Analyzovali ste nebezpečnú aplikáciu, ktorá cielila aj na české mobilné bankovníctvo. Ako ste ju odhalili?
Na základe podnetu od našich klientov som túto aplikáciu analyzoval a potvrdili sa obavy, že ide o škodlivú aplikáciu, ktorej cieľom boli dokonca aj české banky.
Určite stojí za spomenutie aj to, že tento mobilný bankový malware sa nachádzal v Google Obchod Play pod menom QRecorder a bol nainštalovaný viac ako 10 000 ráz. Aj na základe nášho podnetu bola táto aplikácia z oficiálneho Obchodu Play odstránená.
Vírusy napádajúce financie ľudí pomocou smartfónov nie sú nijaká novinka. Akými premenami však postupne prechádzajú? Aký je vývoj, „trend“?
Tak, ako sa prispôsobujú aplikácie ľudom a ich potrebám, takisto sa škodlivé aplikácie prispôsobujú trhu. Takže ak napríklad váš smartfón podporuje funkciu GPS, bude sa ju snažiť zneužiť na získanie vašej polohy.
Prednedávnom bol na Androidoch tiež populárny ransomware – čiže infiltrácia, ktorá zariadenie zablokuje a následne žiada za jeho odblokovnanie výkupné. Tento typ bol „vytlačený z trhu“ ťažiarmi kryptomien, ktoré predstavujú pre útočníka menšie riziko a dokážu stále generovať zisk.
Ako sa vírus dostane do používateľského smartfónu?
Pre Android smartfóny sú dva spôsoby, a to z neoficiálneho a oficiálneho zdroja. Z neoficiálneho zdroja je to hlavne cez alternatívne obchody, ktoré nevyužívajú nijaké bezpečnostné mechanizmy, čiže dostane sa tam akákoľvek aplikácia.
Ďalej to môžu byť sociálne siete, kde vám neznámy človek pošle webový odkaz cez správu alebo dá odkaz do komentára pod nejakým príspevkom. Na šírenie sa, samozrejme, používajú aj SMS správy a sociálne inžinierstvo.
Odosielateľ sa môže tváriť, že je vašou bankou a je nutné, aby ste si túto aplikáciu nainštalovali. Druhý spôsob je zriedkavejší, ale nie je vylúčený: je ním Obchod Google.
Ako je možné, že sa takýto vírus vôbec dostane do Obchodu s aplikáciami? Je to aj pre pochybenie zo strany Google alebo Apple?
V podstate áno. Ako som spomínal, škodlivé aplikácie sa vždy prispôsobujú a zdokonaľujú. Pomocou techniky „pokus – omyl – vylepšenie“ dokážu časom obísť aj bezpečnostné systémy Obchod Play.
Ja osobne som ich už nahlásil stovky. Obchod od Apple je na tom lepšie pravdepodobne preto, lebo pre každú aplikáciu uplatňuje lepší verifikačný proces.
Majú útočníci „obľúbené“ aplikácie, ktoré infikujú? Čítala som o aplikáciách s horoskopmi...
Áno, majú ich radi. Ideálne však je, ak ide o aplikácie, v ktorých sa po prihlásení manipuluje s financiami alebo kryptomenami. V takom prípade sa útočníci zameriavajú na vytvorenie aplikácie, ktorá ešte neexistuje, alebo spravia jej ekvivalent – „MojaBanka verzia 2“.
To sú napríklad falošné bankové aplikácie a aplikácie pre burzy. Okrem horoskopov sa môže malware ukrývať aj v alternatívnych bezpečnostných aplikáciách.
Ako prebieha útok na mobilné bankovníctvo?
Začína to tým, že si človek stiahne škodlivú aplikáciu. Treba si uvedomiť že tieto aplikácie sa vždy tvária ako užitočné – napríklad falošný Flash prehrávač, alebo Systémová aktualizácia. Po nainštalovaní malware zistí, aké bankové aplikácie sú nainštalované na infikovanom mobile a nastaví pre tieto aplikácie „spúšťač“.
