Pokud máte telefon s operačním systémem Android, měli byste teď zbystřit a zkontrolovat si všechny stažené aplikace. Některé z nich totiž mohou být zavirované a z telefonu vám potají kradou data, fotky, kontakty, zprávy i záznamy o tom, kde jste se pohybovali.

Na svědomí to má trojský kůň jménem Rogue, kterého objevili kybernetičtí bezpečáci ze společnosti Check Point. Jde o malware typu Mobile Remote Access Trojan (MRAT) a tihle IT experti mají v souvislosti s ním jedinou radu – pokud ve svém zařízení máte některou z následujících aplikací, okamžitě je smažte.

Zkrácený název aplikace (jak ho vidíte v menu), [Celý název aplikace (viditelný ve vlastnostech)]

  • AppleProtect, [se.spitfire.appleprotect.it]
  • Axgle, [com.absolutelycold.axgle]
  • Buzz, [org.thoughtcrime.securesms]
  • Google Play Service, [com.demo.testinh]
  • Idea Security, [com.demo.testing]
  • SecurIt, [se.joscarsson.privify.spitfire]
  • SecurIt, [sc.phoenix.securit]
  • Service, [com.demo.testing]
  • Settings, [com.demo.testing]
  • Settings, [com.hawkshawspy]
  • Settings, [com.services.deamon]
  • wallpaper girls, [com.demo.testing]
  • Wifi Pasword Cracker, [com.services.deamon]

Jinak se tohohle trojského koně nezbavíte. Rogue byl totiž vytvořen tak, aby se v první řadě hlavně dobře schoval – přitom se od vás však bude snažit postupně získat víc a víc oprávnění v převleku za služby Google.

A i když se ho věci neznalý uživatel pokusí cíleně odstranit, pokusí se ho odradit – na obrazovce blikne varování: „Jste si jistí, že chcete vymazat všechna data?“

Marketér a programátor

Zatím to vypadá, že tenhle čerstvě odhalený Darebák (jak by se název Rogue dal přeložit do češtiny) je společným dílem dvou různých hackerů, kteří se dali dohromady na černém trhu.

„Rozhodně to není něco, co byste chtěli ve svém telefonu mít,“ vysvětluje Yanis Balmas ze společnosti Check Point. Rogue totiž dokáže mnohem víc než jen krást fotky a kontakty. Je naprogramovaný tak, aby si našel přístup i k mikrofonu nebo kameře.

Umí si také dopředu „proklepnout“ prostředí telefonu nebo tabletu, do kterého vstupuje zpravidla přilepený k nějaké aplikaci. A dokáže se chytře ukrýt i před antivirem. Pro komunikaci pak zneužívá masku Google Firebase. Proto je velmi těžké zachytit moment, kdy začnou z mobilu mizet vaše data.

Seznam škod, které může tento sofistikovaný vir ve vašem telefonu, tabletu nebo počítači napáchat, není přitom vůbec malý. Od vytáčení čísel a odesílání zpráv přes krádež kontaktů po pořizování snímků obrazovky a nahrávání zvuku. To vše, aniž byste o tom věděli. Umí také sledovat polohu, mazat uložené soubory a instalovat další aplikace.

Podle americko-izraelského poskytovatele kyberbezpečnostních služeb, firmy Check Point, může tento typ trojského koně proniknout i do komunikace na Whatsappu a smazat všechny uložené zprávy.

Bezpečáci také vysvětlují, že stejně jako mnoho jiných aplikací, které napáchají v telefonu víc škody než užitku, může Rogue zneužít také funkci Androidu, jež byla původně vyvinuta výhradně jako pomoc uživatelům se zdravotním postižením (například nevidomým). Pokud je zapnutá, umožní uživateli ovládat telefon třeba pomocí hlasu.

Vydání Forbesu Outsider

Právě to se ale ukázalo být Achillovou patou bezpečnosti celého systému. Viru to totiž umožňuje obejít obvyklé postupy a nasimulovat interakci uživatele s telefonem tak, aby samotný telefon nepoznal, že s ním zrovna nekomunikuje jeho majitel.

Rogue je také naprogramován, aby sledoval veškerá vyskakující oznámení. Každá notifikace je uložena do databáze a nahrána do Google Firebase. Mimoto umí třídit upozornění od Facebooku, Instagramu, WhatsAppu, Skypu a Telegramu. Tedy služeb, které obvykle shromažďují o uživatelích cenná a citlivá data.

Ještě mnohem znepokojivější je ale další varování odborníků na kyberbezpečnost, podle nichž darebný Rogue monitoruje příchozí a odchozí hovory a co hůř – ty, které chce, umí dokonce i nahrávat. Kromě toho dokáže hovory z konkrétních čísel i blokovat. Zkrátka, tento malwarový zlepšovák rozhodně není něčím, co ve svém telefonu chcete mít.

