Nový malware pro Android útočí na mobily a tablety skrze aplikaci Telegram

25. 7. 2018. (redaktor: František Doupal, zdroj: Eset)
Analytikům bezpečnostní společnosti ESET se podařilo objevit novou skupinu malwaru, tzv. Android RATů (Remote Administration Tool – Nástroj vzdálené správy), které napadají aplikaci Telegram pro mobilní zařízení s operačním systémem Android, následně přebírají kontrolu nad zadáváním příkazů a neoprávněně manipulují s daty uživatelů.

„V první fázi zkoumání jsme se domnívali, že jde o modifikovanou verzi doposud známých IRRATů a TeleRATů. Později se však ukázalo, že jde o zcela novou skupinu malwaru, které se šíří po sítích už od srpna 2017. V březnu 2018 byl zdarma zveřejněn zdrojový kód na pirátských kanálech aplikace Telegram. Ve výsledku se podařilo vypustit do oběhu několik verzí tohoto malwaru,“ uvedl Pavel Matějíček, manažer technické podpory české pobočky společnosti ESET.

Jedna z verzí malwaru se výrazně odlišovala od ostatních. I přes to, že došlo ke zveřejnění zdrojového kódu, byla nabízena jako zpoplatněná služba na hackerských kanálech aplikace Telegram pod jménem HeroRat. K dostání je ve třech cenových kategoriích v závislosti na množství funkcí. Hackeři lákají uživatele ke stažení tohoto nástroje prostřednictvím falešných reklam, přes App Story třetích stran, sociální média a aplikace pro komunikaci.

„Setkali jsme se se vzorky malwaru, které se tvářily jako aplikace slibující bitcoiny zdarma, bezplatné internetové připojení, získání followerů na sociálních sítích, atd. Aplikace se šířila především v Íránu,“ přiblížil Matějíček s tím, že na oficiálním obchodu s aplikacemi pro Android Google Play malware dosud nebyl zaznamenán.

Malware HeroRat funguje na všech verzích Androidu, napadený uživatel mu však nejprve musí schválit žádost o udělení oprávnění, v některých případech dokonce o správu zařízení. Poté, co je malware nainstalován a spuštěn na zařízení napadeného uživatele, objeví se vyskakovací okno, podle kterého nemůže být aplikace spuštěna, a proto je třeba ji odinstalovat.

„V těch verzích, které jsme sledovali, byla zpráva napsána v angličtině nebo perštině v závislosti na nastavení jazyka v daném zařízení. V momentě, kdy se zdánlivě dokončí odinstalace, ikona aplikace zmizí. Pro hackera to však znamená zaregistrování dalšího napadeného zařízení,“ vysvětlil Matějíček ze společnosti ESET.

Získáním přístupu k napadenému zařízení dojde k integraci Telegram bota, který kontroluje nově ovládnuté zařízení. Skrze bota může hacker určovat nastavení a fungování aplikace Telegram. Zmíněný malware má širokou škálu možných funkcí špehování a manipulace s daty, včetně zachytávání příchozích zpráv, odesílání zpráv, vytáčení hovorů, nahrávání zvuků, videí, zaznamenávání polohy a kontroly nastavení zařízení.

„Po zveřejnění zdrojového kódu malwaru se dá předpokládat, že vzniknou nové verze, které se budou šířit po různých částech světa. Způsob šíření a maskování tohoto malwaru se může výrazně lišit. Pro zjištění, zda je naše zařízení napadené, proto nestačí pouze sledovat přítomnost konkrétní aplikace ve vašem zařízení. Pokud se domníváte, že vaše zařízení mohlo být napadeno tímto malwarem, doporučujeme ho proskenovat spolehlivým bezpečnostním programem. Software společnosti ESET zaznamenává a blokuje tuto hrozbu jako Android/Spy.Agent.AMS a Android/Agent.AQO,“ uzavřel Matějíček.

Štítky: 
Malware, Mobilní telefony, Smartphony, Tablety, Eset
Vytisknout Poslat e-mailem Sdílet na LinkedIn

Podobné články

Raja Patel, senior vice prezident pro vývoj bezpečnostních produktů, Sophos

Ochrana proti sofistikovaným kybernetickým útokům vyžaduje vícevrstvou obranu

2. 4. 2024. (redaktor: František Doupal, zdroj: Sophos)
Podvodníci proměnili počítačovou kriminalitu v sofistikovaný a nebezpečný tanec. Využívají umělou inteligenci (AI) k vylepšování útoků prostřednictvím sociálního inženýrství a k napadání svých cílů mají k dispozici malware poskytovaný formou služby (Malware-as-a-Service, MaaS). Čtěte více

Kybernetická kriminalita a hrozby pro malé a středně velké podniky

19. 3. 2024. (redaktor: František Doupal, zdroj: Sophos)
Studie Sophos Threat Report pro rok 2024 popisuje „Kyberkriminalitu na hlavní obchodní třídě“ a největší hrozby, kterým malé a středně velké podniky čelí. Podle studie v roce 2023 téměř 50 % detekcí malwaru v malých a středně velkých podnicích představovaly keyloggery, spyware a stealery (tedy malware, který útočníci používají ke krádeži dat a přihlašovacích údajů). Čtěte více

Spyware v lednu posílil na pětinu všech detekcí

20. 2. 2024. (redaktor: František Doupal, zdroj: Eset)
Nebezpečné e-mailové přílohy šířící spyware Agent Tesla, spyware Formbook a password stealer Fareit byly nejčastějšími lednovými hrozbami pro uživatele operačního systému Windows v Česku. Přílohy útočníci dlouhodobě vydávají za doklady k objednávkám či za faktury. Buď byly opět součástí globálních kampaní, nebo v českém překladu cíleně zaměřeny na české uživatele. Čtěte více

České organizace čelí nejčastěji útokům zlodějského malwaru NanoCore

9. 2. 2024. (redaktor: František Doupal, zdroj: Check Point)
Check Point Research zveřejnil Celosvětový index dopadu hrozeb, podle kterého byl v prosinci nejrozšířenějším škodlivým kódem FakeUpdates. Ten využívá podvodné webové stránky k oklamání uživatelů a snaží se je přimět ke spuštění falešné aktualizace prohlížeče. Navíc šíří další nebezpečný malware, jako jsou GootLoader, Dridex, NetSupport, DoppelPaymer a AZORult. Čtěte více