Nebezpečné viry útočí na PC i mobily

Nejčastějším typem útoku jsou nejrůznější phishingové zprávy. Jde zpravidla o nevyžádané e-maily, ve kterých se podvodníci vydávají za zástupce nějaké banky a rozesílají podvodné nabídky o nové službě či účtu.

V podstatě tedy na internetu rybaří a čekají, až se jim někdo chytne na udičku. Od uživatelů se snaží touto cestou vylákat hotovost, stejně jako jejich citlivé údaje, které pak na černém trhu mají cenu zlata.

Phishingové útoky přitom nečíhají pouze na internetu, stále častěji je zkouší kyberzločinci rozesílat prostřednictvím SMS zpráv. Ty totiž mohou být na chytrých telefonech také velmi nebezpečné, prostřednictvím nich je totiž možné z internetu stáhnout škodlivé viry úplně stejně jako z nevyžádaného e-mailu.

Právě proto bezpečnostní experti neustále upozorňují na to, že mobily a tablety je potřeba chránit úplně stejně jako klasické počítače. Řada lidí si to ale stále neuvědomuje, což velmi nahrává počítačovým pirátům.

Přitom právě na zmiňovaných mobilních zařízeních uživatelé velmi často uchovávají citlivé osobní údaje, přístupová hesla a v neposlední řadě je používají také k obsluze svých bankovních účtů. Právě poslední zmiňovaná činnost je pro počítačové piráty patrně nejatraktivnější.

Pokud se počítačoví piráti dostanou k přihlašovacím údajům do internetového bankovnictví, jsou jen krůček od vybílení účtu. Stačí, aby se jim podařilo na telefon propašovat dalšího nezvaného návštěvníka, který dovede odchytávat SMS zprávy pro potvrzení plateb.

Podle nejstřízlivějších odhadů kolují každý den v prostředí internetu desítky tisíc nejrůznějších virů. Zhruba polovina jich přitom cílí právě na mobilní zařízení.

Největším problémem u sofistikovaných hrozeb je, že se snaží zůstat co nejdéle v anonymitě. Takoví záškodníci pak dovedou odposlouchávat uživatele na dálku, monitorovat jeho práci, ale klidně i šikovně obejít ověřovací mechanismy v internetovém bankovnictví.

Stranou nezůstanou ani nejrůznější vyděračské viry, které dělaly vrásky na čele uživatelům už v loňském roce. Ty uzamknou počítač nebo mobil a za zpřístupnění uložených dat požadují mnohatisícové výkupné.

Odhalit takové smetí v počítači nebo chytrém telefonu pomáhají programy, z nichž každý se specializuje na něco jiného. Některé si dovedou poradit s trojskými koni či spywarem, další zase detekují takzvané keyloggery (programy zaznamenávající stisk kláves).

Cena takovýchto aplikací se zpravidla pohybuje od 500 do několika tisíc korun. Vedle toho ale existují také bezplatné alternativy, které nejčastěji firmy nabízejí pouze k vyzkoušení, a zaplatit chtějí až za pokročilejší verzi. Ale i proto, aby v nich mohly zobrazovat reklamu a tím vydělávat peníze.

Výsledky testů bezplatných a placených aplikací se různí, v některých dokonce zdarma dostupné programy vyhrávají.

Na pozoru by se měli mít v posledních dnech uživatelé kancelářského balíku Office. V jednom z programů, které jsou jeho součástí, je totiž nebezpečná chyba. A právě tu nyní začali v Česku masivně zneužívat hackeři, varovali bezpečnostní experti z antivirové společnosti Eset.

Pikantní na celé kauze je, že chyba není vůbec nová – jde o trhlinu známou už zkraje letošního roku, pro kterou již byla před několika měsíci vydána záplata.

S její instalací si ale podle všeho většina uživatelů hlavu neláme, čímž velmi zjednodušuje práci hackerů. V podstatě lidé, kteří opravu ještě nenainstalovali, nechávají do svého systému nevědomky otevřená zadní vrátka pro počítačové piráty.

Analytici společnosti Eset detekují hrozbu již od února letošního roku. Tehdy se na síti objevil exploit Win32/Exploit.CVE-2017-11882, jenž trhlinu zneužívá. Exploit je speciální hackerský program, který umožňuje kybernetickým nájezdníkům zneužít objevenou trhlinu v systému.

