Zákeřný software provádí celou řadu škodlivé činnosti
Nový nebezpečný kód je ze skupiny RAT, což je zkratka označení Remote Access Trojan. Tímto pojmem se v bezpečnostní branži označuje škodlivý software, který poté, co se usadí na napadeném zařízení, navazuje komunikaci se vzdálenými servery a otevírá zadní vrátka pro infiltraci ještě škodlivějšího kódu.
Zpráva bezpečnostních expertů informuje, že "DroidBot", jak se aktuální hrozba nazývá, mimo jiné také zaznamenává vstupy uživatele a sleduje uživatelské rozhraní napadeného zařízení. Obrovské riziko se skrývá i v tom, že útočníci se mohou ke smartphonu připojit na dálku a skrytě jej ovládat tak, že si to uživatel ani neuvědomí.
Mohlo by vás zajímat
Nebezpečný špionážní software Pegasus je v mobilech rozšířenější, než experti předpokládali
Bezpečnost
DroidBot: jak tento škodlivý software pro Android vlastně funguje?
Podle analýzy bezpečnostních expertů ze společnosti Cleafy DroidBot využívá dvoukanálovou komunikaci. Odchozí a příchozí data se přenášejí pomocí dvou různých protokolů.
Jedním z nich je standardní HTTPS. Experti k tomu dodávají, že jde o běžnou praxi, kterou kybernetičtí zločinci využívají pro zasílání signálů a příkazů do infikovaných systémů.
To jim také umožňuje flexibilitu, protože HTTPS protokol a související připojení jsou vždy autorizovaná. Zároveň je probíhající komunikace šifrovaná, což komplikuje její odhalení: nikdo do ní nemůže zasahovat ani nahlížet.
Jak se DroidBot dostává do zařízení oběti?
Podle zveřejněných informací DroidBot infikuje zařízení oběti prostřednictvím sideloadingu, což je stahování a instalace aplikací z jiných zdrojů, než jsou oficiální platformy. Stále opakovaně v tom významnou roli sehrávají návnady.
Různými manipulacemi jsou uživatelé přesvědčování k tomu, aby klikali na škodlivé odkazy, otevírali infikované soubory nebo stahovali software, kterému by bylo lepší se zdaleka vyhnout.
Klasickými podvody jsou údajné zásilky, které byly přesměrovány a pro jejichž sledování a následné vyzvednutí si uživatelé musejí stáhnout aplikaci doručovací služby.
V největším počtu případů se DroidBot maskuje jako bezpečnostní software, služba Google, nebo některá ze známých aplikací elektronického bankovnictví.
Mohlo by vás zajímat
DroidBot má řadu děsivých funkcí
Jakmile se škodlivý kód dostane na zařízení oběti, zločinci jej mohou začít různými způsoby zneužívat. Jednou z činností je zachytávání textových zpráv, čímž lze snadno obejít například dvoufaktorové ověřování pro internetové bankovnictví.
DroidBot také funguje jako keylogger, tedy nástroj, který zachytává vstupní text. Sledovat se tak dají citlivé informace, které uživatele zadávají do různých přístupových obrazovek. Zneužívá se to v kombinaci s takzvanými překryvnými útoky.
Pokud se potenciální oběť podvodu chce například přihlásit do svého internetového bankovnictví, zobrazí se falešná přihlašovací obrazovka, imitující originál. Zločinci ji mohou zneužít k přístupu k zadávaným přihlašovacím údajům.
Bezpečnostní experti mají podezření, že DroidBot je k dispozici v režimu "malware jako služba". Pravděpodobně turecká skupina, která za vším stojí, může své služby z oblasti kyberzločinu nabízet za poplatek. Pronajmout si je tak může takřka každý.
Mohlo by vás zajímat
Jak se infekci vyhnout
Pro ochranu před nákazou tímto zákeřným softwarem platí zlaté pravidlo: zachovat klid, rozvahu, neklepat zbrkle na podstrčené odkazy a vše si důkladně rozmyslet. Rozhodně se vyplatí aplikace stahovat pouze z oficiálních platforem a vyhnout se pokoutním stránkám, i kdyby jejich obsah byl sebelákavější.
Pamatujte na to, že bariéry pro kriminální a podvodnou činnost v online prostředí se neustále snižují. Strůjci útoku dostávají podporu od poskytovatelů malwaru a dokonce i přístup do telegramového kanálu, kde jsou pravidelně zveřejňovány aktualizace.
Zdroj: Cleafy
5 foto
