Lidem se nechce platit za prémiové služby, zneužívají toho hackeři. Imitují Spotify a další placené aplikace

Pokračování 2 / 18

Únor 2025

Největším kybernetickým rizikem pro platformu Android zůstal v únoru 2025 adware Andreed. Vyplývá to z pravidelné analýzy softwarové společnosti ESET. Ani zastoupení dalších detekovaných škodlivých kódů se příliš nemění. V případě trojského koně Agent.GKE se ale útočníci rozhodli vyzkoušet novou strategii. Škodlivý kód v únoru maskovali za falešnou modifikaci k získání placené služby Spotify Premium.

Také v únoru nalíčili útočníci pasti především do škodlivých verzí her a populárních aplikací. Adware Andreed se nejčastěji objevil standardně v mobilních hrách. V únoru jej uživatelé nejvíce stahovali v cracknutých verzích her Vector Classic a Jewels Legend - Match 3 Puzzle. Největší riziko existuje v případech, kdy se uživatelé snaží vyhnout placené službě nebo aplikaci a místo legitimní placené verze stahují a instalují – nejčastěji mimo oficiální markety – neprověřené alternativy.

Trojský kůň Agent.EQD se v únoru nejčastěji objevoval ve falešné verzi aplikace Swing VPN. Také tento škodlivý kód v počtu detekcí oproti lednu mírně posílil. Téměř na stejných hodnotách zůstal trojský kůň Agent.GKE. Pro něj však útočníci v únoru přichystali novou strategii. K jeho šíření zvolili škodlivou modifikaci pro upgrade aplikace Spotify na Premium verzi.

Adware nás může i špehovat

„Způsob, pro který se útočníci rozhodli v případě trojského koně Agent.GKE, považujeme za nebezpečný. Platforma Spotify v nedávné době upravila svou aplikaci tak, aby jejich placenou verzi nešlo tak snadno obcházet. Uživatelé tak více hledají možnosti, jak placení přesto obejít, a to na různých internetových fórech. A útočníci to dobře vědí,“ vysvětluje Martin Jirkal z pražské pobočky ESET.

Adware, neboli advertising-supported software, se v zařízení obvykle chová tak, že otevře nové vyskakovací okno s reklamou v prohlížeči. Agresivní zobrazování reklamy má hlavně negativní vliv na výkon našeho mobilního telefonu a snižuje uživatelský komfort při prohlížení webových stránek. S adwarem se ale pojí i další rizika. Může také sbírat osobní údaje, například zaznamenávat naše chování na internetu. V neposlední řadě může být adware také prostředníkem pro různé podvodné nabídky.

Pokračování 3 / 18

Leden 2025

Nejčastěji detekovaným škodlivým kódem pro mobilní operační systém Android zůstal v lednu adware Andreed. Vyplývá to z pravidelné analýzy softwarové společnosti ESET. V lednu jej útočníci nejvíce šířili prostřednictvím nebezpečných verzí her Vector, Spider Solitaire či Bike Race Pro. Kromě škodlivého kódu Agent.GKE, který se vydával například za Spotify, Minecraft či aplikaci Flightradar, na sebe v lednu upozornil i trojský kůň Agent.EQD. Útočníci jej šířili jako falešnou VPN aplikaci a jeho úkolem bylo zapojit napadené uživatele do DDoS útoku.

Adware je typ škodlivého kódu, který v zařízení zobrazuje velké množství škodlivé reklamy – tedy takové, která může uživatele odvést a nebezpečný web s dalšími škodlivými kódy. V lednu se nejčastěji ukrýval ve škodlivé verzi parkurové hry Vector nebo ve verzi oblíbené a dnes již legendární hry Spider Solitaire. Nejvíce záchytů v Česku proběhlo u škodlivé verze hry Bike Race Pro.

Evropské telefony v lednu nejvíce ohrožovaly také trojské koně Agent.EQD a Agent.GKE. Druhý jmenovaný škodlivý kód znají dobře z minulosti také čeští uživatelé a uživatelky. Útočníci ho šíří ve formě dropperu a maskují ho za falešné verze různých aplikací. V lednu se opět jednalo například o Spotify, útočníci ale zneužili také popularitu hry Minecraft či aplikace Flightradar. Česko bylo čtvrtým nejčastějším cílem, a to po Španělsku, Polsku a Německu.

VPN zdarma? Pravděpodobně podvod

Druhou nejčastější kybernetickou hrozbu pro platformu Android, trojského koně Agent.EQD, šířili útočníci v podobě falešné VPN. To je zkratka pro anglický termín Virtual Private Network a jedná se o technologii, která vytvoří zabezpečené šifrované spojení mezi naším zařízením a vzdáleným serverem. Jejím úkolem je poskytnout uživateli soukromí, bezpečnost a určitou míru anonymity.

V tomto konkrétním případě se ukazuje, že pokud uživatelé zdarma stahují nějakou službu či software, který bývá jinak zpravidla placený, mohou se lehce stát cílem škodlivých kódů nebo součástí útoků. Pokud si uživatelé stáhli tuto verzi VPN, zaplatili za to svými daty. Útočníci je byli po stažení schopni zapojit do DDoS útoků. V tuto chvíli jsou už servery škodlivé aplikace nefunkční, pokud se je ale útočníci rozhodnout znovu spustit, škodlivý kód bude znovu aktivní. „Uživatelé by měli mít na paměti, že kvalitní a bezpečná VPN je vždy placená, protože provoz této technologie bývá nákladný,“ říká Martin Jirkal, vedoucí analytického týmu v pražské pobočce ESET.

