Bezpečnostná spoločnosť ESET sa pri príležitosti tohto mesačného Mobile World kongresu v španielskej Barcelone pozrela na prípady Android ransomwaru, ktoré za posledný rok analyzovala. Z výskumu vyplynulo, že najrozšírenejším typom Android ransomwaru boli škodlivé kódy, ktoré zablokujú zariadenie tak, že monitor prekryjú vyskakovacím oknom alebo na ňom zmenia PIN. Za odblokovanie mobilu následne požadujú výkupné. Ransomware je pritom akýkoľvek typ škodlivého kódu, ktorý za sprístupnenie infikovaného zariadenia požaduje peniaze.
Príklady zablokovania monitora mobilného zariadenia zmenou PINu alebo hesla.
Rok 2017 bol bez pochýb rokom ransomwaru. Bežní používatelia ale aj nadnárodné organizácie museli čeliť masívnym útokom, akými boli Petya alebo WannaCryptor. „Ransomware sa však nezameriava len na klasické počítače. Zneužívajú ho aj útočníci, ktorí chcú zarobiť na vysokej popularite mobilných zariadení a najrozšírenejšieho operačného systému Android,“ vysvetľuje Lukáš Štefanko, výskumník spoločnosti ESET, ktorý sa špecializuje na Android malware.
Operačný systém Android čelí trom kategóriám tohto škodlivého kódu:
- lock-screen ransomwaru
- PIN lockerom
- crypto ransomwaru
„Pri lock-screen ransomwari je zablokované celé zariadenie vyskakovacím oknom, ktoré celou svojou veľkosťou prekrýva obrazovku mobilu alebo tabletu. PIN lockery fungujú podobne, na zablokovanie zariadenia však zneužívajú samotný ochranný mechanizmus operačného systému – vstupný PIN alebo heslo,“ vysvetľuje Štefanko „Ransomware zmení tento PIN alebo heslo na hodnotu, ktorú skutočnému majiteľovi zariadenia neprezradí. V prípade crypto ransomwaru je obsah infikovaného zariadenia aj zašifrovaný,“ dopĺňa Štefanko.
Okrem svojej hlavnej funkcie dokáže Android ransomware aj:
- premazať obsah zariadenia
- resetnúť PIN alebo heslo do zariadenia
- otvoriť v prehliadači stránku
- zaslať SMS správu na akýkoľvek kontakt alebo všetky kontakty
- uzamknúť alebo odomknúť zariadenie
- ukradnúť prijaté SMS správy
- ukradnúť kontakty
- zobraziť správu od útočníkov o výkupnom za zablokované dáta
- aktualizovať sa na novšiu verziu
- zapnúť alebo vypnúť mobilné dáta
- zapnúť alebo vypnúť Wi-Fi
- sledovať GPS polohu infikovaného mobilného zariadenia
Na Android ransomware sa hodí definíca trójskeho koňa. Šíri sa tak, že sa vydáva za legitímnu aplikáciu. Na zvýšenie šancí, že si obeť stiahne do mobilu škodlivý kód útočníci ransomware zabaľujú ako obľúbené hry alebo pornografické aplikácie.
Úspešne infikovať mobilné zariadenie nie je pre útočníkov až také jednoduché. Ak aj majitelia mobilov nepoužívajú bezpečnostné riešenia, akým je napríklad ESET Mobile Security, Google vo svojom obchode s aplikáciami využíva vlastné ochranné mechanizmy na to, aby sa doň nedostala aplikácia infikovaná škodlivým kódom. Podľa Štefanka je však pravda, že ESET výskumníci Googlu nahlásili stovky vzoriek škodlivého kódu prítomného v jeho obchode, ktorému sa podarilo obranné mechanizmy obísť.
„Ak sa už útočníkom zariadenie podarí infikovať, chcú sa uistiť v tom, že mobil zostane infikovaný čo najdlhšie,“ vysvetľuje pohnútky útočníkov Štefanko. Podľa neho jedným z najuniverzálnejších spôsobov, ako to spraviť, je získať pre škodlivú aplikáciu administrátorské práva. Útočníci preto musia obeť oklamať tak, aby škodlivú aplikáciu aktivovala ako administrátor zariadenia. Spravia to napríklad napodobnením dôveryhodných aplikácií alebo prekrytím okna s potvrdením administrátorských práv inou informáciou. Odstránenie takejto škodlivej aplikácie je potom pre používateľa komplikovanejšie, keďže pred jej vymazaním jej najskôr musí odobrať tieto práva.
Za posledný rok však videli ESET výskumníci nárast nového spôsobu, ktorým útočníci získavajú kontrolu nad infikovaným zariadením – zneužitím Android Accessibility služieb. „Tie uľahčujú hendikepovaným používanie mobilov a tabletov. Ide napríklad o nevidomých, nepočujúcich alebo ľudí, ktorí z iných dôvodov horšie interagujú so zariadením,“ vymenováva Štefanko. Android Accessibility služby sú súčasťou takmer všetkých Android zariadení bez rozdielu toho, či je jeho majiteľ hendikepovaný alebo nie.
