Pozor na nový mobilní malware Rogue, hackeři ho prodávají na dark netu

  • Hackeři Triangulum a HexaGoN Dev propagují a prodávají na dark netu mobilní škodlivé kódy, které lze koupit za pouhých několik desítek dolarů

PRAHA – 24. ledna 2021 — Check Point Research, výzkumný tým společnosti Check Point® Software Technologies Ltd. (NASDAQ: CHKP), předního světového poskytovatele kyberbezpečnostních řešení, odhalil dvojici hackerů, kteří vyvíjí a prodávají na dark netu mobilní malware. Hackeři s přezdívkami Triangulum a HeXaGoN Dev navíc vytvořili nový malware Rogue, který umožňuje převzít kontrolu nad napadeným zařízením a krást data, jako fotografie, informace o poloze, kontakty a zprávy.

Triangulum je 25letý a 190 cm vysoký muž, který v roce 2017 choval dvě želvy, měl přítelkyni a poprvé se připojil k dark netu. Vyniká sociálními a matematickými dovednostmi a jeho prvním produktem byl mobilní RAT (Remote Access Trojan), který je schopen krást data z C&C serveru a ničit lokální data – dokonce mazat i celé operační systémy. O čtyři měsíce později začal Triangulum prodávat svůj první malware pro Android, který nazval Cosmos. Na začátku nebylo snadné najít stopy vedoucí k tomuto kyberútočníkovi. Ale jakmile byly rozkryty první střípky mozaiky, bylo relativně snadné ho dále sledovat a zjistit o něm další podrobnosti.

Triangulum zmizel ze scény na téměř 1,5 roku a vrátil se až 6. dubna 2019 s novým produktem. Následně byl velmi aktivní a snažil se prodávat nejrůznější kyberhrozby. Je pravděpodobné, že pauzu Triangulum využil pro budování strategie a procesů pro vývoj a distribuci škodlivých kódů pro Android.

Spolupráce marketéra a vývojáře

Triangulum začal spolupracovat také s dalším hackerem s přezdívkou HexaGoN Dev, který se zaměřuje na vývoj malwarových hrozeb pro operační systém Android. Zjednodušeně můžeme říci, že Triangulum se zaměřuje na marketing, propagaci a prodej hrozeb na dark netu a HexaGoN Dev se věnuje technickému vývoji. V minulosti Triangulum zakoupil několik projektů vytvořených právě HeXaGoN Dev, což byl počátek pozdější spolupráce. Kombinace programovacích schopností HeXaGon Dev a marketingových a sociálních dovedností Triangulum představuje vážnou hrozbu. Společně vytvořili a distribuovali několik variant mobilních malwarů pro Android, včetně kryptominerů, keyloggerů a sofistikovaných P2P (Phone to Phone) MRAT. Triangulum propaguje produkty na různých fórech dark netu a vytváří i atraktivní grafické materiály a infografiky. Za několik desítek dolarů si tak lze koupit hrozby včetně administrativních nástrojů.

Reklama z roku 2017.

Reklamy na mobilní škodlivé kódy DarkShades (z roku 2019) a Rogue (z roku 2020). DarkShades navazuje na malware Cosmos, útočníkům navíc umožňuje zneužít napadené zařízení k nahrávání zvuku a pořizování fotografií. Rogue je novější malware, který navíc umí odesílat i falešná oznámení nebo získat práva pro správce zařízení.

Malware Rogue: „Opravdu chcete smazat všechna data?“

Triangulum a HeXaGoN Dev spolupracovali na vytvoření malwaru Rogue a jeho prodeji na dark netu. Rogue je součástí rodiny MRAT (Mobile Remote Access Trojan) a může získat kontrolu nad napadeným zařízením a krást jakákoli data, jako jsou fotografie, poloha, kontakty a zprávy, upravovat soubory v zařízení a stahovat další škodlivý obsah. Jakmile Rogue získá všechna požadovaná oprávnění, skryje svou ikonu před uživatelem, aby na sebe neupozorňoval a nebylo tak snadné ho odstranit. Pokud nejsou udělena všechna požadovaná oprávnění, bude uživatele opakovaně žádat o jejich udělení. Malware se následně registruje jako správce zařízení a pokud se uživatel pokusí oprávnění odebrat, zobrazí se na obrazovce zpráva: „Opravdu chcete smazat všechna data?“

Aby zamaskoval své zákeřné úmysly a mohl se vydávat za legitimní službu Google, využívá platformu Firebase, tedy služby Google pro aplikace. Konkrétně se jedná o C&C server, takže všechny příkazy, které ovládají malware, a všechny informace ukradené malwarem, jsou doručovány pomocí infrastruktury Firebase.