Pokračování 4 / 18

Prosinec 2024

Prosincová statistika nejčastějších kybernetických hrozeb nepřinesla žádné větší zvraty a s největším počtem detekcí bezpečnostní experti opět zachytili adware Andreed. Od listopadu pak mírně posílil trojský kůň Agent.GKE a do třetice se v Česku nejvíce vyskytoval škodlivý kód FakeApp.AHS. Škodlivé kódy tentokrát nejvíce šířily hry doplněné falešnou aplikací Spotify a Amazon Prime Video. Vyplývá to z pravidelné analýzy detekčních dat pro platformu Android v České republice od společnosti ESET.

Aplikace Spotify posloužila tentokrát útočníkům k tomu, aby ji vydávali za trojského koně Agent.GKE. Útočníci jej šíří nepozorovaně jako tzv. dropper a následně jim slouží k šíření dalších škodlivých kódů. Za aplikaci Prime Video pak vydávali škodlivý kód FakeApp.AHS, který po stažení do zařízení oběti zprostředkoval komunikaci se servery útočníků. V případě adwaru Andreed byly hlavním zdrojem škodlivého kódu opět hry. Bezpečnostní experti nejčastěji zachytili falešnou verzi hry Car Factory Simulator a Heroes of Might and Magic III.

„Hry ani aplikace určené k zábavě útočníky stále neomrzely a může to být z jediného důvodu – stále se najde dostatečný počet obětí, které se do této pasti chytí. Adware i dropper jsou rizikem především kvůli tomu, že na první pohled nemusí být hrozba, kterou představují, pro uživatele viditelná,“ říká Martin Jirkal, vedoucí analytického týmu v pražské pobočce společnosti ESET.

Adware se v zařízení může dlouho skrývat, sledovat co děláme na internetu a pomoct útočníkům odvést uživatele například na nebezpečné webové stránky. Dropper pak funguje jako obálka, která nepozorovaně doručí do zařízení další škodlivý kód. Útočníci takto mohou šířit i závažné škodlivé kódy určené k odcizení našich dat a financí.

Pokračování 5 / 18

Listopad 2024

Listopad znamenal útlum v objemu útoků na mobilní telefony s operačním systémem Android škodlivým malwarem. Dlouhodobě přítomný adware Andreed se objevil pouze v desetině všech zachycených případů. Tentokrát na sebe spíše upozornil škodlivý kód typu dropper, který útočníci vydávali za herní modifikaci pro platformu Roblox. Ukrýval trojského koně Agent.GKE. Vyplývá to z pravidelné analýzy od softwarové společnosti ESET.

Co se prozatím v listopadu nezměnilo, je způsob šíření malwaru – stále jsou to převážně falešné hry nebo falešné herní modifikace, a to nejen v případě adwaru Andreed. Bezpečnostní experti v listopadu takto odhalili především falešné verze her Bad Piggies nebo Bike Race Pro.

„Droppery útočníci využívají proto, že jedním škodlivým kódem vlastně zamaskují další. Dropper si můžete představit jako obálku, která v sobě schová další malware. Právě proto na sebe droppery často berou podobu her. Útočníci vědí, že uživatelé hry, které jsou navíc nějak finančně výhodnější, zcela zdarma nebo jinde nedostupné, rádi stáhnou. Rizikem jsou především v méně známých obchodech třetích stran,“ vysvětluje vedoucí analytik společnosti ESET Martin Jirkal.

Kromě her nebo aplikací známých a zvučných značek útočníci zneužívají i bankovní aplikace nebo řadu zábavných nástrojů. V listopadu byly mezi takovými aplikacemi například Word Blender, nástroj k zamíchání existujícího textu a tvorbě nového obsahu, dále aplikace pro počítání slov v textu, rozmazávání obrázků nebo encyklopedie pokojových rostlin. Všechny tyto škodlivé verze aplikací přitom byly propojeny se zařízením útočníka a čekaly na jeho příkazy, jakmile by si je uživatelé stáhli do svých zařízení. Ukrývaly škodlivý kód FakeApp.AHS.

Pokračování 6 / 18

Říjen 2024

V říjnu 2024 zůstaly dominantními hrozbami pro české telefony s platformou Android falešné verze mobilních her. Zdrojem adwaru Andreed a trojského koně Agent.FBE se staly závodní, strategické i bojové a dobrodružné mobilní hry. K šíření škodlivé aplikace FakeApp.AFZ útočníci opět zneužili popularitu nástrojů umělé inteligence. Vyplývá to z pravidelné měsíční analýzy společnosti ESET.

Bezpečnostní experti varují, že snahou útočníků může být přesměrovat uživatele na nebezpečné webové stránky nebo je prostřednictvím škodlivého kódu přihlásit k falešnému investování. Upozorňují také, že cílem těchto kybernetických hrozeb mohou být i nejmenší uživatelé z řad dětí. Adware Andreed se objevoval nejvíce ve hře se závodní tématikou Car Parking Multiplayer. Trojský kůň Agent.FBE se šířil v dobrodružných, bitevních i strategických hrách. Útočníci v jeho případě zneužili také verzi známé plošinovky – hry Geometry Dash.

