Ransomware na Androidu nejčastěji využívá vyskakovací okna
Z výzkumu společnosti ESET vyplynulo, že nejrozšířenějším typem ransomwaru pro zařízení s operačním systémem Android byly škodlivé kódy, které zablokují zařízení tak, že monitor překryjí vyskakovacím oknem, nebo na něm změní přístupový PIN kód. Za odblokování mobilu nebo tabletu poté požadují výkupné. Ransomware je přitom jakýkoli typ škodlivého kódu, který za zpřístupnění infikovaného zařízení požaduje peníze.
Rok 2017 byl bezesporu rokem ransomwaru. Běžní uživatelé, ale i nadnárodní organizace museli čelit masivním útokům, jakými byly NotPetya nebo WannaCry. „Ransomware se ale nezaměřuje pouze na klasické počítače. Zneužívají ho i útočníci, kteří chtějí vydělat na vysoké popularitě mobilních zařízení a nejrozšířenějšího operačního systému Android,“ vysvětluje Lukáš Štefanko, analytik společnosti ESET, který se specializuje na malware zaměřený na Android.
Operační systém Android čelí nejčastěji třem kategoriím tohoto škodlivého kódu: lock-screen ransomwarům, PIN lockerům a crypto ransomwarům.
„U tzv. Lock-screen ransomwaru je zablokované celé zařízení vyskakovacím oknem, které celou svojí velikostí překrývá obrazovku mobilu nebo tabletu. PIN lockery fungují podobně, k zablokování zařízení však zneužívají samotný ochranný mechanismus operačního systému – vstupní PIN kód nebo heslo,“ vysvětluje Štefanko. „Ransomware změní tento PIN nebo heslo tak, že jej skutečnému majiteli zařízení neprozradí. V případě crypto ransomwaru je obsah infikovaného zařízení také zašifrován,“ dodává Štefanko.
Ransomware pro Android se často vydává za legitimní aplikaci. Aby zvýšili svoje šance, že si oběť stáhne do mobilu škodlivý kód, útočníci maskují ransomware například jako populární hry či pornografické aplikace. Přestože Google ve svém obchodě s aplikacemi využívá vlastní ochranné mechanismy k tomu, aby se do něj nedostaly aplikace infikované škodlivým kódem, ne vždy fungují.
„Pokud se útočníkům podaří zařízení infikovat, chtějí se ujistit o tom, že mobil či tablet zůstane infikovaný co nejdéle,“ vysvětluje pohnutky útočníků Štefanko. Jedním z nejuniverzálnějších způsobů, jak to udělat, je podle něj získání administrátorských práv pro škodlivou aplikaci. Útočníci proto musí oběť oklamat tak, aby škodlivou aplikaci aktivovali jako administrátora zařízení. Udělají to například napodobením důvěryhodných aplikací nebo překrytím okna s potvrzením administrátorských práv jinou informací. Odstranění takové škodlivé aplikace je potom pro uživatele komplikovanější, protože před jejím smazáním jí nejprve musí odebrat tato práva.
Za poslední rok však zaznamenali analytici společnosti ESET nárůst nového způsobu, jak útočníci získávají kontrolu nad infikovaným zařízením – zneužitím služeb Android Accessibility. „Tyto služby usnadňují hendikepovaným lidem používáním mobilů a tabletů. Jde například o nevidomé, hluché anebo o lidi, kteří z různých důvodů hůře interagují se zařízením,“ vysvětluje Štefanko. Služby Android Accessibility jsou součástí téměř všech zařízení s operačním systémem Android bez rozdílu, zda je jejich majitel hendikepovaný nebo ne.
Škodlivý kód tuto službu zneužívá například k tomu, aby za oběť simuloval jakékoli kliknutí v zařízení, například spuštění aplikací, stáhnutí něčeho z internetu nebo odsouhlasení povolení stahovat aplikace z neznámých zdrojů. Dokáže však také odchytávat citlivé informace o zmáčknutých klávesách a také SMS zprávy obsahující přístupové údaje například do internetového bankovnictví, čímž v podstatě oslabují tento ochranný faktor. „Takových kampaní jsme za poslední rok zaznamenali hned několik. Většina distribuovala bankovní trojan, kterým se útočníci snažili získat přístupové údaje oběti k internetovému bankovnictví, údaje o platebních kartách anebo přístup do účtů PayPal,“ dodává Štefanko.
