V průběhu září zaznamenali analytici snížení počtu útoků pomocí stalkerware. Počet detekcí této hrozby klesl o 25 %. „Za oslabením této snahy vidím výrazný tlak bezpečnostních společností a Googlu, jakožto vývojáře systému Android. V září společnost ohlásila změnu programových zásad pro vývojáře pro aplikační obchod Google Play,“ popisuje Martin Jirkal, vedoucí analytického oddělení z české pobočky firmy ESET. „Nepochybně je to dobrý krok, který vývojáře škodlivých aplikací na nějaký čas zpomalí. Úplný zánik mobilního stalkerware ale očekávat nelze. Přinejmenším bude i nadále dostupný mimo oficiální obchod.“
Nové podmínky platí od října. Tvůrci aplikací nesmějí například prezentovat své řešení jako aplikace určené ke špehování, maskovat ani skrývat sledovací funkce, musí být možné aplikace zřetelně identifikovat pomocí jedinečné ikony.
Mobilní telefon v rukou stalkera
Nejčastější hrozbou pro české uživatele zůstal stalkerware Cerberus. Jedná se o aplikaci z neoficiálního zdroje, která slouží ke sledování a ovládání telefonu na dálku. Vývojáři ji propagují jako nástroj pro případ krádeže a službu rodičovské kontroly. Pomocí SMS příkazů tato aplikace dokáže například zapnout Wi-Fi, přečíst SMS, smazat některé údaje či sledovat polohu.
„Zároveň je možné tuto aplikaci skrýt v systému, což společně se vzdálenými příkazy odporuje pravidlům oficiálního obchodu. Proto aplikaci oficiální cestou stáhnout nelze,“ vysvětluje Jirkal. Hrozbou byla, stejně jako v předchozích měsících, také předinstalovaná sada nástrojů Guardian. Tyto sledovací nástroje jsou součástí předinstalovaných aplikací v levných telefonech z Asie.
Novinkou ve statistice nejběžnějších hrozeb je malware Traca, jedná se o knihovnu funkcí, které dokáží sledovat zařízení. „Z telemetrie vidíme, že tvůrci malware se tuto knihovnu snaží skrývat. Knihovny, jako je tato, obecně slouží vývojářům mobilních aplikací. Obsahují jakési šablony pro různé funkce. Například si tak lze stáhnout kód pro vyskakovací upozornění a ten jen upravit. V tomto případě jde o vzory pro sledovací funkce. Tvůrci Tracy zneužívají legitimní GPS platformu Traccar,“ vysvětluje Jirkal.
V minulosti analytici ESETu zachytili tuto škodlivou knihovnu například v aplikacích Namierz, GPS IntTel Track nebo Traccar Client. Některé verze navíc sledovaly i další údaje – například sportovní výkony z jiných aplikací či jaké hry uživatel hraje.
Uživatele ochrání obezřetnost
Většinu mobilního malware si uživatel do zařízení stáhne sám z neoficiálního zdroje, zpravidla v rámci nějaké škodlivé aplikace, která má na první pohled zcela legitimní funkci.
„Za oficiální zdroj aplikací lze považovat výhradně obchod Google Play. Jeho správci dlouhodobě aktivně pracují na co nejkvalitnějším zabezpečení a eliminaci všech potenciálních rizik. Přesto bych doporučil uživatelům, aby si do svých telefonů nainstalovali i spolehlivý bezpečnostní program, který odhalí i hrozby při prohlížení internetu, v e-mailech a další,“ uzavírá Jirkal.
Nejčastější kybernetické hrozby pro platformu Android v České republice za září 2020:
- Application.Android/Monitor.Cerberus (3,17 %)
- Application.Android/Monitor.Traca (1,72 %)
- Application.Android/Monitor.Guardian (1,67 %)
- Trojan.Android/Agent.BPO (1,65 %)
- Application.Android/Monitor.Androidlost (1,58 %)
- Trojan.Android/Agent.CAM (1,29 %)
- Trojan.Android/Agent.BZF (1,22 %)
- Trojan,Android/TrojanDropper,Agent,CJM (1,20 %)
- Trojan.Android/Spy.SmsSpy.PD (1,18 %)
- Trojan.Android/TrojanDropper.Agent.FRE (1,13 %)