Android je nejoblíbenějším a nejpoužívanějším mobilním operačním systémem. Ale jeho rozšířenost a otevřenost zároveň přináší řadu hrozeb, včetně virů, trojanů, ransomwaru, spywaru nebo adwaru, které se do zařízení mohou dostat v aplikacích, z webových stránek, phishingových zpráv nebo například zneužitím systémových zranitelností.
Kyberbezpečnostní společnost Check Point Software Technologies identifikovala několik hackerů a skupin, které využívají malware Rafel, open-source trojan pro vzdálenou správu (RAT). „Útočníkům poskytuje mimo jiné vzdálený přístup k zařízení, možnost sledovat oběť, krást data, získat administrátorská práva a vyhnout se odhalení, proto se jedná o velmi efektivní nástroj pro tajné operace a špionáže. Navíc lze Rafel využít i k ransomwarovým útokům, mazání záznamů o hovorech, krádežím notifikací, vymazání SD karty, zamčení obrazovky, změně wallpaperu nebo rozvibrování zařízení a mnoha dalším nebezpečným činnostem,“ varuje Petr Kadrmas, Beyond the Perimeter Security Expert, Eastern Europe z kyberbezpečnostní společnosti Check Point Software Technologies.
Check Point zaznamenal přibližně 120 různých škodlivých kampaní, z nichž některé úspěšně cílily na významné organizace, včetně vojenského sektoru. Z analýzy obětí vyplývá, že nejčastějším terčem byli uživatelé ve Spojených státech, Číně a Indonésii. Ale řada obětí pochází také z České republiky.
Infikovaná zařízení v jednotlivých zemích
Většina obětí měla telefony Samsung, dalšími nejčastějšími oběťmi byli uživatelé s telefony Xiaomi, Vivo a Huawei, což odpovídá popularitě těchto zařízení na různých trzích.
Zařízení obětí
Nejčastěji byla napadená zařízení s operačním systémem Android 11, následovaly verze 8 a 5. Malware může napadnout jakoukoli verzi operačního systému, ale nejnovější verze jsou obvykle bezpečnější a malware tak musí překonat více překážek, aby mohl účinně využít svoje nebezpečné funkce.
Jednou z věcí, kterou neustále pozorujeme u počítačů, je trvale vysoký počet infekcí systému Windows XP a jejich zneužití v rámci botnetů, a to navzdory skutečnosti, že podpora této verze operačního systému skončila už v roce 2014. Stejný scénář jsme pozorovali i u infikovaných zařízení se systémem Android. Více než 87 % napadených obětí používá verze systému Android, které již nejsou podporovány, proto nejsou vybaveny bezpečnostními záplatami.
Check Point odhalil několik phishingových operací, které využívají Rafel a maskují ho za několik všeobecně známých aplikací, včetně Instagramu, WhatsAppu, různých platforem pro elektronické obchodování nebo antivirových programů. Malware ihned po aktivaci spustí na pozadí škodlivé aktivity, zaměřuje se zejména na krádeže kontaktů a navázání spojení s řídícím a velícím serverem. Takové kampaně jsou vysoce rizikové, protože kontakty lze zneužít k dalším útokům a šíření malwaru. Rafel navíc umožňuje krást i zprávy s dvoufaktorovým ověřováním a získat přístup k citlivým účtům.
Snímky obrazovky s aktivitou malwaru
Kyberzločinci, kteří používají Rafel, mají k dispozici ovládací panel, prostřednictvím kterého mohou sledovat a ovládat infikovaná mobilní zařízení.
Přihlašovací stránka administrátora
Například příkaz GetContact umožňuje získat ze zařízení oběti kontaktní údaje, což usnadňuje krádeže identity, útoky využívající sociální inženýrství a podobně.
Útočníci mohou získat také SMS zprávy s citlivými informacemi. Zejména krádeže zpráv s dvoufaktorovým ověřováním představují významné bezpečnostní riziko, protože se běžně používají k zabezpečení účtů a transakcí.
Novější verze příkazového a ovládacího panelu Rafel poskytuje rozšířené funkce a z analýzy příkazů zasílaných na zařízení vyplývá, že škodlivé aktivity byly velmi různorodé.
„Rafel má také všechny funkce potřebné k účinnému vydírání. Malware může změnit heslo zamykací obrazovky a umí se chránit před odinstalací. Pokud se uživatel pokusí aplikaci odebrat oprávnění správce, malware okamžitě změní heslo a uzamkne obrazovku, čímž zmaří jakékoli pokusy o zásah. Navíc může zašifrovat obsah celého zařízení, případně může soubory ze zařízení odstranit,“ dodává Petr Kadrmas.
