Lukáš Štefanko

Malware Researcher společnosti ESET

Malware pro platformu Android často spoléhá na navigaci založenou na uživatelském rozhraní. Využití generativní AI tak útočníkům umožňuje přizpůsobit se prakticky jakémukoli zařízení, rozvržení nebo verzi operačního systému. To může výrazně rozšířit množinu potenciálních obětí.

Hlavním účelem malwaru PromptSpy je nasadit vestavěný modul VNC, který operátorům poskytne vzdálený přístup k zařízení oběti. Tento škodlivý kód pro platformu Android také zneužívá Služby usnadnění k blokování odinstalace, a to překrytím této možnosti neviditelnými prvky.

Dokáže také zachytit data z uzamčené obrazovky a nahrát aktivitu obrazovky jako video. Se svým řídícím serverem komunikuje pomocí šifrování AES.

Očekáváme rostoucí počet rodin malwaru zejména pro mobilní platformu Android, které budou využívat nástroje generativní AI. Existují již indikátory, že velké jazykové modely pomáhají generovat škodlivý kód, což snižuje vstupní bariéru pro kyberzločince bez technických znalostí.

Kromě toho očekáváme nárůst podvodů založených na technologii NFC, které mohou využívat malware jako NGate. Tyto útoky budou podpořeny personalizovaným sociálním inženýrstvím, což ztíží jejich detekci.

Organizace i uživatelé by se měli připravit na širší škálu scénářů útoků v ekosystému Android.

Útočníci stále častěji kombinují technicky vyspělé metody se sociálním inženýrstvím. U malwaru NGate vidíme spojení kódu schopného pracovat s NFC a příběhu, kterým oběť přimějí k akci.

Pokud vám někdo volá a žádá instalaci aplikace nebo zadání PINu, je to vždy varovný signál.

Útočníci v tomto případě cílí především na uživatele z České republiky. Škodlivý kód je zaměřen na bankovní aplikace největších bankovních domů působících na našem území a poměr detekcí toto cílení potvrzuje. Kromě toho je i v náhledu aplikace v Google Play zřetelně vidět český text. Neznamená to ale, že by útočník byl přímo z České republiky či z Polska, kam útočníci rovněž cílili.

S určitostí prozatím můžeme říci pouze to, že se stále opakuje stejný scénář, který jsme ale schopni okamžitě detekovat a ve spolupráci s bankovními domy zajistit ochranu uživatelů a jejich finančních prostředků.

Jde o první malware pro Android, který dokáže zaměnit text zkopírovaný do schránky. Útočníci se pomocí tohoto malwaru zaměřují konkrétně na Bitcoin a Ethereum. S clippery jsme se dříve setkávali na osobních počítačích s operačním systémem Windows a na neoficiálních fórech pro uživatele mobilní platformy Android. Běžný uživatel mobilního zařízení se tak s hrozbou nesetkal.

Nyní se ale situace změnila, a pokud uživatelé provádí transakce s kryptoměnami ve svém chytrém telefonu či tabletu s operačním systémem Android, měli by být obezřetní před tímto konkrétním druhem podvodu.