Související
Nepřehlédněte
Diskuze
Nejčtenější články
Ransomware na Androidu nejčastěji využívá vyskakovací okna
Z výzkumu společnosti ESET vyplynulo, že nejrozšířenějším typem ransomwaru pro zařízení s operačním systémem Android byly škodlivé kódy, které zablokují zařízení tak, že monitor překryjí vyskakovacím oknem, nebo na něm změní přístupový PIN kód. Za odblokování mobilu nebo tabletu poté požadují výkupné. Ransomware je přitom jakýkoli typ škodlivého kódu, který za zpřístupnění infikovaného zařízení požaduje peníze.
Rok 2017 byl bezesporu rokem ransomwaru. Běžní uživatelé, ale i nadnárodní organizace museli čelit masivním útokům, jakými byly NotPetya nebo WannaCry. „Ransomware se ale nezaměřuje pouze na klasické počítače. Zneužívají ho i útočníci, kteří chtějí vydělat na vysoké popularitě mobilních zařízení a nejrozšířenějšího operačního systému Android,“ vysvětluje Lukáš Štefanko, analytik společnosti ESET, který se specializuje na malware zaměřený na Android.
Operační systém Android čelí nejčastěji třem kategoriím tohoto škodlivého kódu: lock-screen ransomwarům, PIN lockerům a crypto ransomwarům.
„U tzv. Lock-screen ransomwaru je zablokované celé zařízení vyskakovacím oknem, které celou svojí velikostí překrývá obrazovku mobilu nebo tabletu. PIN lockery fungují podobně, k zablokování zařízení však zneužívají samotný ochranný mechanismus operačního systému – vstupní PIN kód nebo heslo,“ vysvětluje Štefanko. „Ransomware změní tento PIN nebo heslo tak, že jej skutečnému majiteli zařízení neprozradí. V případě crypto ransomwaru je obsah infikovaného zařízení také zašifrován,“ dodává Štefanko.
Ransomware pro Android se často vydává za legitimní aplikaci. Aby zvýšili svoje šance, že si oběť stáhne do mobilu škodlivý kód, útočníci maskují ransomware například jako populární hry či pornografické aplikace. Přestože Google ve svém obchodě s aplikacemi využívá vlastní ochranné mechanismy k tomu, aby se do něj nedostaly aplikace infikované škodlivým kódem, ne vždy fungují.
„Pokud se útočníkům podaří zařízení infikovat, chtějí se ujistit o tom, že mobil či tablet zůstane infikovaný co nejdéle,“ vysvětluje pohnutky útočníků Štefanko. Jedním z nejuniverzálnějších způsobů, jak to udělat, je podle něj získání administrátorských práv pro škodlivou aplikaci. Útočníci proto musí oběť oklamat tak, aby škodlivou aplikaci aktivovali jako administrátora zařízení. Udělají to například napodobením důvěryhodných aplikací nebo překrytím okna s potvrzením administrátorských práv jinou informací. Odstranění takové škodlivé aplikace je potom pro uživatele komplikovanější, protože před jejím smazáním jí nejprve musí odebrat tato práva.
Za poslední rok však zaznamenali analytici společnosti ESET nárůst nového způsobu, jak útočníci získávají kontrolu nad infikovaným zařízením – zneužitím služeb Android Accessibility. „Tyto služby usnadňují hendikepovaným lidem používáním mobilů a tabletů. Jde například o nevidomé, hluché anebo o lidi, kteří z různých důvodů hůře interagují se zařízením,“ vysvětluje Štefanko. Služby Android Accessibility jsou součástí téměř všech zařízení s operačním systémem Android bez rozdílu, zda je jejich majitel hendikepovaný nebo ne.
Škodlivý kód tuto službu zneužívá například k tomu, aby za oběť simuloval jakékoli kliknutí v zařízení, například spuštění aplikací, stáhnutí něčeho z internetu nebo odsouhlasení povolení stahovat aplikace z neznámých zdrojů. Dokáže však také odchytávat citlivé informace o zmáčknutých klávesách a také SMS zprávy obsahující přístupové údaje například do internetového bankovnictví, čímž v podstatě oslabují tento ochranný faktor. „Takových kampaní jsme za poslední rok zaznamenali hned několik. Většina distribuovala bankovní trojan, kterým se útočníci snažili získat přístupové údaje oběti k internetovému bankovnictví, údaje o platebních kartách anebo přístup do účtů PayPal,“ dodává Štefanko.