Podvody s kryptoměnami

V říjnu výše zmíněné hrozby doplnila škodlivá aplikace FakeApp.AFZ, na kterou bezpečnostní experti z ESETu upozornili již minulý měsíc. Útočníci ji nejčastěji šířili ve falešné verzi aplikace Super AI. Škodlivá aplikace může po otevření zaregistrovat uživatele do tzv. cryptoscamu. Zobrazí webové stránky s možnostmi investic. Název známé investiční platformy má působit jako návnada a přesvědčit uživatele, že je vše bezpečné a spolehlivé.

Na falešné nebo nebo zavirované aplikace mohou narazit zejména ti uživatelé, kteří používají neoficiální markety třetích stran, které nabízejí hry ve výhodných balíčcích, zcela zdarma nebo ve verzích, které nikde jinde nejsou dostupné. Pokud je například aplikace v oficiálním marketu Google Play zpoplatněná a na jiném marketu ji lze stáhnout bezplatně, je velká pravděpodobnost, že se jedná o zfalšovanou verzi.

Pokračování 7 / 18

Září 2024

Na platformě Android v Česku vzrostly v září především detekce adwaru Andreed, a to na více než 18 procent všech zachycených případů. Zatímco detekce bankovního trojského koně Cerberus v září klesly, do popředí pravidelné statistiky se vyšplhaly škodlivá aplikace FakeApp.AFZ a trojský kůň Agent.FBG. Vyplývá to z pravidelné měsíční zprávy společnosti ESET.

Na platformě Android v Česku vzrostly v září především detekce reklamního škodlivého kódu – adwaru Andreed. Ten se stále více přibližuje hranici pětiny všech detekcí v České republice, které v letošním roce zatím ještě nedosáhl. Hlavním zdrojem adwaru Andreed byly falešné verze her pro chytré telefony – Mini Ninjas a Heroes of Might & Magic III.

V případě škodlivého kódu FakeApp.AFZ útočníci využili strategii, při které jej vydávali za investiční aplikace, které obětem nabízely možnosti investování do kryptoměn, přičemž cílem útočníků bylo pouze odcizit jejich peníze. Také v případě trojského koně Agent.FBG informace nasvědčují tomu, že útočníci chtěli využívat zařízení obětí k těžení kryptoměn.

Hackeři nadále využívají osvědčené postupy. Škodlivé kódy zabalí do domnělých aplikací, které zneužívají známé značky. FakeApp.AFZ takto šířili například v napodobeninách aplikací od IBM nebo OpenAI. Trojský kůň se v září nejčastěji objevili v cracknuté verzi populární herní platformy Roblox.

Jak podvody fungují

Motivem drtivé většiny kybernetických útoků jsou peníze. K jejich získání útočníci využívají nejen různé škodlivé kódy, které dokáží například prolomit hesla do našich účtů, ale snaží se získat také naše data, která mohou velmi dobře zpeněžit prodejem na černém trhu. Další taktikou, například k získání našich hesel do internetového bankovnictví nebo údajů k platební kartě, je manipulativní komunikace. S tou se můžeme nejvíce setkat v případě útoků pomocí technik sociálního inženýrství – phishingu, vishingu nebo smishingu. Útočníci mohou navíc všechny metody libovolně kombinovat v promyšlených útočných kampaních.

„FakeApp.AFZ má podobu jednoduché aplikace, která uživatelům zobrazuje webové stránky. Tváří se ale nejdříve jako služba firem IBM či OpenAI. Jakmile uživatelé aplikaci otevřou, zaregistrují se do tzv. cryptoscamu. Škodlivá aplikace obětem ukazuje, jak jejich peníze vydělávají a tím je motivuje, aby jich posílali víc. Své peníze však po čase oběti nebudou moci vybrat a definitivně o ně přijdou,“ vysvětluje jeden z možných podvodných scénářů vedoucí analytik Martin Jirkal z ESETu.

Pokračování 8 / 18

Srpen 2024

Srpnová statistika kybernetických hrozeb pro platformu Android, vypracovaná společností ESET, potvrzuje přítomnost stále stejných škodlivých kódů. V čele kyberhrozeb nadále stojí adware Andreed a doplňuje ho malware Agent.HQS s bankovním trojským koněm Cerberus.

Prostřednictvím adwaru mohou útočníci inzerovat podvodná sdělení nebo odkazovat na nebezpečné stránky obsahující malware. Škodlivou reklamu využívají také ve větších a propracovanějších útocích jako prostředek k manipulaci. V takové kampani se útočníci nedávno zaměřili například i na české banky. Pomocí nové phishingové techniky se snažili oklamat uživatele chytrých telefonů a přimět je k instalaci domnělých aktualizací pro bankovní aplikace.

I kvůli tomu, že je adware jako kybernetická hrozba dlouhodobě podceňovaný, jej podle bezpečnostních expertů útočníci stále s oblibou využívají. V Česku jej dlouhodobě šíří prostřednictvím napodobenin mobilních her, na které mohou uživatelé narazit v obchodě třetí strany. V srpnu se v případě adwaru Andreed jednalo o napodobeninu hry Mini Ninjas, objevoval se ale nadále také v aplikaci určené k luštění křížovek.