Ak používateľ otvorí bankovú aplikáciu, malware spustí škodlivú funkcionalitu, ktorá zobrazí falošné prihlasovacie okno do mobilného bankovníctva. Ním prekryje okno legitímnej bankovej aplikácie.
Takto dokáže ukradnúť prihlasovacie údaje a poslať ich útočníkovi. Vo väčšine prípadov si útočník prepošle z infikovaného smartfónu aj overovacie kódy, ktoré prichádzajú v SMS správe.
Ako používateľ zistí, že jeho smartfón je napadnutý?
Ak sa aplikácia správa čudne. Človek však musí rozlíšiť, či ide o chcenú funkcionalitu aplikácie alebo nie. Nechcená funkcionalita je napríklad, ak aplikácii zrazu zmizne ikonka, vyžaduje prístupy, ktoré by vyžadovať nemala, žiada stiahnutie ďalších aplikácií, zobrazuje podozrivé notifikácie, spomaľuje či prehrieva smartfón a podobne.
Prečo sú častejšie napádané smartfóny s Androidom ako iOS?
Hlavne pre ich vysoký počet na trhu. iOS nie je taký rozšírený. Android je zároveň dosť otvorený a povoľuje napríklad inštalovanie aplikácií z neznámych zdrojov.
Aké hrozby čakajú pre zmenu na iOS?
V súčasnosti sú to skôr podvodné aplikácie, ktoré sa našli v obchode iTunes. Jestvujú aj špionážne kampane, ktoré infikujú iPhone cez bezpečnostné chyby.
Dajú sa malwary, ktoré napádajú bankingové aplikácie podeliť do kategórií?
My ich delíme na sofistikované a falošné bankové hrozby. Sofistikované majú komplexnú funkcionalitu, dajú sa vzdialene ovládať a okrem získavania prihlasovacích údajov do mobilných bankových aplikácii kradnú aj prihlasovacie údaje do sociálnych sietí alebo mailu.
Falošné sa sústredia len na jednu banku. Ich cieľom je imitovať legitímnu bankovú aplikáciu v novšej verzii alebo s vylepšenou funkcionalitou.
Sú „nebezpečné“ a „ešte nebezpečnejšie“ malwary?
Áno existujú. K „ešte nebezpečnejším“ patria mobilné bankové hrozby, ransomware, mobilní špióni či SMS trojany. K menej nebezpečným patrí napríklad adware, čiže nechcená aplikácia, ktorá zobrazuje reklamy alebo notifikácie.
Existuje spoľahlivá ochrana? Čo odporúčate?
Nič nefunguje na 100 percent a ľudia sa o bezpečnosť začnú zaujímať, až keď je už neskoro – teda ak už zaznamenajú čudné správanie telefónu.
Dôležitá je prevencia, a to napríklad sťahovanie aplikácie len z Obchod Play. Ak si nie som pri aplikácii istý, prečítam si na ňu recenzie a skontrolujem, aké povolenia vyžaduje.
Ste bezpečnostný expert svetoznámej spoločnosti, publikujete, komentujete útoky. Ste na očiach. „Odplatili“ sa vám niekedy útočníci?
Áno, už sa mi zopár razy stalo, že sa mi útočník „odplatil“. Útočníci sa asi o mne dozvedeli cez moje blogy, v ktorých odhaľujem ich škodlivé aplikácie a nechávajú mi z času na čas aj odkazy v malware, alebo vytvárajú riadiace servery s mojím menom. Naposledy to bola len milá správa LUKAS STEFANKO, AND SORRY.
Kto je Lukáš Štefanko:
Lukáš Štefanko je bezpečnostný expert spoločnosti ESET so zameraním na Android platformu. Vyštudoval Technickú Univerzitu v Košiciach, odbor Informatika. Popri štúdiu začal pracovať pre ESET ako analytik infiltrácií. Kyberbezpečnosti sa venuje viac ako 7 rokov. Popri publikačnej sa venuje aj prezentáciám v oblasti digitálnej bezpečnosti.