Zatímco až do konce května se pohyboval podíl exploitu Win32/Exploit.CVE-2017-11882 v rámci detekovaných hrozeb mezi 4 a 5 procenty, v uplynulém měsíci jeho četnost výrazně vzrostla. V současnosti tak tento nezvaný návštěvník stojí za každým 11. útokem na tuzemském internetu, jeho podíl je 9 %.

Zneužitím zranitelnosti tedy může útočník v praxi získat kontrolu nad systémem, může propašovat do dotčeného operačního systému prakticky libovolný škodlivý kód. S využitím špionských nástrojů může ale klidně i uživatele šmírovat, dostat se k uloženým datům na disku nebo se jednoduše zmocnit celého systému na dálku.

S instalací aktualizace, kterou je možné stahovat prostřednictvím služby Windows Update, by tak uživatelé s ohledem na možná bezpečnostní rizika neměli rozhodně otálet.

Už loni v létě objevili bezpečnostní experti nebezpečného bankovního trojského koně s názvem DanaBot. Přestože by se mohlo zdát, že po takové době je hrozba zažehnána, opak je pravda. Tento škodlivý kód totiž kyberzločinci neustále vylepšují a nasazují jej stále znovu. Informovali o tom odborníci z kyberbezpečnostní společnosti Check Point.

DanaBot se původně soustředil výhradně na krádeže přihlašovacích údajů k bankovním účtům. Uhnízdil se v počítači a co nejdéle se snažil zůstat v utajení, aby o něm uživatelé nevěděli a aby mohl číhat na svou příležitost, jak připravit klienty bank o peníze.

To se ale nyní změnilo. „Analyzujeme působení DanaBot od srpna 2018 a nedávno jsme odhalili, že někteří boti nasazení v Evropě začali používat spustitelný soubor, který se ukázal jako ransomware napsaný v programovacím prostředí Delphi,“ přiblížili technickou stránku věci výzkumníci z týmu Check Point Research.

V současnosti tak tento nezvaný návštěvník dovede v počítači udělat ještě větší neplechu než dříve. Dovede krást přihlašovací údaje z prohlížečů a FTP klientů, shromažďovat přihlašovací údaje ke kryptopeněženkám, spustit proxy na infikovaném počítači, a tím přesměrovat internetový provoz, nebo například vytvářet screenshoty nebo nahrát video práce na PC.

Podle bezpečnostních expertů si přitom tohoto trojského koně pustí uživatelé do PC nejčastěji sami, velmi často se totiž šíří jako příloha nevyžádaných e-mailů. Na disk v počítači si cestu tento záškodník najde ve chvíli, kdy uživatelé přílohu otevřou.

DanaBot se podle analýzy Check Pointu rozšířil po celé Evropě, Austrálii, Novém Zélandu, USA i Kanadě.

Výhradně na uživatele, kteří používají pirátské verze nástrojů pro profesionální úpravu zvuku, se zaměřuje škodlivý kód LoudMiner. Hrozba se přitom týká nejen majitelů strojů s Windows, ale také s macOS od Applu. Upozornili na to bezpečnostní experti z antivirové společnosti Eset.

LoudMiner spadá do kategorie tzv. těžařských virů. To jinými slovy znamená, že se tento škodlivý kód snaží zůstat co nejdéle v anonymitě, aby na něj nikdo nepřišel. Útočníci se prostřednictvím nezvaného návštěvníka snaží zneužít výkon napadeného počítače.

Zpravidla tak kyberzločinci zneužívají grafickou kartu nebo procesor k vlastnímu obohacení. Pomocí těžby totiž vydělávají virtuální mince, které mohou následně směnit za skutečné peníze. Na platformě Windows k tomu využívá virtualizační software VirtualBox, na operačním systému macOS využívá systému QEMU. Samotná těžba probíhá na virtuálním stroji se systémem Tiny Core Linux, uvedli bezpečnostní experti.

„Malware LoudMiner cílí na uživatele využívající aplikace pro úpravu zvuku z poměrně prostého důvodu. Je zde předpoklad, že disponují vyšším výpočetním výkonem, které tyto softwarové nástroje zpravidla vyžadují,“ vysvětil Marc-Etienne M. Léveillé, malware analytik společnosti Eset.