Do bankovnictví radši přes aplikaci

V srpnu se situace nezměnila ani v případě malwaru Agent.HQS. Objem jeho detekcí sice v červenci oproti předchozímu období narostl, další růst počtu případů byl v srpnu již minimální. Útočníci jej také maskují za domnělou aplikaci, a to konkrétně za MXtech Videoplayer. Agent.HQS se šíří v podobě tzv. dropperu, který si lze představit jako obálku doručující škodlivý kód. Pokud dropper uživatelé stáhnou a nainstalují, rozbalí se a umožní instalaci dalších škodlivých kódů.

Detekované škodlivé kódy na platformě Android stále doplňuje i bankovní trojský kůň Cerberus, který se ve větším počtu detekcí vrátil do Česka letos na jaře. Rizikem je především v okamžiku, kdy navštěvujeme internetové bankovnictví přes prohlížeč chytrého telefonu, a ne přes bankovní aplikaci. Jedna z hlavních funkcionalit tohoto malwaru je tzv. webinject.

Díky ní útočník dokáže upravit webovou stránku, například stránku banky tak, že přidá nová pole do formulářů, odebere ochranné prvky nebo převezme kontrolu nad tím, kam jsou posílána naše data. Útočníci tímto způsobem dokáží na svůj server posílat získaná hesla, přepsat bankovní účet, kam peníze zasíláte, nebo odcizit údaje z bankovních karet.

Pokračování 9 / 18

Červenec 2024

Červencovou statistiku kybernetických hrozeb pro platformu Android v Česku vedl opět adware Andreed, který se dlouhodobě šíří prostřednictvím falešných mobilních her. Objem jeho detekcí ale mírně klesl. Na předních příčkách zůstává také nebezpečný spyware. Vyplývá to z pravidelné analýzy detekčních dat společnosti ESET. Bezpečnostní experti varují před stahováním aplikací a her mimo oficiální obchody s aplikacemi.

Nejčastěji detekovanou hrozbou v Česku zůstává malware Andreed. Jedná se o adware, který v zařízení uživatele zobrazuje nevyžádanou reklamu. Na druhé a třetí příčce se umístily spyware Cerberus a malware Agent.HQS, který dokáže šířit další škodlivé kódy. Uživatelé si škodlivý kód nejčastěji stáhli nevědomky sami, a to v aplikacích z neoficiálních zdrojů, například v neoficiální hře Car Factory Simulator.

Útočníci šíří škodlivé kódy i přes sociální sítě

V červenci vzrostl objem detekcí v případě malwaru Agent.HQS. Na začátku roku byl přitom detekován v menším počtu případů, větší aktivitu zachytili analytici až v březnu a červnu. Útočníci jej šíří v pirátské kopii aplikace MX Player, a to pravděpodobně prostřednictvím sociálních platformy Telegram. Jedná se o tzv. dropper. Tento typ malwaru funguje jako obálka: když si uživatelé nainstalují infikovanou aplikaci, obálka se „rozbalí“ a s ní se nainstaluje i nějaký další škodlivý kód.

Podoba dropperů se rychle proměňuje a útočníci mohou škodlivý kód vydávat prakticky za jakoukoli aplikaci. Běžné jsou například škodlivé kódy, které z telefonu sbírají přihlašovací údaje, které je možné na černém trhu velmi lukrativně prodat.

Dlouhodobě patří mezi nejvážnější rizika pro mobilní zařízení s platformou Android bankovní malware Cerberus. V detekční datech se co do počtu případů stabilně drží na stálých hodnotách. Objem jeho detekcí nicméně od června mírně slábne.

Trojský kůň Cerberus se v červenci šířil prostřednictvím falešných mobilních her, například v závodním simulátoru Fast Car Driving – Street City. Představuje riziko především pro internetové bankovnictví, nikoli pro samotné bankovní aplikace. Má několik funkcionalit typických pro tento typ hrozby. V napadeném zařízení dokáže kontrolovat SMS zprávy a zaznamenávat stisky kláves na klávesnici. Sbírá informace o kontaktech, poloze, aplikacích a další údaje z chytrého telefonu.

Pokračování 10 / 18

Červen 2024

Červnová statistika kybernetických hrozeb pro platformu Android se v Česku proti minulému měsíci příliš nezměnila. Největším rizikem je nadále adware Andreed, který znovu o něco posílil. Také v případě bankovního malwaru Cerberus, který se v Česku znovu začal objevovat od letošního jara, zůstávají detekce stabilní. Vyplývá to z pravidelné analýzy detekčních dat společnosti ESET.

Oblíbeným nástrojem kybernetických útočníků při šíření škodlivých kódů zůstávají také falešné verze mobilních her. Bezpečnostní experti proto opakovaně varují před stahováním aplikací a her mimo oficiální obchody s aplikacemi pro chytré telefony.

Na předních místech statistiky zranitelností se drží adware Andreed a bankovní malware Cerberus. Adware navíc oproti předchozímu období v červnu zase o něco posílil. Ačkoli se neřadí mezi vysoce nebezpečné škodlivé kódy, jako je například ransomware nebo spyware, i adware může sledovat naše chování na internetu.

Každý měsíc se adware šíří prostřednictvím jiných mobilních her. Na tyto aplikace uživatelé narazí nejčastěji v obchodech třetích stran a jedná se zpravidla o falešné a nelegitimní verze známých předloh. V červnu bezpečnostní specialisté objevili adware Andreed nejčastěji ve verzi hry Flower Girls Tamagotchi Anime. Častými zdroji adwaru mohou být i verze her se závodní tématikou či strategické hry.

