facebook LinkedIN LinkedIN - follow
Aktuality -> Hardware - 26. 2. 2018

Ransomware pro Android blokuje mobil PINem nebo vyskakovacím oknem

RansomwareOperační systém Android je velmi úspěšnou a populární platformou pro mobilní zařízení, a proto je logické, že se také stává terčem pro různé kybernetické útoky. Nejvýraznější z nich jsou v poslední době útoky typu ransomware, tedy napadení počítače nebo mobilního zařízení škodlivým kódem, který jej různým způsobem zablokuje a žádá výkupné s příslibem odblokování. Dodejme, že příslibem mnohdy falešným a neúčinným. Jak napadení mobilního zařízení ransomwarem probíhá a jak se mu lze bránit?



Operační systém Android čelí nejčastěji třem kategoriím tohoto škodlivého kódu: lock-screen ransomwarům, PIN lockerům a crypto ransomwarům. Společnost ESET zanalyzovala případy ransomwaru pro Android, jež zachytila v průběhu minulého roku. Z jejího výzkumu vyplynulo, že nejrozšířenějším typem ransomwaru pro zařízení s operačním systémem Android byly škodlivé kódy, které zablokují zařízení tak, že monitor překryjí vyskakovacím oknem (lock-screen), nebo na něm změní přístupový PIN kód (PIN locker).

„U tzv. Lock-screen ransomwaru je zablokované celé zařízení vyskakovacím oknem, které celou svojí velikostí překrývá obrazovku mobilu nebo tabletu. PIN lockery fungují podobně, k zablokování zařízení však zneužívají samotný ochranný mechanismus operačního systému – vstupní PIN kód nebo heslo,“ vysvětluje Štefanko analytik společnosti ESET, který se specializuje na malware zaměřený na Android. „Ransomware změní tento PIN nebo heslo tak, že jej skutečnému majiteli zařízení neprozradí. V případě crypto ransomwaru je obsah infikovaného zařízení také zašifrován,“ dodává Štefanko.

Ransomware pro Android se často vydává za legitimní aplikaci. Aby zvýšili svoje šance, že si oběť stáhne do mobilu škodlivý kód, útočníci maskují ransomware například jako populární hry či oblíbené aplikace. Přestože Google ve svém obchodě s aplikacemi využívá vlastní ochranné mechanismy k tomu, aby se do něj nedostaly aplikace infikované škodlivým kódem, ne vždy fungují spolehlivě.

„Pokud se útočníkům podaří zařízení infikovat, chtějí se ujistit o tom, že mobil či tablet zůstane infikovaný co nejdéle,“ vysvětluje pohnutky útočníků Štefanko. Jedním z nejuniverzálnějších způsobů, jak to udělat, je podle něj získání administrátorských práv pro škodlivou aplikaci. Útočníci proto musí oběť oklamat tak, aby škodlivou aplikaci aktivovali jako administrátora zařízení. Udělají to například napodobením důvěryhodných aplikací nebo překrytím okna s potvrzením administrátorských práv jinou informací. Odstranění takové škodlivé aplikace je potom pro uživatele komplikovanější, protože před jejím smazáním jí nejprve musí odebrat tato práva.

Za poslední rok však zaznamenali analytici společnosti ESET nárůst nového způsobu, jak útočníci získávají kontrolu nad infikovaným zařízením – zneužitím služeb Android Accessibility, které usnadňují hendikepovaným lidem používáním mobilů a tabletů. Služby Android Accessibility jsou přitom součástí téměř všech zařízení s operačním systémem Android bez rozdílu, zda je jejich majitel hendikepovaný nebo ne. Škodlivý kód pak tuto službu zneužívá například k tomu, aby za oběť simuloval jakékoli kliknutí v zařízení, například spuštění aplikací, stáhnutí něčeho z internetu nebo odsouhlasení povolení stahovat aplikace z neznámých zdrojů. Dokáže však také odchytávat citlivé informace o zmáčknutých klávesách a také SMS zprávy obsahující přístupové údaje například do internetového bankovnictví, čímž v podstatě oslabují tento ochranný faktor.