Podle něj navíc lidé s ohledem na vysoký výkon takových sestav nemusí ani poznat, že je jejich systém zpomalený. „Využití virtuálního zařízení namísto jiného řešení je pozoruhodné a není to něco, s čím se běžné setkáváme,“ podotkl Léveillé.

Výzkumníkům z kyberbezpečnostní společnosti Check Point se podařilo objevit zákeřný škodlivý kód, který nepozorovaně infikoval už 25 milionů zařízení. Nová hrozba se jmenuje Agent Smith a útočníkům vydělává nemalé peníze zobrazováním podvodné reklamy.

Malware označený podle kultovního filmu Matrix jako Agent Smith se soustřeďuje výhradně na mobilní zařízení s operačním systémem Android od Googlu. Útočníci si totiž jsou moc dobře vědomi, že zabezpečení chytrých telefonů a počítačových tabletů lidé velmi často podceňují, a že tedy své zařízení proti mobilnímu malwaru chrání jen málokdo.

Patrně i kvůli tomu se podařilo tímto nezvaným návštěvníkem infikovat již tak velké množství přístrojů. Nejvážnější je přitom situace v Indii, kde Agent Smith infikoval z celkového počtu 25 milionů zařízení na 15 milionů přístrojů. Zbylých 10 milionů pochází z dalších koutů světa, zda jsou mezi poškozenými také Češi, však v tuto chvíli není jasné.

Virus se nicméně vyskytoval například v Pákistánu, Bangladéši, Anglii, Austrálii či USA.

Výzkumníci zjistili, že nově objevená hrozba je maskovaná jako aplikace související se společností Google, malware zneužívá známé zranitelnosti systému Android a automaticky nahrazuje nainstalované aplikace škodlivými verzemi, aniž by o tom uživatelé věděli nebo to vyžadovalo nějakou jejich aktivitu.

To jinými slovy znamená, že uživatel bez nainstalovaného antiviru nemá příliš šanci poznat, že je jeho zařízení zavirované – jednoduše proto, že virus vyměnil legitimní aplikaci za podvodnou. „Malware útočí na instalované aplikace nepozorovaně, takže pro běžné uživatele může být složité bojovat s podobnými hrozbami,“ zdůraznil Petr Kadrmas, regionální bezpečnostní manažer ve společnosti Check Point.

Bez nadsázky stroj na peníze vytvořili podvodníci vystupující pod vývojářskou značkou POZTechnology. Vytvořili aplikaci Number Finder, která slibovala lidem zjistit, kdo jim volá z neznámého čísla. Ve skutečnosti šlo ale jen o způsob, jak z důvěřivců vytáhnout finanční prostředky. Upozornili na to výzkumníci z týmu Mobile Threat Intelligence společnosti Avast.

Aplikace Number Finder byla určena výhradně pro operační systém Android od společnosti Google a navzdory své škodlivosti se objevila také v oficiálním internetovém obchodě Google Play. Právě odtud si ji podle bezpečnostních expertů stáhlo více než 11 milionů lidí.

Ve chvíli, kdy si lidé program nainstalovali na své zařízení, měli dvě možnosti, jak pokračovat. Jednou z možností bylo měsíční předplatné, pro které jsou požadovány platební informace předem. Druhou možností bylo okno s předplatným zavřít a dát pouze číslo, které aplikace údajně dokáže spárovat s jednotlivcem, pokud si uživatel zakoupí předplatné.

„Pokud uživatel zadá testovací číslo, ať už platné, nebo falešné, Number Finder vždy zobrazí stejnou zprávu: ‚S tímto číslem je spojena 1 osoba.‘ A to ve snaze přesvědčit uživatele, aby za službu platil měsíční předplatné a zjistil, čí dané číslo je,“ varovali bezpečnostní experti.

Zkušenosti uživatelů nicméně hovoří o tom, že ani po předplacení služby aplikace neumí spárovat číslo s ID volajícího, i když vývojáři v popisu tvrdí opak. „Aplikace nemá žádnou jinou funkci, kterou by předplatiteli nabídla,“ konstatovali bezpečnostní experti.

Jediným motivem podvodníků tak tedy bylo z důvěřivců dostat peníze. Jak již bylo uvedeno výše, aplikaci si stáhlo 11 milionů lidí. Kolik z nich nakonec za program zbytečně zaplatilo, není zatím známo.

Může se vám hodit na Seznamu: