Martin Jirkal

Vedoucí analytického oddělení pražské pobočy ESET

Na základě průzkumu vidíme, že lidé sice stávající operační systém chytrého telefonu volí především ze zvyku, pod pojmem bezpečný chytrý mobilní telefon si ale nejčastěji představí to, že má nějakou formou ochrany před malwarem - odpověděla takhle více než polovina dotázaných.

Bezpečný telefon by dle nich měl mít také hlavně ochranu soukromí a dlouholetou podporu v podobě aktualizací systému. Lidé tedy mají povědomí o kybernetických hrozbách a zabezpečení pro chytré telefony.

Z našeho pohledu je dobrá informovanost o hrozbách a strategiích útočníků naprosto zásadní. Jsou to právě techniky sociálního inženýrství, kterými útočníci dokážou přimět uživatele, aby jim cenná data a údaje předali úplně sami bez nutnosti hledání cesty do zařízení nějakým malwarem.

Kvalitní zabezpečení přitom není automatická záležitost každého chytrého telefonu. Kybernetické hrozby se dnes rychle a dynamicky vyvíjejí a proměňují, proto celkovou ochranu může významně podpořit i specializovaný bezpečnostní program.

Malware NGate kompromitoval nejdříve chytrý telefon a následně zkopíroval bankovní kartu na chytrý telefon útočníka, na kterém byl proveden tzv. root zařízení (prolomení omezení ze strany jeho výrobce). Hlavním cílem této kampaně bylo umožnit útočníkům neoprávněné výběry z bankovních účtů obětí, a to přímo z bankomatů.

V případě, že by tento postup selhal, měli útočníci záložní plán - převést peníze z bankovních účtů obětí na jiné účty. Tento nový postup útoku s využitím technologie NFC jsme dosud neviděli v případě žádného dříve objeveného malwaru pro platformu Android.

Je založen na nástroji NFCGate, který navrhli studenti na Technické univerzitě v Darmstadtu v Německu, aby dokázali zachytit, analyzovat nebo měnit přenos dat prostřednictvím technologie NFC. Proto jsme tuto novou rodinu malwaru pojmenovali NGate.

Kromě popsaných špionážních funkcí mohou útočníci pomocí malwaru získat přístup ke konverzacím uživatelů v chatu. Pokud oběť udělí škodlivé trojanizované aplikaci přístup k notifikacím a službám dostupnosti, bude mít aplikace přístup také k příchozím notifikacím ze 17 aplikací, jako jsou Viber, Skype, Gmail, Messenger nebo Tinder, a dokáže chatovou komunikaci exfiltrovat i z dalších aplikací.

Během naší analýzy již nebyl malware dostupný z napodobených webových stránek aktivní a nebylo již možné úspěšně nainstalovat a spustit funkce backdooru. Je to proto, že skupina StrongPity nezískala pro svou trojanizovanou verzi aplikace Telegram vlastní API ID.

To se však může kdykoli změnit, pokud se útočníci rozhodnou škodlivou aplikaci aktualizovat.

Po kliknutí na podvodný odkaz - Jsi to ty na videu? - jsou uživatelé přesměrováni na další webový obsah, a to v závislosti na operačním systému - Android, iOS, macOS, Windows, na kterém zrovna chatovací aplikaci používají, nebo zemi, ze které k obsahu přistupují.

V případě mobilního zařízení se s největší pravděpodobností jedná o podvodnou a zavádějící propagaci aplikace Express VPN nebo VPN Super Speed. Uživateli se může po kliknutí na odkaz otevřít stránka podobná přehrávači YouTube, uživatel je ale pro shlédnutí videa vyzván k instalaci právě této aplikace.

Alternativně může dojít k přesměrování na zavádějící herní nebo výherní portály s povinnou registrací. Pokud uživatel projeví zájem o tuto službu, je přinucen uhradit fixní týdenní poplatek formou pravidelné SMS.

Z dat, která máme k dispozici, můžeme skutečně vyčíst narůstající trend phishingových kampaní. Jde o metodu, kdy se útočník vydává za důvěryhodnou autoritu s cílem získat citlivá data oběti.

Takový způsob útoku označujeme jako sociální inženýrství a vedle útoků prostřednictvím malwaru, jako jsou infostealery nebo ransomware, se již dnes jedná o jednu z nejčastějších strategií, jak zaútočit na citlivá data domácích i firemních uživatelů.