Ve více než dvou třetinách všech detekovaných hrozeb se v listopadu jednalo o bankovní malware Cerberus. Tento malware využívá ke svému šíření droppery, další škodlivé kódy, které na sebe berou podobu nelegitimních verzí jinak známých nebo populárních nástrojů a služeb, které mohou být v oficiálním obchodu nedostupné nebo zpoplatněné.
„V listopadu šířil bankovní malware nejvíce dropper Spy.Cerberus, který se vydával například za aplikaci pro hledání ztraceného telefonu,“ říká Martin Jirkal, vedoucí analytického týmu v pražské pobočce společnosti ESET. „Droppery, které fungují jako obálky a berou na sebe podobu různých aplikací, v sobě bankovní malware skryjí a do zařízení ho uživateli nepozorovaně doručí. Nebezpečné jsou především proto, že je méně kvalitní bezpečnostní software neodhalí. Své verze i podobu mění velmi rychle a využívají různých populárních trendů, čímž chtějí uživatele zmást a přimět ho, aby si aplikaci rychle stáhl,“ doplňuje.
Malware Cerberus je rizikem především pro bankovní služby, protože dokáže odcizit přihlašovací údaje do internetového bankovnictví a číst ověřovací SMS kódy. Zatímco v říjnu zaznamenali bezpečnostní analytici pokles jeho aktivity, před blížícím se koncem roku a vánočními svátky se jeho aktivita opět výrazně zvýšila. „Stále více uživatelů již k online nakupování využívá mimo notebooku nebo stolního počítače i chytrý telefon. A právě nyní zažíváme jednu z hlavních nákupních sezón,“ říká Jirkal. „Uživatelům doporučujeme, aby ochranu svých online plateb, bankovnictví a přihlašovacích údajů během vánočních nákupů nepodceňovali a chránili svá zařízení kvalitním bezpečnostním řešením,“ dodává.
Malware se ukrýval také v přehrávači hudby a videí
Mezi třemi nejčastějšími hrozbami se v listopadu objevily také droppery Agent.IEG a Agent.IYY. Oproti malwaru Spy.Cerberus byl podíl jejich detekcí v celkové statistice spíše marginální, útočníci se ale zaměřili na služby a nástroje, které uživatelé ve volném čase využívají k zábavě nebo relaxaci.
„V případě dropperu Agent.IEG i Agent.IYY se ukazuje, jak se útočníci snaží cílit na chování uživatelů v předvánočním období. Dropper Agent.IYY napodoboval v listopadu například přehrávač hudby a videí, nebo se objevoval v jeho modifikované podobě. V případě dropperu Agent.IEG na něj mohli uživatelé narazit v aplikaci pro sledování televize,“ říká Jirkal. „Dropper Agent.IYY šířil v listopadu bankovního trojského koně Banker.AQN. Jedná se o poměrně univerzální malware typu backdoor a cílí především na španělské banky. Vyznačuje se různými funkcemi, například dokáže přímo v aplikaci odcizit přihlašovací údaje nebo čísla kreditních karet, a zároveň zneužívá data ze samotného zařízení, jako jsou kontakty, dokáže sledovat polohu, odesílat SMS zprávy, fotit či dělat screenshoty a mnoho dalších operací,“ doplňuje.
Podobně jako u výše zmíněného dropperu Spy.Cerberus zneužil malware Agent.IEG také službu, která má uživatele před kybernetickým nebezpečím chránit. „Agent.IEG, který se podobně zaměřuje na odcizení přihlašovacích údajů do internetového bankovnictví, se vydával také za nástroj, který má kontrolovat, aby vás nikdo nekontaktoval podvodným telefonátem. Takový podvod se označuje jako vishing. Útočník se v tomto případě snaží přesvědčit uživatele k vyzrazení citlivých informací či ho přimět k nějaké aktivitě. Zpravidla se vydává za nějakou důvěryhodnou osobu – zástupce banky, známé instituce, poskytovatele IT služeb či policii. Útoky bývají úspěšné, protože pracují s naším strachem a zvědavostí,“ shrnuje Jirkal.
Během nákupů ochrání oficiální aplikace od banky
V aktuálním období zvýšených online nákupů a transakcí bezpečnostní specialisté doporučují, aby byli uživatelé při veškeré online aktivitě obezřetní a věnovali dostatek času prověření jak zabezpečení obchodu, ve kterém nakupují, tak platebním transakcím a ochraně svých dat. Bankovní malware Cerberus je hrozbou pro internetové bankovnictví, nikoli ale pro oficiální aplikaci od poskytovatele bankovních služeb.
„Používání bankovních aplikací a ověřování plateb přímo v nich pomocí otisků prstů nebo jiným adekvátním způsobem považuji za řešení, které pomůže snížit riziko potenciálního útoku. Pro úplné zabezpečení zařízení bych potom doporučil renomovaný bezpečnostní software a pravidelně aktualizovat operační systém i všechny aplikace v telefonu,“ říká Jirkal. Své zařízení před aplikacemi, které mohou šířit škodlivý kód, ochrání především sám uživatel. Hlavním doporučením je nestahovat nástroje a služby z neoficiálních míst, jako jsou různé pochybné webové stránky, fóra a nelegitimní obchody s aplikacemi. Uživatelé se tak riziku nejlépe vyhnou, pokud budou aplikace stahovat z Google Play, kde je bezpečnostní tým proaktivně prověřuje.
Nejčastější kybernetické hrozby v České republice pro platformu Android za listopad 2021:
- Android/Spy.Cerberus trojan (65,10 %)
- Android/TrojanDropper.Agent.IEG trojan (4,45 %)
- Android/TrojanDropper.Agent.IYY trojan (2,80 %)
- Android/Andreed trojan (2,39 %)
- Android/GriftHorse trojan (1,97 %)
- Android/Spy.Agent.BXF trojan (1,30 %)
- Android/TrojanDropper.Agent.DIL trojan (1,17 %)
- Android/TrojanDropper.Agent.ITV trojan (0,94 %)
- Android/TrojanDropper.Agent.IGY trojan (0,93 %)
- Android/Agent.CTO trojan (0,82 %)
