Rok 2017 byl rokem ransomwarů. Obrana proti nim je těžká, ale pirátům se nemá ustupovat

Rok 2017 byl rokem ransomwarů. Obrana proti nim je těžká, ale pirátům se nemá ustupovat
Autor: archiv redakce|Popisek: Kyberkriminalita v minulém roce opět narostla
26 / 02 / 2018, 07:00

V minulém roce dramaticky narostl počet škodlivých virů, tzv. ransomwarů pro Android. Platí to hlavně u kódů, které zablokují zařízení tak, že monitor překryjí vyskakovacím oknem, nebo na něm změní přístupový PIN kód. Za odblokování mobilu nebo tabletu poté požadují výkupné, ale ani po jeho zaplacení zařízení neodblokují.

Tvrdí to alespoň studie bezpečnostní společnosti ESET, zveřejněná při příležitosti veletrhu Mobile World Congress. „Rok 2017 byl bezesporu rokem ransomwaru. Běžní uživatelé, ale i nadnárodní organizace museli čelit masivním útokům, jakými byly NotPetya nebo WannaCry. „Ransomware se ale nezaměřuje pouze na klasické počítače. Zneužívají ho i útočníci, kteří chtějí vydělat na vysoké popularitě mobilních zařízení a nejrozšířenějšího operačního systému Android,“ vysvětluje Lukáš Štefanko, analytik společnosti ESET, který se specializuje na malware zaměřený na Android. Podle něj čelí operační systém Android nejčastěji třem kategoriím tohoto škodlivého kódu: lock-screen ransomwarům, PIN lockerům a crypto ransomwarům. „U tzv. Lock-screen ransomwaru je zablokované celé zařízení vyskakovacím oknem, které celou svojí velikostí překrývá obrazovku mobilu nebo tabletu. PIN lockery fungují podobně, k zablokování zařízení však zneužívají samotný ochranný mechanismus operačního systému – vstupní PIN kód nebo heslo,“ vysvětluje Štefanko. „Ransomware změní tento PIN nebo heslo tak, že jej skutečnému majiteli zařízení neprozradí. V případě crypto ransomwaru je obsah infikovaného zařízení také zašifrován,“ dodává Štefanko.

Štefanko zároveň nedoporučuje uživatelům platit výkupné. Crypto ransomware gangy dosáhly profesionální úrovně a v mnoha případech ani po zaplacení výkupného data svým obětem neodšifruje. „ESET zaznamenal několik variant ransomwaru u operačního systému Android, které dešifrovací funkci nebo možnost odinstalování vůbec neobsahovaly. Zaplacení výkupného by tedy oběti k ničemu nepomohlo,“ varuje expert.

psali jsme: Probíhající kyberútoky po celém světě v reálném čase a online na mapě od Check Pointu

Kromě své hlavní funkce dokáže ransomware zaměřený na Android také napáchat mnohé další škody: promazat obsah zařízení, resetovat PIN nebo přístupové heslo, zaslat SMS zprávu na jakýkoli kontakt nebo na všechny kontakty nebo naopak ukrást SMS a kontakty v telefonu, uzamknout ho nebo zapnout nebo vypnout mobilní data či Wi-Fi.

Ransomware pro Android se podle Štefanka často vydává za legitimní aplikaci a jako takový dokáže přelstít i Google. „Aby zvýšili svoje šance, že si oběť stáhne do mobilu škodlivý kód, útočníci maskují ransomware například jako populární hry či pornografické aplikace. Analytici ESET nahlásili společnosti Googlu už stovky vzorků škodlivého kódu přítomných v jeho obchodu, jimž se podařilo ochranné mechanismy obejít,“ varuje Štefanko.

