možné v telefonu skrýt, takže oběť o svém sledování nemusí nic tušit.

Jak chránit mobilní telefon

Škodlivý kód si uživatel nejčastěji do telefonu stáhne v aplikaci z neoficiálního zdroje, ať už jde o webové stránky, sociální sítě či fóra. Za důvěryhodný zdroj aplikací lze považovat výhradně obchod Google Play, jeho správci ostatně aktivně vyhledávají rizikové aplikace a mažou je, dříve, než by se mohly dostat k uživatelům.

Důležité je také aktualizovat všechny aplikace v telefonu a používat bezpečnostní program určený pro telefony.

Nejčastější kybernetické hrozby pro platformu Android v České republice za březen 2021

1. Android/TrojanDropper.Agent.EHK trojan (11,98 %)
2. Android/TrojanDropper.Agent.HAC trojan (2,64 %)
3. Android/Monitor.Cerberus application (2,45 %)
4. Android/Monitor.Guardian application (1,64 %)
5. Android/Triada trojan (1,64 %)
6. Android/TrojanDropper.Agent.DIF trojan (1,55 %)
7. Android/Agent.BPO trojan (1,22 %)
8. Android/TrojanDropper.Agent.FHG trojan (1,22 %)
9. Android/TrojanDropper.Agent.GUW trojan (1,22 %)
10. Android/Monitor.Traca application (1,22 %)

Uživatelé bezpečnostních produktů ESET jsou před těmito hrozbami chráněni.

Přehled hrozeb pro vás shrnul Michal ve videu:

Bankovní trojský kůň Cerberus šíří různé aplikace, které označujeme jako droppery. Dropper je typ malware, který si uživatel nainstaluje nevědomky s neprověřenou aplikací. Po spuštění aplikace se rozbalí další škodlivý kód. To je také důvod, proč samotný Cerberus nevidíme v přehledu detekcí. Bezpečnostní programy totiž detekují už tyto droppery.

Malware typu dropper má jediný úkol: spustit jiný mnohem škodlivější malware.

Cerberus ohrožuje internetové bankovnictví

Bankovní trojský kůň Cerberus není nic nového. Dlouho ale nepředstavoval výraznější problém. V létě 2020 jeho původní tvůrci ukončili činnost a kód k tomuto malware zveřejnili na darknetu ke stažení. Kvůli tomu se stává čím dál vážnějším rizikem v celé Evropě.

Cerberus je určený k okradení uživatele. Jeho funkcí je například odečítání přihlašovacích údajů z legitimních webových stránek bank a odesílat je útočníkům, číst SMS kódy a obcházet dvou fázové ověření, včetně Google Authenticatoru.

Cerberus ohrožuje internetové bankovnictví. Pokud využíváte aplikaci, jsou vaše finance v bezpečí.

Bankovní trojský kůň Cerberus se šíří řadou různých aplikací, které nejde zařadit do žádné jednotné kategorie. Všechny nicméně pocházejí z neoficiálních zdrojů a služeb na nelegální sdílení aplikací.

Pozor na stalkerware a adware

Na druhé příčce naší statistiky skončil také Cerberus. V tomto případě se ale jedná o stalkerware. Jde o stejnojmennou aplikaci, která slouží ke špehování obětí. Stalkerware Cerberus umožní ovládat telefon na dálku pomocí SMS příkazů.

Stalker tak může zapnout Wi-Fi, přesměrovat hovory, zobrazit SMS nebo ukázat přesnou polohu zařízení. Navíc je možné aplikaci v zařízení skrýt. Kombinaci těchto funkcí lze považovat za rizikovou, proto tuto aplikaci není možné stáhnout z oficiálního obchodu s aplikacemi Google Play.

Na třetí příčce se umístil malware Triada. Tento trojský kůň v Česku především zobrazuje nevyžádanou reklamu. V zahraničí ale existují i verze s funkcemi pro obcházení zabezpečení plateb.