Závažnější hrozba: bankovní trojan Cerberus

Před několika měsíci se do Česka znovu vrátil bankovní trojský kůň Cerberus. Mezi detekcemi se objevil také v červnu. I tento malware útočníci šíří prostřednictvím různých verzí herních aplikací. V červnu to byla již dříve detekovaná hra Fast Car Driving – Street City nebo verze kulečníkové hry Pool Stars.

Bankovní malware i adware doplnil v červnu trojský kůň Agent.HQS, který se ve větším počtu detekcí objevil již letos v březnu. Stále se vydává především za pirátskou kopii aplikace MX Player. Šíří se v podobě tzv. dropperu, to znamená škodlivého kódu, který funguje jako obálka a škodlivý obsah tak skrytě doručí do cílového zařízení. Podle posledních zjištění bezpečnostních specialistů existuje možnost, že se šíří prostřednictvím sítě Telegram.

Bankovní trojský kůň je rizikem především pro internetové bankovnictví, nikoli pro samotné mobilní bankovní aplikace. Cerberus v napadeném zařízení dokáže kontrolovat SMS zprávy a zaznamenávat stisky kláves na klávesnici. Sbírá informace o kontaktech, poloze, aplikacích a další údaje z chytrého telefonu. Z většího souboru dat tak může potenciálně například vysledovat, jaké údaje uživatel zadává do různých přihlašovacích formulářů.

Pokračování 11 / 18

Květen 2024

Adware Andreed a bankovní trojský kůň Cerberus byly i v květnu hlavními kybernetickými hrozbami pro platformu Android v Česku. Doplnil je opět škodlivý kód se špionážními funkcemi. Jednalo se tentokrát o downloader Agent.CZB. Vyplývá to z pravidelné měsíční analýzy rizik společnosti ESET.

Všechny nejčastěji detekované škodlivé kódy se v květnu šířily prostřednictvím falešných verzí aplikací pro chytré telefony. V případě adwaru a bankovního trojského koně to byly především mobilní hry, a to často zacílené na nejmenší uživatele z řad dětí.

Adware Andreed zůstal i v květnu v čele pravidelné statistiky hrozeb pro platformu Android v Česku. Bezpečnostní specialisté pozorují v jeho případě zatím stejný vzorec, jako vloni před začátkem prázdninové sezóny – Andreed se šíří prostřednictvím falešných verzí různých her, v květnu se navíc objevil v aplikacích nabízejících luštění křížovek.

Letní období znamená větší riziko

Také v květnu se v čele statistiky nadále držel bankovní trojský kůň Cerberus. Ve vyšším počtu detekcí se v Česku začal objevovat před několika měsíci. Stále se šíří především prostřednictvím neoficiální verze hry Fast Car Driving – Street City. Na rozdíl od adwaru je tento trojan závažnějším typem malwaru, který je rizikem zejména pro internetové bankovnictví.

Dalším škodlivým obsahem pro telefony je spyware. Dříve častěji detekovaný Spy.SpinOk v květnu vystřídal downloader Agent.CZB. Nejvíce případů tohoto škodlivého kódu zachytili bezpečnostní experti 24. května. Uživatelé na něj mohli narazit ve verzi aplikace na malování ibisPaint. Downloader Agent.CZB stahuje z internetu další škodlivý kód, který pak nepozorovaně dokáže spustit v našem zařízení. Útočníci mohou jeho prostřednictvím pravděpodobně také zobrazovat adware, převzít kontrolu nad telefonem nebo získávat ze zařízení informace.

Bezpečnostní experti vnímají letní období jako potenciálně rizikovější pro napadení našich mobilů. „V létě nastává více příležitostí pro to, aby se škodlivý kód dostal do zařízení. Kromě neuváženého stahování aplikací z neprověřených obchodů třetích stran se s létem pojí ještě další rizika. Jsou to například veřejné Wi-Fi sítě na letištích, v hotelech a kavárnách, které nejsou dostatečně zabezpečené před zneužitím,“ vysvětluje bezpečnostní analytik z Esetu Martin Jirkal.

Pokračování 12 / 18

Duben 2024

V čele statistiky kybernetických hrozeb pro platformu Android v Česku byl i v dubnu adware Andreed. Doplnily ho tentokrát dva škodlivé kódy, se kterými se čeští uživatelé již v minulosti pravidelně setkávali – bankovní trojský kůň Cerberus a škodlivý kód s prvky spywaru, Spy.SpinOk. Vyplývá to z pravidelné analýzy detekčních dat společnosti ESET.

Malware se i v dubnu šířil především prostřednictvím falešných verzí her pro chytré telefony. Bezpečnostní experti proto varují před neuváženým stahováním aplikací mimo oficiální distribuční místa, to znamená nejčastěji oficiální markety s aplikacemi. Ačkoli v čele statistiky pro platformu Android v Česku stále figuruje adware Andreed, i v dubnu na sebe upozornil bankovní malware Cerberus, který se po delší době opět vyšplhal na přední místa pravidelných detekcí malwaru v Česku.

Podobně, jako jiné bankovní trojské koně, i Cerberus dokáže v napadeném zařízení kontrolovat SMS zprávy nebo zaznamenávat stisky kláves na klávesnici. Dokáže také sbírat informace o kontaktech, poloze, aplikacích a další údaje přímo ze zařízení. V dubnu už byl v českém kontextu i cíleněji zaměřený – objevoval se zejména ve falešné verzi hry Fast Car Driving - Street City.

