ESET: Nejrozšířenější ransomwary pro Android blokují mobil vyskakovacím oknem nebo PINem

Praha 23. února 2018 – Bezpečnostní společnost ESET při příležitosti veletrhu Mobile World Congress, který se bude konat příští týden v Barceloně, analyzovala případy ransomwaru pro Android, jež zachytila v průběhu minulého roku. Z výzkumu vyplynulo, že nejrozšířenějším typem ransomwaru pro zařízení s operačním systémem Android byly škodlivé kódy, které zablokují zařízení tak, že monitor překryjí vyskakovacím oknem, nebo na něm změní přístupový PIN kód. Za odblokování mobilu nebo tabletu poté požadují výkupné. Ransomware je přitom jakýkoli typ škodlivého kódu, který za zpřístupnění infikovaného zařízení požaduje peníze.


Rok 2017 byl bezesporu rokem ransomwaru. Běžní uživatelé, ale i nadnárodní organizace museli čelit masivním útokům, jakými byly NotPetya nebo WannaCry. „Ransomware se ale nezaměřuje pouze na klasické počítače. Zneužívají ho i útočníci, kteří chtějí vydělat na vysoké popularitě mobilních zařízení a nejrozšířenějšího operačního systému Android,“ vysvětluje Lukáš Štefanko, analytik společnosti ESET, který se specializuje na malware zaměřený na Android.

Operační systém Android čelí nejčastěji třem kategoriím tohoto škodlivého kódu: lock-screen ransomwarům, PIN lockerům a crypto ransomwarům.

„U tzv. Lock-screen ransomwaru je zablokované celé zařízení vyskakovacím oknem, které celou svojí velikostí překrývá obrazovku mobilu nebo tabletu. PIN lockery fungují podobně, k zablokování zařízení však zneužívají samotný ochranný mechanismus operačního systému – vstupní PIN kód nebo heslo,“ vysvětluje Štefanko. „Ransomware změní tento PIN nebo heslo tak, že jej skutečnému majiteli zařízení neprozradí. V případě crypto ransomwaru je obsah infikovaného zařízení také zašifrován,“ dodává Štefanko.

Kromě své hlavní funkce dokáže ransomware zaměřený na Android také:

  • Promazat obsah zařízení
  • Resetovat PIN nebo přístupové heslo do zařízení
  • Otevřít v prohlížeči stránku
  • Zaslat SMS zprávu na jakýkoli kontakt nebo na všechny kontakty
  • Uzamknout nebo odemknout zařízení
  • Ukrást přijaté SMS zprávy
  • Ukrást kontakty
  • Zobrazit zprávu od útočníků o výkupném za zablokovaná data
  • Aktualizovat se na novější verzi
  • Zapnout nebo vypnout mobilní data
  • Zapnout nebo vypnout Wi-Fi
  • Sledovat GPS polohu infikovaného mobilního zařízení

Ransomware pro Android se často vydává za legitimní aplikaci. Aby zvýšili svoje šance, že si oběť stáhne do mobilu škodlivý kód, útočníci maskují ransomware například jako populární hry či pornografické aplikace. Přestože Google ve svém obchodě s aplikacemi využívá vlastní ochranné mechanismy k tomu, aby se do něj nedostaly aplikace infikované škodlivým kódem, ne vždy fungují. Analytici společnosti ESET nahlásili společnosti Googlu již stovky vzorků škodlivého kódu přítomných v jeho obchodu, jimž se podařilo ochranné mechanismy obejít.

„Pokud se útočníkům podaří zařízení infikovat, chtějí se ujistit o tom, že mobil či tablet zůstane infikovaný co nejdéle,“ vysvětluje pohnutky útočníků Štefanko. Jedním z nejuniverzálnějších způsobů, jak to udělat, je podle něj získání administrátorských práv pro škodlivou aplikaci. Útočníci proto musí oběť oklamat tak, aby škodlivou aplikaci aktivovali jako administrátora zařízení. Udělají to například napodobením důvěryhodných aplikací nebo překrytím okna s potvrzením administrátorských práv jinou informací. Odstranění takové škodlivé aplikace je potom pro uživatele komplikovanější, protože před jejím smazáním jí nejprve musí odebrat tato práva.

Za poslední rok však zaznamenali analytici společnosti ESET nárůst nového způsobu, jak útočníci získávají kontrolu nad infikovaným zařízením – zneužitím služeb Android Accessibility. „Tyto služby usnadňují hendikepovaným lidem používáním mobilů a tabletů. Jde například o nevidomé, hluché anebo o lidi, kteří z různých důvodů hůře interagují se zařízením,“ vysvětluje Štefanko. Služby Android Accessibility jsou součástí téměř všech zařízení s operačním systémem Android bez rozdílu, zda je jejich majitel hendikepovaný nebo ne.