Check Point mimo jiné identifikoval ransomwarovou operaci, kterou měl na svědomí kyberzločinec pravděpodobně pocházející z Íránu. Ten nejprve získal ze zařízení obětí citlivé informace, aby zjistil, zda se jedná o lukrativní cíl z pohledu špionáže, a následně spustil ransomware a SMS zprávou odeslal žádost o výkupné, která obsahovala odkaz na telegramový kanál pro další vyjednávání.
V jednom z nedávných případů byl identifikován útočník, kterému se podařilo nabourat pákistánské vládní webové stránky. Na tento server byl pak nainstalován ovládací panel Rafel a k serveru se snažila hlásit některá infikovaná zařízení.
Hacknuté pákistánské vládní webové stránky
Rafel RAT je alarmujícím příkladem, jak se malware pro Android vyvíjí. Open-source nástroj s mnoha funkcemi a širokým využitím. Je proto potřeba používat proaktivní bezpečnostní opatření, abyste se nestali obětí kyberzločinců.
Pro snížení rizika a zlepšení ochrany doporučujeme dodržovat základní bezpečnostní postupy:
- Instalace aplikací z důvěryhodných zdrojů: Stahujte a instalujte aplikace pouze z důvěryhodných zdrojů, například z obchodu Google Play. Vyhněte se obchodům s aplikacemi třetích stran a buďte obezřetní, pokud má aplikace málo stažení nebo špatné recenze. Před instalací se také vždy pečlivě podívejte na požadovaná oprávnění.
- Aktualizujte svůj software: Pravidelně aktualizujte operační systém a aplikace. Aktualizace často obsahují bezpečnostní záplaty, které chrání před nově objevenými zranitelnostmi, takže je nikdy neodkládejte.
- Používejte spolehlivou mobilní bezpečnostní aplikaci: Nainstalujte si renomovanou mobilní bezpečnostní aplikaci, která nabízí ochranu proti malwaru v reálném čase. Budete chráněni před malwarem, dostanete upozornění na podezřelé aktivity a navíc můžete využít další bezpečnostní funkce, jako jsou opatření proti krádeži a bezpečné prohlížení.
Řešení Check Point Harmony Mobile zabrání malwaru proniknout do mobilních zařízení a v reálném čase detekuje a blokuje škodlivé aplikace a nejnovější kybernetické hrozby.
Novinky od českého týmu společnosti Check Point Software Technologies:
Facebook: https://www.facebook.com/CheckPointCzech
X: https://twitter.com/CheckPointCzech
LinkedIn: https://cz.linkedin.com/showcase/checkpointczech
Sledujte novinky o bezpečnostním týmu Check Point Research:
Blog: https://research.checkpoint.com/
X: https://twitter.com/_cpresearch_
Sledujte novinky o společnosti Check Point Software Technologies:
X: http://www.twitter.com/checkpointsw
Facebook: https://www.facebook.com/checkpointsoftware
Blog: http://blog.checkpoint.com
YouTube: http://www.youtube.com/user/CPGlobal
LinkedIn: https://www.linkedin.com/company/check-point-software-technologies
O výzkumném týmu Check Point Research
Check Point Research poskytuje zákazníkům společnosti Check Point Software a širší bezpečnostní komunitě detailní informace o kyberhrozbách. Výzkumný tým shromažďuje a analyzuje data o globálních kyberútocích ze sítě ThreatCloud, chrání tak před hackery a zajišťuje, že všechny produkty Check Point jsou aktualizované a mají nejnovější ochranu. Výzkumný tým se skládá z více než 100 analytiků a výzkumných pracovníků, kteří spolupracují také s dalšími bezpečnostními společnostmi, donucovacími orgány a organizacemi CERT.
O společnosti Check Point Software Technologies
Check Point Software Technologies Ltd. (www.checkpoint.com) je přední poskytovatel kyberbezpečnostních řešení pro vlády a organizace po celém světě. Chrání zákazníky před kyberútoky 5. generace prostřednictvím unikátních řešení, která nabízí bezkonkurenční úspěšnost zachycení malwaru, ransomwaru a jiných pokročilých cílených hrozeb. Check Point nabízí víceúrovňovou bezpečnostní architekturu, Infinity Total Protection s pokročilou prevencí hrozeb 5. generace, a tato kombinovaná produktová architektura chrání podnikové sítě, cloudová prostředí a mobilní zařízení. Check Point navíc poskytuje nejkomplexnější a nejintuitivnější nástroje pro správu zabezpečení. Check Point chrání více než 100 000 organizací všech velikostí.