Hry pro chytré telefony jsou dlouhodobě na straně kybernetických útočníků využívané k šíření škodlivých kódů. Zdrojem malwaru jsou pak jejich falešné verze, které útočníci nabízejí v menších obchodech třetích stran či na internetových úložištích. Jejich prostřednictvím se v dubnu opět šířil také adware Andreed – objevil se například ve verzích her Car Factory Simulator nebo ve hře Power Girls – Fantastic Heroes.

Poprvé od začátku letošního roku se na přední místa statistiky vyšplhal také škodlivý kód Spy.SpinOk. Jedná se o softwarový modul, který má však funkce spywaru. Jeho autoři ho mohou nabízet vývojářům jako marketingový doplněk, tzv. Software Development Kit (SDK). Proto můžeme na tento škodlivý kód narazit ve velkém množství aplikací, například ve hrách, které obsahují nějaké losování o ceny, a také v aplikacích pro přehrávání videí. Spy.SpinOk dokáže shromažďovat informace o souborech v napadeném zařízení a následně je odesílat útočníkům.

Pokračování 13 / 18

Březen 2024

Největší hrozbou pro smartphony s Androidem byl také v březnu nechvalně známý adware Andreed. K němu se vrátil i trojský kůň Cerberus, což je bankovní malware, který útočníci využívají k napadení internetového bankovnictví. Nejčastějším zdrojem šíření škodlivých kódů nadále zůstávají především hry stahované mimo oficiální markety, uvádí v pravidelné statistice kybernetických hrozeb v Česku společnost ESET.

Dlouhodobou hrozbou pro uživatele v Česku je Andreed. Kromě zátěže pro operační systém zařízení a nepříjemného vyskakování agresivních reklamních oken mohou útočníci jeho prostřednictvím inzerovat webové stránky, které obsahují závažnější malware nebo podvodné nabídky. Útočníci šíří adware Andreed prostřednictvím falešných verzí známých her, které každý měsíc mění. V březnu se adware nejčastěji skrýval ve falešné verzi hry Interstellar Pilot 2.

„Útočníci se nás opakovaně snaží v případě adwaru Andreed nalákat na hry zdarma, na které narazíme zpravidla v obchodech třetích stran a na internetových úložištích. Nadále však platí, že stahování mimo oficiální obchody a distribuční místa je dnes prakticky vždy zárukou, že kromě hry nebo různých nástrojů stáhneme i škodlivý kód,“ říká Martin Jirkal, vedoucí analytického týmu společnosti ESET.

Cerberus je zpět

V březnu se do popředí statistik dostal po delší odmlce také bankovní malware Cerberus. Ten býval velmi aktivním typem škodlivého kódu naposledy v zimě roku 2022. Stejně jako adware Andreed, i trojský kůň Cerberus se nejčastěji vyskytoval ve falešných verzích závodních her.

Cerberus se šíří prostřednictvím tzv. dropperů – škodlivého kódu, který napodobuje známé nástroje a služby. Rizikem je zejména pro internetové bankovnictví. Podobně jako jiné bankovní trojské koně, i Cerberus dokáže v napadeném zařízení kontrolovat SMS zprávy nebo zaznamenávat stisky kláves na klávesnici. Dokáže ale také sbírat informace o kontaktech, poloze, aplikacích a další údaje přímo ze zařízení.

Podobně jako v případě trojského koně Cerberus se v březnu jako dropper šířil i malware Agent.HQS. Vydával se za pirátské kopie aplikací MX Player nebo Ultimate USB. Podle posledních zjištění bezpečnostních specialistů existuje možnost, že se takové aplikace šíří i prostřednictvím sítě Telegram.

Pokračování 14 / 18

Únor 2024

Také v únoru se v Česku objevila řada upravených a nelegitimních verzí her a aplikací, kterými se šířil adware. Na více než patnáct procent opět posílil adware Andreed, který se nejčastěji objevoval ve falešné verzi hry Car Factory Simulator. Doplnily ho opět trojské koně z rodin Triada a Hiddad, které ke svému šíření také zneužívají různé nástroje pro chytré telefony. Vyplývá to z pravidelné statistiky kybernetických hrozeb pro platformu Android v Česku od společnosti ESET.

„Adware Andreed se již směle řadí k dlouhodobě přítomným škodlivým kódům pro chytré telefony s platformou Android v Česku. A to, že v únoru opět o něco posílil, svědčí o tom, že ho útočníci nemají potřebu zatím vyměnit za nějakou jinou hrozbu. Útoky s využitím tohoto adwaru se jim zkrátka stále vyplácí,“ říká k vývoji na platformě Android Martin Jirkal z ESETu.

Uživatelé mohou na adware Andreed nejčastěji narazit, pokud stahují aplikace a hry mimo oficiální obchod Google Play. Jejich motivací je ve většině případů to, že aplikace a hry jsou v obchodech třetích stran a na různých internetových úložištích zdarma.