Škodlivý kód tuto službu zneužívá například k tomu, aby za oběť simuloval jakékoli kliknutí v zařízení, například spuštění aplikací, stáhnutí něčeho z internetu nebo odsouhlasení povolení stahovat aplikace z neznámých zdrojů. Dokáže však také odchytávat citlivé informace o zmáčknutých klávesách a také SMS zprávy obsahující přístupové údaje například do internetového bankovnictví, čímž v podstatě oslabují tento ochranný faktor. „Takových kampaní jsme za poslední rok zaznamenali hned několik. Většina distribuovala bankovní trojan, kterým se útočníci snažili získat přístupové údaje oběti k internetovému bankovnictví, údaje o platebních kartách anebo přístup do účtů PayPal,“ dodává Štefanko.

Jak chránit svoje zařízení s Androidem?

Pro uživatele zařízení s Androidem je důležité, aby veděli nejen o potenciálních hrozbách, ale i o způsobech, jak se jim bránit. Mezi nejdůležitější způsoby prevence patří:

  • Pravidelně aktualizovat operační systém Android ve svém zařízení.
  • Vyhýbat se neoficiálním obchodům s aplikacemi.
  • Zálohovat všechna důležitá data uložená v mobilním zařízení.
  • Používat aktualizovaná mobilní bezpečnostní řešení.

Pokud se však stanete obětí ransomwaru na Androidu, existuje vícero možností, jak se ho budete moci zbavit. U většiny jednoduchých locker-screen ransomwarů stačí spustit zařízení v Safe Mode (způsob spuštění Safe Mode závisí na konkrétním modelu zařízení), což zabrání spuštění aplikací třetích stran, včetně škodlivého kódu. Potom se dá škodlivá aplikace jednoduše odstranit. V případě, že už získala administrátorská práva, musí ji být předtím v nastavení zařízení odebrána.

Pokud ransomware s administrátorskými právy zablokoval zařízení PIN kódem nebo heslem, situace se komplikuje. Resetovat PIN nebo heslo by mělo být možné přes Android Device Manager společnosti Google nebo přes jiné MDM řešení. Rootnuté Android telefony mají mnohem více možností. Jako poslední řešení, pokud není k dispozici žádné MDM řešení, je možné resetovat zařízení do továrního nastavení, čímž však uživatel ztratí všechna data uložená v tomto zařízení. Pro uživatele se zálohovanými daty by to ale neměl být problém.

Pokud byl obsah zařízení zašifrován crypto ransomwarem, doporučujeme uživatelům kontaktovat dodavatele svojí bezpečnostní aplikace. V závislosti na variantě škodlivého kódu bude nebo nebude možné údaje dešifrovat.

Štefanko zároveň nedoporučuje uživatelům platit výkupné. Je sice pravda, že crypto ransomware gangy dosáhly profesionální úrovně a snaží se uživatelům po zaplacení výkupného data odšifrovat, nemusí to však být vždy pravidlem. Obzvlášť ne u Androidu. ESET zaznamenal několik variant ransomwaru u tohoto operačního systému, které dešifrovací funkci nebo možnost odinstalování vůbec neobsahovaly. Zaplacení výkupného by tedy oběti k ničemu nepomohlo.

Více informací o ransomwaru zaměřeného na operační systém Android s názvem „Android Ransomware: From Android Defender to DoubleLocker“ najdete na této stránce.

O společnosti ESET

Společnost ESET již od roku 1987 vyvíjí bezpečnostní software pro domácí i firemní uživatele. Ten drží rekordní počet ocenění a díky němu může více než 100 milionů uživatelů bezpečně objevovat možnosti internetu. Široké portfolio produktů ESET pokrývá všechny populární platformy včetně mobilních a poskytuje neustálou proaktivní ochranu při minimálních systémových nárocích. ESET se stal první společností, která díky dlouhodobě vysoké úrovni ochrany získala 100 ocenění prestižního magazínu Virus Bulletin VB100. Za těmito úspěchy stojí zejména dlouhodobé investice do vývoje. Jen v České republice nalezneme tři vývojová centra a to v Praze, Jablonci nad Nisou a Brně. Společnost ESET má lokální zastoupení v Praze, celosvětovou centrálu v Bratislavě a disponuje rozsáhlou sítí partnerů ve více než 200 zemích světa.