„Prodejci mobilního malwaru jsou velmi vynalézaví. Na dark netu si tak může kdokoli relativně snadno koupit nějakou hrozbu a stát se kyberzločincem, aniž by to vyžadovalo nějaké speciální technické znalosti. Hackeři nabízí i nejrůznější balíčky, slevy a podporu a kopírují tak klasické prodejní akce, které známe z reálného světa. Snažíme se rozkrývat vývoj malwaru i taktiky hackerů a zároveň varovat organizace i uživatele a ukázat, jak těžké je nyní efektivně sledovat, klasifikovat a chránit se před všemi hrozbami. Navíc dark net je zaplaven různými falešnými produkty, což komplikuje analýzu, co je skutečnou hrozbou a co ne,“ říká Petr Kadrmas, Security Engineer Eastern Europe v kyberbezpečnostní společnosti Check Point.

Jak se chránit před mobilním malwarem?

  1. Aktualizujte svůj operační systém. Mobilní zařízení by měla vždy používat nejnovější verzi operačního systému, aby nemohlo dojít ke zneužití známých zranitelností.
  2. Instalujte pouze aplikace z oficiálních obchodů s aplikacemi. Snižuje to pravděpodobnost neúmyslné instalace mobilního malwaru nebo škodlivé aplikace.
  3. Povolte funkci „vzdáleného vymazání“ na všech mobilních zařízeních. Všechna zařízení by měla mít povoleno vzdálené vymazání, aby se minimalizovala pravděpodobnost ztráty citlivých dat.
  4. Nedůvěřujte veřejným Wi-Fi sítím. Hackeři mohou veřejné Wi-Fi sítě zneužít k útokům a proniknutí do zařízení. Využívejte proto jen důvěryhodné Wi-Fi a mobilní sítě, zmenšíte riziko kyberútoku.
  5. Používejte mobilní zabezpečení. Doporučujeme nasadit pokročilé mobilní bezpečnostní řešení s integrovaným antivirem a detekcí hrozeb. Check Point SandBlast Mobile je špičkové řešení, které chrání před nejrůznějšími mobilními útoky, včetně škodlivých aplikací.

Více informací najdete v analýze kyberbezpečnostní společnosti Check Point:

https://research.checkpoint.com/2021/going-rogue-a-mastermind-behind-android-malware-returns-with-a-new-rat/

Sledujte novinky o bezpečnostním týmu Check Point Research:

Blog: https://research.checkpoint.com/ 

Twitter: https://twitter.com/_cpresearch_ 

Sledujte novinky o společnosti Check Point:
Twitter: http://www.twitter.com/checkpointsw
Facebook: https://www.facebook.com/checkpointsoftware
Blog: http://blog.checkpoint.com 
YouTube: http://www.youtube.com/user/CPGlobal
LinkedIn: https://www.linkedin.com/company/check-point-software-technologies

O výzkumném týmu Check Point Research 

Check Point Research poskytuje zákazníkům společnosti Check Point Software a širší bezpečnostní komunitě detailní informace o kyberhrozbách. Výzkumný tým shromažďuje a analyzuje data o globálních kyberútocích ze sítě ThreatCloud, chrání tak před hackery a zajišťuje, že všechny produkty Check Point jsou aktualizované a mají nejnovější ochranu. Výzkumný tým se skládá z více než 100 analytiků a výzkumných pracovníků, kteří spolupracují také s dalšími bezpečnostními společnostmi, donucovacími orgány a organizacemi CERT.

O společnosti Check Point Software Technologies

Check Point Software Technologies Ltd. (www.checkpoint.com) je přední poskytovatel kyberbezpečnostních řešení pro vlády a organizace po celém světě. Chrání zákazníky před kyberútoky 5. generace prostřednictvím unikátních řešení, která nabízí bezkonkurenční úspěšnost zachycení malwaru, ransomwaru a jiných pokročilých cílených hrozeb. Check Point nabízí víceúrovňovou bezpečnostní architekturu, Infinity Total Protection s pokročilou prevencí hrozeb 5. generace, a tato kombinovaná produktová architektura chrání podnikové sítě, cloudová prostředí a mobilní zařízení. Check Point navíc poskytuje nejkomplexnější a nejintuitivnější nástroje pro správu zabezpečení. Check Point chrání více než 100 000 organizací všech velikostí.