Mnoho falešných aplikací jako trojský kůň

V únoru se v detekční statistice objevily také trojské koně Triada a Hiddad. Škodlivý kód Hiddad se nadále objevuje především ve škodlivé verzi aplikace Life Palmistry – Palm&Gender, která nabízí uživatelům čtení z ruky. Stejnou aplikaci využívají útočníci již od loňského listopadu. Trojský kůň Triada se již dříve objevil například ve škodlivé verzi aplikace FM WhatsApp, která oproti klasické aplikaci WhatsApp měla nabízet některé vylepšené funkce. Útočníci v jeho případě vsadili i na falešnou fitness aplikaci, která si měla najít oběti v řadách sportovních nadšenců. V únoru se trojský kůň Triada vydával za bezplatnou VPN aplikaci.

Pokračování 15 / 18

Leden 2024

Nejčastěji detekovaným škodlivým kódem na platformě Android v Česku byl v lednu adware Andreed. Doplnily ho trojské koně rodin Hiddad a Triada, které útočníci podobně jako adware šíří prostřednictvím falešných verzí oblíbených volnočasových aplikací. V lednu se mezi takovými aplikacemi objevila nejen populární hra, ale také fitness tracker nebo aplikace určená ke čtení z dlaně. Vyplývá to z pravidelné statistiky kybernetických hrozeb pro platformu Android v Česku od společnosti ESET.

Stejně jako na konci loňského roku byl i v lednu nejčastěji detekovanou hrozbou pro chytré telefony s Androidem opět adware Andreed. Ačkoli se jedná o škodlivý kód, který zobrazuje především nevyžádanou agresivní reklamu, kliknutím na inzerovaný obsah se uživatel může dostat na daleko nebezpečnější webové stránky obsahující malware nebo podvodná sdělení. Andreed se v lednu objevoval nejvíce ve falešné verzi populární hry My City: Star Horse Stable. Uživatelé na něj narazí nejčastěji v neoficiálním obchodě třetí strany, proto je bezpečnější aplikace stahovat vždy výhradně z marketu Google Play.

Čtení z ruky nebo fitness tracker

V lednu doplnily adware Andreed trojské koně rodin Hiddad či Triada, které útočníci také šíří především mimo oficiální distribuční místa a obchody. Ukrývají je v různých volnočasových aplikacích, které velmi často mění – reagují tak nejen na bezpečnostní opatření, ale také na uživatele a trendy, které pozorně sledují. Trojský kůň Hiddad se objevil ve škodlivé verzi aplikace Life Palmistry – Palm&Gender, která nabízí uživatelům čtení z dlaně. Stejnou aplikaci využívali útočníci přitom už loni v listopadu.

V případě trojského koně Triada útočníci v několik případech vsadili na to, co uživatele baví – škodlivý kód ukrývali ve falešné fitness aplikaci. Na konci loňského roku se trojský kůň Triada objevil například ve škodlivé verzi aplikace FM WhatsApp, která oproti klasické aplikaci WhatsApp měla nabízet některé vylepšené funkce. Ačkoli trojský kůň Triada dále šíří především nevyžádanou reklamu a spam, může být rizikem i pro platby v aplikacích.

„Hrozby na platformě Android se vyvíjejí a proměňují daleko rychleji, než je tomu v případě jiných operačních systémů v Česku. Chytré telefony se totiž stávají plnohodnotnou alternativou k počítačům, především pro mladší generace. Útočníci, kteří v první řadě sledují finanční zisk, se na ně orientují právě i z tohoto důvodu. Telefon navíc vlastní už i děti a jsou tím pádem další zranitelnou skupinou uživatelů, na které cílí škodlivý kód,“ vysvětluje Martin Jirkal z ESETu.

Pokračování 16 / 18

Prosinec 2023

Nejvýznamnějším bezpečnostním rizikem pro smartphony s Androidem byl v prosinci malware Anatsa, který napadá bankovní aplikace. Útočníci malware šíří prostřednictvím škodlivého kódu Spy.Banker.BUL, který vydávají za aplikaci pro čtení dokumentů v PDF. Pokud uživatel stáhne tuto aplikaci do svého chytrého telefonu, po následné aktualizaci se aplikace pokusí stáhnout bankovní malware do zařízení.

Nebezpečný Malware Anatsa tak ve výčtu zranitelností doplnil adware Andreed a trojského koně Triada. Podle bezpečnostních expertů ze společnosti ESET bude situace na platformě Android v Česku i v následujícím roce vysoce proměnlivá a uživatelé mohou očekávat nejen adware, ale i závažnější typy škodlivých kódů.

„Malware Anatsa pozorujeme již několik měsíců, případy napadení bankovních aplikací se již dříve objevily například v Německu, ve Velké Británii či v USA. Z našich dosavadních zjištění víme, že útočníci vydávají nebezpečné aplikace se škodlivým kódem za nástroje pro čtení dokumentů v PDF. Pokud tuto aplikaci stáhnou do svého chytrého telefonu, ta projde po čase aktualizací a pokusí se stáhnout malware Anatsa do zařízení v podobě doplňku pro aplikaci. V prosinci jsme takto objevili doplněk PDF AI: Add on. Uživatel musí stažení doplňku potvrdit. Útočníci tak pravděpodobně obchází samotné zabezpečení obchodu Google Play, kde by bankovní malware jinak odhalily jeho bezpečnostní týmy,“ říká Martin Jirkal, vedoucí analytického týmu v pražské pobočce společnosti ESET.