„Pokud se útočníkům podaří zařízení infikovat, chtějí se ujistit o tom, že mobil či tablet zůstane infikovaný co nejdéle,“ vysvětluje pohnutky útočníků expert. „Jedním z nejuniverzálnějších způsobů, jak to udělat, je podle něj získání administrátorských práv pro škodlivou aplikaci. Útočníci proto musí oběť oklamat tak, aby škodlivou aplikaci aktivovali jako administrátora zařízení. Udělají to třeba napodobením důvěryhodných aplikací nebo překrytím okna s potvrzením administrátorských práv jinou informací. Odstranění takové škodlivé aplikace je potom pro uživatele komplikovanější, protože před jejím smazáním jí nejprve musí odebrat tato práva,“ sdělil Štefanko s tím, že v posledním roce ale piráti přišli s obzvláště odporným trikem. „Jedná se o zneužití služeb Android Accessibility, které usnadňují hendikepovaným lidem, například hluchým a nevidomým, používáním mobilů a tabletů,“ uvedl Štefanko. Škodlivý kód tuto službu zneužívá například k tomu, aby za oběť simuloval jakékoli kliknutí v zařízení, například spuštění aplikací, stáhnutí něčeho z internetu nebo odsouhlasení povolení stahovat aplikace z neznámých zdrojů. Dokáže však také odchytávat citlivé informace o zmáčknutých klávesách a také SMS zprávy obsahující přístupové údaje například do internetového bankovnictví, čímž v podstatě oslabují tento ochranný faktor amohou člověka ožebračit, aniž by si toho všiml. „Takových kampaní jsme za poslední rok zaznamenali hned několik. Většina distribuovala bankovní trojan, kterým se útočníci snažili získat přístupové údaje oběti k internetovému bankovnictví, údaje o platebních kartách anebo přístup do účtů PayPal,“ dodává Štefanko.

Podle IT a bezpečnostních expertů je pro uživatele Androidu důležité, aby věděli nejen o potenciálních hrozbách, ale i o způsobech, jak se jim bránit. Mezi nejdůležitější způsoby obrany a prevence patří pravidelné aktualizování operačního systému Android a mobilních bezpečnostních aplikací, zálohovat všechna důležitá data uložená v mobilním zařízení a také se důsledně vyhýbat neoficiálním obchodům s IT aplikacemi.

psali jsme: Hacker, jenž zastavil v květnu virus WannaCry, byl zatčen v USA

Pokud se však člověk stane obětí ransomwaru, existuje více možností, jak se ho zbavit. U většiny jednoduchých locker-screen ransomwarů stačí spustit zařízení v Safe Mode, což zabrání spuštění aplikací třetích stran, včetně škodlivého kódu a tak se dá virová aplikace snadno odstranit. V případě, že už získala administrátorská práva, musí ji být předtím v nastavení odebrána. Situace se ale komplikuje, pokud ransomware s administrátorskými právy zablokoval zařízení PIN kódem nebo heslem. „Resetovat PIN nebo heslo by mělo být možné přes Android Device Manager společnosti Google nebo přes jiné MDM řešení. Rootnuté Android telefony mají mnohem více možností,“ radí Štefanko.

A když všechno selže, zbývá poslední řešení: resetovat zařízení do továrního nastavení. Tím ale uživatel ztratí všechna data uložená v tomto zařízení. „Pro uživatele se zálohovanými daty by to ale neměl být problém, proto je jejich zálohování tak důležité,“ říká Štefanko.

 

Nepřehlédněte na Security magazínu: Survival - jak se chovat, abyste přežili v pustině nebo džungli? A kam se schovat před teroristickým útokem? S námi víte více

Tagy článku

SECURITY magazín je ve své tištěné podobě první a jediný český odborný časopis o komerční bezpečnosti a vychází od roku 1994. SECURITY magazín se orientuje především na profesionály v přímém výkonu služby v soukromých bezpečnostních agenturách a ve firmách, které poskytují technické bezpečnostní služby. Je určen také manažerům, kteří uvedené služby prodávají a řídí a bezpečnostním specialistům, kteří bezpečnostní služby nakupují v soukromém i státním sektoru. Zkušenosti a informace v SECURITY magazínu jsou ale určeny i laické veřejnosti, potenciálním zákazníkům, kteří o bezpečnosti velmi často mluví a ne vždy jí rozumí nebo chápou její specifika. SECURITY magazín chce tradiční spoluprací s akademickým prostředím a experty v oboru dokázat, že komerční bezpečnost je multioborová disciplína, úzce propojená požadavky norem a předpisů a je v mnoha ohledech založena na moderních vyspělých technologiích, které mohou instalovat a provozovat pouze vzdělaní specialisté.

Cookies nám pomáhají k Vaší spokojenosti

Tento web používá soubory cookies k poskytování služeb, personalizaci reklam a analýze návštěvnosti.
Používáním tohoto webu s tím souhlasíte.

Další informace