Škodlivý kód túto službu zneužíva napríklad na to, aby za obeť simuloval akékoľvek kliknutie v zariadení, napríklad spustenie aplikácií, stiahnutie niečoho z internetu alebo odsúhlasenie povolenia inštalovať aplikácie z neznámych zdrojov. Dokáže však aj odchytávať citlivé informácie, stlačené klávesy a taktiež SMS správy obsahujúce antentifikačné údaje napríklad do internet bankingu, čím tento ochranný faktor v podstate oslabujú. „Takéto útoky sme za posledný rok videli hneď niekoľko krát. Väčšina distribuovala bankový škodlivý kód, ktorým sa útočníci pokúšali získať prístupové údaje obete do internet bankingu, údaje o platobných kartách alebo prístup do PayPal účtov,“ dodáva Štefanko.
Ako si chrániť svoje Android zariadenie:
Pre používateľov Android zariadení je dôležité, aby boli o hrozbe Android ransomwaru informovaní a aby vedeli, ako sa pred ním brániť. Medzi najdôležitejšiu prevenciu patria:
- vyhýbať sa neoficiálnym obchodom s aplikáciami
- používať aktualizované mobilné bezpečnostné riešenie, napríklad ESET Mobile Security
- zálohovať všetky dôležité dáta uložené v mobilnom zariadení
Ak sa však stanete obeťou Android ransowaru, existuje viacero možností, ktorými sa ho budete vedieť zbaviť:
- Pri väčšine jednoduchých lock-screen ransomwarov stačí spustiť zariadenie v Safe Mode (ako spustiť Safe Mode závisí od konkrétneho modelu zariadenia), čím sa nespustia treťostranné aplikácie, vrátane škodlivého kódu. Potom sa dá škodlivá aplikácia jednoducho odstrániť. V prípade, že už získala administrátorské práva, tie jej musia byť predtým v nastaveniach odobraté.
- Ak ransomware s administrátorskými právami zablokoval zariadenie PIN kódom alebo heslom, situácia sa komplikuje. Resetnúť PIN alebo heslo by malo byť možné cez Android Device Manager spoločnosti Google alebo cez iné MDM riešenie. Rootnuté Android telefóny majú oveľa viac možností. Ako posledné riešenie, ak nie je k dispozícii žiadne MDM riešenie, je možné resetnúť zariadenie do továrenských nastavení, čím však používateľ stratí všetky dáta uložené v zariadení. Pre používateľa so zálohovanými údajmi by to však nemal byť problém.
- Ak bol obsah zariadenia zašifrovaný crypto ransomwarom, odporúčame používateľom kontaktovať dodávateľa svojej bezpečnostnej aplikácie. V závislosti od variantu škodlivého kódu bude alebo nebude možné údaje dešifrovať.
Používateľom zároveň z viacerých dôvodov Štefanko neodporúča platiť výkupné. Je síce pravda, že crypto ransomware gangy dosiahli profesionálnu úroveň a používateľom sa po zaplatení výkupného snažia dáta odšifrovať, nemusí to však byť vždy pravidlom. Obzvlášť nie pri Androide. ESET videl niekoľko variantov ransomwaru na tomto operačnom systéme, ktoré dešifrovaciu funkciu alebo možnosť odinštalovania vôbec neobsahovali. Zaplatenie výkupného by teda obeti vôbec nepomohlo.
Celú správu o Android ransomwari s názvom „Android Ransomware: From Android Defender to DoubleLocker“ nájdete na tejto stránke.
O spoločnosti ESET
Spoločnosť ESET už 30 rokov vyvíja popredný bezpečnostný softvér pre firmy i domácich používateľov na celom svete. Vďaka riešeniam chrániacim koncové a mobilné zariadenia, servery, šifrovaniu a dvojfaktorovej autentifikácii umožňuje firmám a organizáciám využívať plný potenciál ich technológií. ESET drží rekord v počte VB100 ocenení, ktoré udeľuje britský Virus Bulletin, vysoko-rešpektovaná nezávislá testovacia organizácia. Týždenník Trend ocenil ESET päťkrát titulom Firma roka.
ESET sídli v Bratislave, regionálne pobočky má v Prahe, ČR; Jene, Mníchove, Nemecko; Bournemouthe, Veľká Británia; San Diegu, USA; Toronte, Kanada; Buenos Aires, Argentína; Sydney, Austrália a Singapure. Výskumné a vývojové centrá sú okrem Bratislavy, Košíc, Žiliny, Prahy a Brna aj v San Diegu, poľskom Krakove, britskom Tauntone, kanadskom Montreale a rumunskom Jasy. ESET má zastúpenie vo viac ako 200 krajinách a územiach sveta.