Hrozby pro Android: Rizikovou skupinou jsou fanoušci populárních her, škodlivý kód se šíří i přes herní mody

22. 02. 2023

Praha, 22. února 2023 – Mezi škodlivými kódy na platformě Android v Česku stále dominuje adware. Jeho hlavním zdrojem nadále zůstávají různé verze her, na které mohou uživatelé narazit mimo oficiální obchod Google Play. V lednu bezpečnostní specialisté objevili i několik modifikací pro hry, které při podrobnější analýze také šířily škodlivé kódy. S ohledem na skutečnost, že herní modifikace či zkráceně mody mohou být legitimními aplikacemi, které slouží k různým herním vylepšením, doporučují, aby uživatelé nepodceňovali zabezpečení svých chytrých telefonů spolehlivým bezpečnostním programem, který riziko včas rozpozná. Vyplývá to z pravidelné statistiky kybernetických hrozeb od společnosti ESET.

Ani v lednu nechyběl v pravidelné statistice hrozeb pro platformu Android v Česku adware Andreed. I přes pokles v počtu detekcí zůstává nejčastějším škodlivým kódem pro tento operační systém. Celosvětově se jedná o agresivní reklamu, která si drží konstantní počet detekcí.

„Adware Andreed detekujeme na předních místech naší statistiky od loňského dubna. Již od samého začátku se drží tato agresivní škodlivá reklama stejné, a pravděpodobně tedy stále fungující strategie – šíří se prostřednictvím různých verzí známých her a nejčastěji na ni narazíme v jednom obchodě třetí strany, tedy mimo oficiální obchod Google Play. Typicky se může jednat o situaci, kdy hru, kterou chceme stáhnout, vyhledáváme přes vyhledávač, a ne přímo na oficiálních distribučních místech,“ vysvětluje Martin Jirkal, vedoucí analytického týmu v pražské pobočce společnosti ESET.

Zatímco na přelomu roku byla nejčastěji detekovanou hrou, která adware Andreed obsahovala, verze hry Bridge Constructor, v lednu se adware nejčastěji objevil ve verzi hry Tower Conquest. Bezpečnostní specialisté navíc varují, že útočníci mohou prostřednictvím mobilních her cílit na všechny věkové kategorie uživatelů, tedy i na ty nejmladší uživatele z řad dětí.

Zdrojem škodlivých kódů jsou hry i jejich vylepšení

Na rozdíl od minulých měsíců v lednu klesly detekce trojského koně Hiddad, který se nejvíce šíří přes hry napodobující velmi populární hru Minecraft. Bezpečnostní experti nicméně zaznamenali zvýšenou aktivitu v případě dropperu Agent.KMZ.

„Dropper Agent.KMZ má v současnosti podobu nahrávače modifikací, zkráceně modů do aplikací, nejčastěji jsme ho v lednu objevili jako modifikaci pro hru Zombie War Idle Defense nebo modifikaci pro známou hru Archero. To samo o sobě nemusí být nebezpečné a škodlivé, i když je samozřejmě otázka, nakolik je využívání takových nástrojů, které jsou většinou zpoplatněné a hru nějakým způsobem vylepšují, při hraní etické. Takový typ aplikace detekujeme jako PUA – potenciálně nechtěnou aplikaci,“ vysvětluje Jirkal a dodává: „Z podrobnější analýzy jsme poté zjistili, že tato aktuální kampaň opravdu v některých případech distribuovala škodlivý kód – s jistotou jsme odhalili, že se jejím prostřednictvím určitě šířil adware a nemůžeme vyloučit ani jiný, závažnější malware.“

Škodlivý kód se nevydává jen za hry, ale i za další aplikace

Již několikátý měsíc po sobě se v českém prostředí objevuje také dropper Agent.KEQ. Droppery jsou obecně typem škodlivého kódu, který útočníci využívají k šíření dalšího malwaru, a právě v případě platformy Android se objevují pravidelně a ve větším množství. Hlavní funkcí dropperu je další škodlivý kód v sobě skrýt jako v obálce a nepozorovaně ho „doručit“ do chytrých telefonů nebo tabletů.

„Agent KEQ se nejčastěji objevuje na veřejných internetových úložištích jako soubor Your File Is Ready To Download.apk a uživatelé na něj narazí při stahování obsahu, který na těchto úložištích hledají. Toto chování pozorujeme v Česku od začátku nárůstu jeho detekcí a jeho posunu na přední místa naší statistiky. V lednu se nicméně šířil i ve verzi aplikace Chrome. I přestože neútočí v nijak výrazných kampaních, zvýšenou aktivitu jsme u něj pozorovali 13. a 24. ledna,“ říká Jirkal.

Pro ochranu před droppery, adwarem a dalším malwarem na platformě Android doporučují specialisté využívat kvalitní bezpečnostní software. Sami uživatelé ale mohou snížit riziko také svým chováním.

„Vzhledem k tomu, že malware se může ukrývat i v aplikacích, které na první pohled nemusí vypadat nebezpečně, bych uživatelům doporučil používat i v případě chytrých telefonů spolehlivý antivirový software. V telefonech již uchováváme celou řadu citlivých osobních dat, využíváme je k placení, při práci a pro přístup do celé řady služeb, a je proto na místě jejich ochraně věnovat zvýšenou pozornost. Uživatelům bych dále doporučoval, aby se vyhýbali stahování aplikací mimo oficiální obchody. I když bude nějaká populární hra nebo nějaký nástroj nabízený jinde zcela zdarma nebo za výhodných podmínek, riziko, které uživatelé v důsledku takového stažení podstupují, se jim prostě nevyplatí,“ dodává Jirkal z ESETu.

Nejčastější kybernetické hrozby v České republice pro platformu Android za leden 2023:

Android/Andreed trojan (19,55 %)
Android/TrojanDropper.Agent.KEQ trojan (13,64 %)
Android/TrojanDropper.Agent.KMZ trojan (7,61 %)
Android/Hiddad.AYF trojan (7,27 %)
Android/TrojanDropper.Agent.GKW trojan (2,67 %)
Android/TrojanDropper.Agent.JDU trojan (2,61 %)
Android/TrojanDropper.Agent.IVJ trojan (2,56 %)
Android/TrojanDropper.Agent.JGZ trojan (2,33 %)
Android/Triada trojan (2,10 %)
Android/TrojanDropper.Agent.JFX trojan (1,93 %)

Uživatelé produktů ESET jsou před těmito hrozbami chráněni.

O společnosti ESET

Společnost ESET již od roku 1987 vyvíjí bezpečnostní software pro domácí i firemní uživatele. Drží rekordní počet ocenění a díky jejím technologiím může více než miliarda uživatelů bezpečně objevovat možnosti internetu. Široké portfolio produktů ESET pokrývá všechny populární platformy, včetně mobilních, a poskytuje neustálou proaktivní ochranu při minimálních systémových nárocích.

ESET dlouhodobě investuje do vývoje. Jen v České republice nalezneme tři vývojová centra, a to v Praze, Jablonci nad Nisou a Brně. Společnost ESET má lokální zastoupení v Praze, celosvětovou centrálu v Bratislavě a disponuje rozsáhlou sítí partnerů ve více než 200 zemích světa.