Rogue se podařilo odhalit při pozorování aktivit hackera s přezdívkou Triangulum, který se zabývá vývojem malwaru právě pro telefony Android.

„Tento objev rozhodně upoutal naši pozornost, protože je mimořádně nebezpečný, a to dokonce i na standardy, na které jsme z darknetu už tak nějak zvyklí,“ nechali se slyšet experti z Check Pointu.

Triangulum je nicméně na hackerském poli spíš dobrým marketérem než vývojářem. Nějaké dovednosti ohledně vývoje malwaru podle expertů má, nicméně častěji je značka Triangulum spíš obalem, pod kterým se šíří a prodává zboží jiných. A tak to bylo zřejmě i v tomto případě.

Autoři trojského koně podporují jeho šíření masivní marketingovou kampaní na darkwebu.

Skutečným tvůrcem trojského koně Rogue je další vývojář z hlubin darknetu – HeXaGoN Dev. Už v minulosti Triangulum odkoupil několik projektů vytvořených HeXaGoNem. Kombinace programovacích schopností HeXaGoNu a promakaného sociálního marketingu hackera jménem Triangulum je teď jasnou hrozbou.

„Oba už vytvořili a rozšířili několik variant malwaru určených pro Android. A to včetně nástrojů pro těžbu kryptoměn, softwarů, které snímají stisky jednotlivých kláves (takzvaných keyloggerů) a sofistikovaných trojských koní typu MRAT šířených z telefonu na telefon,“ říkají odborníci z Check Pointu.

Dodávají, že to na druhou stranu byl právě do detailů dotažený marketing Triangulum, který je dovedl k tomu, aby záležitost prošetřili a vydali o ní podrobnou zprávu. „Triangulum inzeroval svoje produkty na různých fórech na darknetu. Dokonce k prodeji vytvořil atraktivní a chytlavé infografiky,“ dodává Check Point.

Rogue byl podle všeho složen dohromady ze tří malwarů, které HeXaGoN vytvořil už dřív – Hawkshaw (Jestřáb), Cosmos (Vesmír) a DarkShades (Tmavé stíny).

„O skutečné identitě těch vývojářů nevíme moc,“ přiznává Yaniv Balmas z Check Pointu. „Ale o jejich virtuálních profilech toho naopak víme docela dost, právě z darknetu, kde jsou oba poměrně aktivní. A vypadá to, že právě vyvíjejí pořádnou reklamní mašinu,“ doplňuje.

První pokusy, které hackerská dvojka nabízela k prodeji, byly podle Balmase celkem běžnými malwary. Velmi rychle se však přizpůsobili reálné poptávce, hned jak si uvědomili, že dokud nestvoří něco skutečně unikátního, neosloví nijak velké publikum.

Rogue byl podle všeho složen dohromady ze tří malwarů, které HeXaGoN vytvořil už dřív.

„Proto začali s rebrandingem, novými agresivními marketingovými kampaněmi a každých pár měsíců dokonce mění loga. Tržní prostředí darknetu je přitom obvykle docela šedé a nudné, ale zdá se, že tihle týpci převzali pár taktik ze skutečného světa, což je skutečně ojedinělé a nevídáme to moc často,“ vysvětluje expert.

Ačkoli z hlediska hackerské reklamy jde o unikátní případ, rozhodně nechcete, aby se taková marketingová show rozjela zrovna na vašem telefonu.

Jak tomu zabránit?

Pravidelně aktualizovat operační systém, nestahovat aplikace z neprověřených zdrojů a vyhýbat se zbytečným a bezplatným produktům od vývojářů, které neznáte.

Důležité je si také uvědomit, že malware se neustále vyvíjí, a ti, kdo viry vymýšlejí, se vždycky snaží být o několik kroků před Googlem a všemi společnostmi, které prodávají antivirové programy.

Na začátku článku je seznam aplikací, ve kterých byl Rogue společností Check Point objeven. Pokud některou z nich v telefonu máte, co nejrychleji ji smažte.

Dalším krokem by měla být instalace osvědčeného antiviru a podrobná kontrola telefonu. Pamatujte, že Rogue umí stahovat další a další aplikace bez vašeho vědomí, takže buďte pečliví. Napadených telefonů jsou v tuto chvíli podle Check Pointu už stovky tisíc.

„Vzhledem k tomu, jak tihle hackeři pracují a jak silné jsou jejich propagační nástroje, se však to číslo bude pravděpodobně rychle zvyšovat,“ odhaduje Balmas.