„Takových kampaní jsme za poslední rok zaznamenali hned několik. Většina distribuovala bankovní trojan, kterým se útočníci snažili získat přístupové údaje oběti k internetovému bankovnictví, údaje o platebních kartách anebo přístup do účtů PayPal,“ dodává Štefanko.

Jak chránit svoje zařízení s Androidem?

Pro uživatele zařízení s Androidem je důležité, aby věděli nejen o potenciálních hrozbách, ale i o způsobech, jak se jim bránit. Mezi nejdůležitější způsoby prevence patří:

  • Pravidelně aktualizovat operační systém Android ve svém zařízení, pokud ovšem jeho výrobce nové verze uvolní.
  • Vyhýbat se neoficiálním obchodům s aplikacemi a s opatrností vybírat i aplikace z Google Play.
  • Zálohovat všechna důležitá data uložená v mobilním zařízení, a to nejen kvůli riziku ransomware.
  • Používat prověřená mobilní bezpečnostní řešení.

Pokud se však už stanete obětí ransomwaru na Androidu, existuje vícero možností, jak se ho budete moci zbavit. U většiny jednoduchých locker-screen ransomwarů stačí spustit zařízení v Safe Mode (způsob spuštění Safe Mode závisí na konkrétním modelu zařízení), což zabrání spuštění aplikací třetích stran, včetně škodlivého kódu. Potom se dá škodlivá aplikace jednoduše odstranit. V případě, že už získala administrátorská práva, musí ji být předtím v nastavení zařízení odebrána.

Pokud ransomware s administrátorskými právy zablokoval zařízení PIN kódem nebo heslem, situace se komplikuje. Resetovat PIN nebo heslo by mělo být možné přes Android Device Manager společnosti Google nebo přes jiné MDM řešení. Rootnuté Android telefony mají mnohem více možností. Jako poslední řešení, pokud není k dispozici žádné MDM řešení, je možné resetovat zařízení do továrního nastavení, čímž však uživatel ztratí všechna data uložená v tomto zařízení. Pro uživatele se zálohovanými daty by to ale neměl být problém.

Pokud byl obsah zařízení zašifrován crypto ransomwarem, doporučujeme uživatelům kontaktovat dodavatele svojí bezpečnostní aplikace, který v případě některých variant škodlivého kódu může mít řešení, jak údaje dešifrovat.

Obecně se při útoku ransomware nedoporučuje platit výkupné. Odšifrování zařízení nebo dat po zaplacení výkupného není rozhodně pravidlem. Obzvlášť ne u Androidu. ESET v této souvislosti varuje, že zaznamenal několik variant ransomwaru, které dešifrovací funkci nebo možnost odinstalování vůbec neobsahovaly. Zaplacení výkupného by tedy oběti k ničemu nepomohlo.


 
  

- PR -

Konec papírování, digitalizujte a usnadněte si práci!

IT Systems 3/2024V aktuálním vydání IT Systems jsme se zaměřili na vývoj digitalizace ve světě peněz, tedy v oblasti finančnictví a pojišťovnictví. Dozvíte se například, proč je aktuální směrnice PSD2 v inovaci online bankovnictví krokem vedle a jak by její nedostatky měla napravit připravovaná PSD3. Hodně prostoru věnujeme také digitalizaci státní správy a veřejného sektoru, která nabírá obrátky.

  

- PR -

Fortinet představil první bezpečné síťové řešení s podporou Wi-Fi 7

FortiAP 441KNový přístupový bod Wi-Fi 7 a 10gigabitový switch s podporou napájení PoE nabízí 2x vyšší rychlost a zvýšenou kapacitu v rámci integrovaného portfolia bezpečných pevných a bez­drá­to­vých řešení společnosti Fortinet.