Jak ochránit smartphone před aktuálními hrozbami

Ve většině případů si uživatel stáhne malware do svého telefonu sám pomocí aplikace z neoficiálního zdroje. Infekci se dá snadno předcházet. Doporučujeme stahovat aplikace jen z oficiálního obchodu Google Play a používat renomovaný bezpečnostní software, který bezpečnostní riziko včas odhalí. Tím se riziko nákazy zařízení sníží.

Nejčastější kybernetické hrozby pro Android za únor 2021

1. Android/TrojanDropper.Agent.EHK trojan (12,25 %)
2. Android/Monitor.Cerberus application (3,44 %)
3. Android/Triada trojan (2,52 %)
4. Android/TrojanDropper.Agent.HAC trojan (1,95 %)
5. Android/Monitor.Guardian application (1,63 %)
6. Android/TrojanDropper.Agent.DKT trojan (1,19 %)
7. Android/TrojanDropper.Agent.FHG trojan (1,19 %)
8. Android/TrojanDropper.Agent.FIS trojan (1,11 %)
9. Android/TrojanDropper.Agent.GQX trojan (1,11 %)
10. Android/Spy.Agent.AZH trojan (1,08 %)

Uživatelé bezpečnostních produktů ESET jsou před těmito hrozbami chráněni.

Dropper slouží jako pomyslná obálka. Když obálku otevřete, najdete v ní zabalený bankovní malware.

Konkrétně statistiku ovládl TrojanDropper.Agent.EHK, který slouží jako prostředník pro stažení a bankovního malware Cerberus. Ten obsahuje funkce pro falšování verifikace plateb při platbě online.

Chcete statistiku stručně shrnout? Poslechněte si video-komentář od Michala:

Bankovní malware Cerberus z uživatele podvodem vyláká oprávnění k tzv. usnadnění přístupu. Tato funkce umožňuje zrakově a sluchově postiženým ovládat zařízení hlasem, zvětšovat velikost písma či spárovat naslouchátko s telefonem. Útočníci zneužívají oprávnění k manipulaci se zařízením a vypnutí bezpečnostní funkce Google Play Protect, která chrání před škodlivými aplikacemi. Tím lze na dálku přesměrovat hovory, přeposlat nebo podvrhnout ověřovací SMS pro platbu nebo smazat určitou aplikaci.

Ověření platby pomocí SMS kódu nepovažujeme za příliš bezpečné. České banky nyní přecházejí na bezpečnější standard PSD2, kdy se platby ověřují pomocí vlastních aplikací.

Stalkerware sestupuje z výsluní

V minulých měsících patřil mezi nečastější hrozby stalkerware, tedy aplikace, které umožní uživatele špehovat. Díky výrazné snaze Googlu a bezpečnostních společností objem detekcí této několik měsíců trvající hrozby klesá. Stalkerware Cerberus se v lednu umístil na druhé příčce statistiky detekcí.

⇒Názvy dvou hlavních hrozeb jsou stejné, ale jedná se o jinou hrozbu.
Bankovní malware Cerberus představuje riziko pro online platby. Stalkerware Cerberus instaluje do telefonu stalker za účel sledování aktivit oběti.

Stalkerware Cerberus je samostatná aplikace, kterou si stalker stáhne z webových stránek vývojáře – tedy z neoficiálního zdroje. V Google Play ji nenajdete, protože porušuje pravidla obchodu.

Aplikaci útočníci vydávají za nástroj rodičovské kontroly a službu pro nalezení odcizeného zařízení. Umožňuje pomocí SMS příkazů ovládat telefon oběti na dálku, tedy například zablokovat některá čísla, zobrazit textové zprávy, pořídit fotografii, spustit GPS či mobilní data. Navíc lze tuto aplikaci v zařízení oběti skrýt.

Reklamní malware jako hrozba pro peněženku

Mezi nejčastějšími hrozbami se umístil také backdoor Triada. Tento malware některých verzích obsahuje funkce pro modifikaci SMS zpráv, čímž lze například obcházet ochranu online bankovnictví, jako u případu výše. U nás nicméně detekujeme starší verze, které se zaměřují na zobrazování reklamy.

Jak chránit zařízení před mobilním malware

Uživatel si mobilní malware stáhne často sám z neoficiálního zdroje. Mezi takové zdroje patří fóra či webové stránky s potenciálně škodlivým obsahem. Za bezpečný zdroj aplikací lze naopak považovat obchod Google Play, v němž správci aktivně vyhledávají malware.

Doporučujeme, aby si uživatelé vybírali aplikace s dobrým hodnocením a delší historií. Zároveň věnujte čas nad udílenými oprávněními. Práva mohou zpřístupnit uživatelská data, tedy textové zprávy, kontakty, fotografie, a to představuje vždy určité riziko.

V neposlední řadě je dobré chránit telefon bezpečnostním programem pro mobilní telefony.

Nejčastější kybernetické hrozby pro Android v České republice za leden 2021:

1. Android/TrojanDropper.Agent.EHK trojan (6,06 %)
2. Android/Monitor.Cerberus application (3,94 %)
3. Android/Triada trojan (1,97 %)
4. Android/TrojanDownloader.Agent.KE trojan (1,94 %)
5. Android/Monitor.Guardian application (1,94 %)
6. Android/TrojanDropper.Agent.GUJ trojan (1,67 %)
7. Android/TrojanDropper.Agent.GQX trojan (1,64 %)
8. Android/TrojanDropper.Agent.FIS trojan (1,58 %)
9. Android/TrojanDropper.Agent.DKT trojan (1,25 %)
10. Android/TrojanDropper.Agent.DIL trojan (1,22 %)

Uživatelé bezpečnostních produktů ESET jsou před těmito hrozbami chráněni.

Co víme o stalkingu:

• 18 % obětí je stalkováno ještě před 18. rokem života.
• 58 % mladých uvedlo, že podrobně a systematicky kontrolují to, s kým se stýkají jejich partneři/partnerky,
• S výrokem, že žárlivost je součástí láskyplného vztahu, souhlasí 63 % mladých lidí.
• Nejčastěji se lidé uchylují ke stalkování bývalého partnera (rozchod jako spouštěč se uvádí v 63 % případů).

Stalkerware je škodlivý kód, který shromažďuje v počítači nebo telefonu osobní údaje o oběti a jeho činnosti a odesílá tato data útočníkovi. Tyto aplikace bývají skryté.

Instalaci stalkerware obvykle umožníme sami

Abyste se stali obětí, musí útočník získat fyzický přístup k vašemu telefonu, protože stalkerware se nedá instalovat na dálku. Útočníkovi stačí jen krátká chvíle.

Řada uživatelů si chrání telefon zámkem, aby telefon odložený na stole byl v bezpečí. Gesto pro odemčení smartphonu  používá 14 % českých uživatelů. Přitom gesto je snadno prolomitelné. Stačí se chvíli dívat na ruce oběti nebo naklonit telefon ke světlu. Mastná stopa po tahu prstem bývá na displeji vidět.  Pozitivní zprávou je, že třetina lidí využívá bezpečnější způsob – PIN. Ovšem, zda si uživatelé při zadávání kódu kryjí obrazovku, je otázka.

Existují samozřejmě jednodušší techniky, jak přístup do telefonu získat. Stačí mít záminku slušně o přístup požádat.

Stalkerovi často stačí pár minut: stáhne například známý stalkerware Cerberus, nainstaluje jej a skryje.

Jak poznat, že stalkerware v telefonu je?

Voláte si s přáteli, ale slyšíte na pozadí podivné zvuky, ač máte opravdu skvělý signál? Jedná se jeden ze symptomů. Ale klid. Nemusí v se vždy jednat o stalkerware nebo nějaký vir. Podobné chování je běžné u starších typů telefonu nebo u neaktuálního operačního systému.

Stává se vám, že máte zapnutou polohovou službu, ale neuvědomujete si, že byste ji zapínali? Opět se nejdříve v klidu nadechněte. GPS potřebuje řada aplikací, které jste její zapnutí pravděpodobně dovolili – příkladem může být parkovací aplikace nebo i náš bezpečnostní program (povolení GPS slouží k nalezení telefonu, pokud byste jej ztratili).

Vybíjí se vám enormně rychle baterka, i když zrovna nesjíždíte Instagram nebo nepaříte World of Tanks? Začíná telefon topit, i když jej zrovna aktivně nepoužíváte. Ačkoli jsou telefony v současné době vybaveny mechanismy proti přetížení systému, tady je třeba zpozornět a provést kontrolu, zvlášť v případě, kdy telefon nemá mít k takové aktivitě důvod.

Stalkované osoby může také překvapit v měsíčním vyúčtování výše částky za prosurfovaná mobilní data. Ta jsou spotřebována právě na odesílání informací o činnosti zařízení. Případné odesílání předcházejte zapínáním datového připojení jen, když potřebujete. 

Sledovací aplikaci můžete mít i v iPhonu

Pokud je stalker technicky zdatnější, může obejít systém tzv. jailbreakem, tedy prolomení hranic operačního systému iOS. Obdobou je u Android tzv. root. Návodů a aplikací k této softwarové úpravě je plný internet. Díky jailbreaku vám může útočník do telefonu nainstalovat za 15 minut špehovací aplikaci, aniž byste cokoli navenek tušili.

Špeh amatér za sebou zanechá stopy v podobě aplikací Cydia, Icy, Installer, Installous, SBSettings. Bohužel tento seznam není vyčerpávající.

V iPhone přejeďte prstem dolů na domovské obrazovce a do horní části vyhledávače napište názvy zmíněných aplikací. Pokud jste ji našli, odstraňte je. V Androidu táhněte prstem dolů po obrazovce a ťukněte na ozubené kolečko. Teprve poté zadejte do pole hledání názvy aplikací.

Jak se stalkerware zbavit?

1. Pošlete na špehovací aplikaci „policajta“

Stalkerware v Androidu odstraníte pomocí bezpečnostního programu z oficiálního zdroje. Dobrý bezpečnostní program dokáže tyto nevítané aplikace spolehlivě odhalit.

2. Udělejte totální reset

Druhou možností je uvedení telefonu do továrního nastavení. Předtím si ale proveďte zálohu telefonních čísel, fotografií a poznámek, ať vám nakonec nezbude sice krásný a bezpečný telefon, ale oči pro pláč kvůli ztraceným vzpomínkám z dovolené. Po převedení do továrního nastavení své oblíbené aplikace nainstalujte a naimportujte také případné zálohy.

3. Jailbreak zlikvidujte aktualizací

V případě iOS může pomoci i aktualizace systému na vyšší verzi, čím se zbavíte pokusů o proces jailbreaku. Opět doporučujeme si zálohovat data.

Od roku 2010 je stalking trestný čin.

9 rad, jak předejít sledování

1. Nenechávejte své zařízení bez dozoru na volně přístupném místě.
2. Nastavte si na zařízení PIN, případně další bezpečností prvky – odemykání pomocí otisku prstu nebo obličeje.
3. Pokud se domníváte, že vás někdo sleduje, neprodleně se spojte s policií. Zprávy a další materiály, které s tím souvisejí (fotografie apod.) rozhodně nemažte. Slouží jako důkaz.
4. Nesdílejte přihlašovací údaje do telefonu s jinými lidmi. Pokud se tak již stalo, nebo tušíte, že jste sledováni, změňte hesla do všech svých účtů. Pokud máte podezření, že jste sledováni, udělejte to samé.
5. Stahujte aplikace jen z oficiálních zdrojů Google Play či Appstore.
6. Mějte vždy nejnovější verzi operačního systému, stejně tak aktualizovaný bezpečnostní software.
7. Zkontrolujte nastavení soukromí ve svém Google účtu a na sociálních sítích.
8. Nesdílejte zbytečně na sociálních sítích soukromé informace, jako např. citlivé fotografie, nebo své aktuální místo pobytu.
9. Pravidelně odstraňujte kontakty, se kterými již nechcete komunikovat, a to nejen na sociálních sítích. Na zrušení přátelství není dotyčná osoba upozorněna.