Falešný WhatsApp a mobilní hry 

Spolu se škodlivým kódem Anatsa bezpečnostní specialisté opět detekovali také adware. Ten byl pravidelnou hrozbou pro platformu Android v Česku celý uplynulý rok. Ačkoli je adware méně závažnější než malware určený ke špionáži nebo k napadení bankovních aplikací, i tento typ hrozby může být zdrojem dalšího, daleko závažnějšího malwaru či podvodných reklamních nabídek.

Adware Andreed, který byl v českém prostředí jedním z nejvíce detekovaných škodlivých kódů loňského roku, se i v prosinci nejvíce vyskytoval v upravených verzích populárních her, jmenovitě například ve hrách Totally Reliable Delivery Service nebo Terraria. Objevil se ale také ve verzi aplikace Magic Fluids nabízené zdarma. Právě nabídkami výhodných balíčků aplikací, ať už zdarma či za zvýhodněnou cenu, lákají útočníci uživatele ke stažení nebezpečných aplikací do jejich zařízení.

Mezi nejčastěji detekovanými škodlivými kódy se na konci roku objevil i trojský kůň Triada. Také tento škodlivý kód se může zaměřit na bankovní aplikace. V prosinci ho útočníci šířili ve verzi aplikace FM WhatsApp, která nabízí některé vylepšené funkce oproti základní aplikaci WhatsApp.

„Trojský kůň Triada šíří především nevyžádanou reklamu a spam, může být ale rizikem i pro elektronické platby v aplikacích. Dokáže například modifikovat verifikační SMS zprávy a manipulovat tak finančními transakcemi v legitimních aplikacích. Ty totiž nejsou tak chráněné jako například v internetovém bankovnictví. Peníze za nákupy v aplikacích pak Triada přesměruje přímo k útočníkům,“ dodává Jirkal.

Pokračování 17 / 18

Listopad 2023

Také v listopadu zůstal nejčastěji detekovaným škodlivým kódem pro platformu Android v Česku adware Andreed. Vyplývá to z pravidelné statistiky kybernetických hrozeb od společnosti ESET. Nadále ho doplňuje také malware Spy.SpinOk, který útočníci šíří jako softwarový doplněk pro vývojáře a může být tak ve velkém množství oficiálních i upravených verzí aplikací.

V listopadu se objevila řada neoficiálních verzí aplikací, prostřednictvím kterých útočníci šíří v případě platformy Android škodlivé kódy. Kromě her, které jsou u útočníků dlouhodobě v největší oblibě, byly v listopadu rizikem i aplikace pro stahování hudby či videí nebo dokonce volnočasová aplikace, která má pořízením snímku dlaně uživatelům předpovědět budoucnost.

Adware Andreed se v listopadu objevil nejčastěji ve verzích her Tiny Space Program nebo Mini Ninjas, nebo také v modifikaci pro hru Terraria. V aplikaci pro výklad z dlaně pak bezpečnostní specialisté objevili trojského koně Hiddad. Malware Spy.SpinOk se nejčastěji objevoval ve zmíněné aplikaci pro stahování hudby a videí.

„Autoři škodlivého kódu mohou vývojářům nabízet Spy.SpinOk ve formě modulu jako marketingový doplněk, takzvaný Software Development Kit, SDK. V aplikacích se pak takový doplněk projevuje jako nějaká minihra nebo losování o ceny,“ vysvětluje Martin Jirkal, vedoucí analytického týmu v pražské pobočce společnosti ESET.

Nejlepší prevence je nestahovat

Škodlivý kód Spy.SpinOk se v Česku začal na předních místech statistiky pro platformu Android objevovat od letošního června. Jedná se o typ malwaru, který má provádět v zařízeních obětí špionáž. Dokáže shromažďovat informace o souborech v napadeném zařízení a následně je odesílat útočníkům. Jeho prostřednictvím mohou útočníci také zkopírovat či nahradit dočasný obsah uložený ve schránce zařízení.

„Sami vývojáři si nemusí být škodlivostí doplňku, který použili, vědomi. Proto je v případě stahování aplikací na místě opatrnost. Uživatelé by si v první řadě měli vždy položit otázku, zda danou aplikaci opravdu potřebují a zda ji budou dlouhodobě využívat. Pro stahování bych vždy vybral oficiální obchod, v případě platformy Android tedy Google Play. I tam sice mohou uživatelé narazit na škodlivý kód, riziko je ale s ohledem na bezpečnostní kontroly daleko menší, než na veřejných úložištích nebo v méně známých obchodech,“ doporučuje Jirkal.

Před stažením potenciálně podezřelé nebo méně známé aplikace z marketu se může hodit také pročtení recenzí u aplikace a sledování jejího hodnocení. U aplikací s průměrným hodnocením pod 3 (z možných maximálních 5) už je na místě obezřetnost.

Pokračování 18 / 18

Říjen 2023

Rizikem pro platformu Android v Česku byl v říjnu adware Andreed, a to spolu se škodlivým kódem Spy.SpinOk a downloaderem Agent.CZB. Bezpečnostní specialisté z ESETu objevili všechny tři nejčastější hrozby ve falešných verzích mobilních her. Upozorňují tak na to, že se může opět jednat o hlavní strategii útočníků, kterou cílí na širokou uživatelskou veřejnost, včetně nejmenších uživatelů z řad dětí. Především falešné a upravené verze známých her jsou častou strategií, ke které se útočníci uchylují v období blížících se svátků a prázdnin.

„Nejčastěji jsme v říjnu na platformě Android opět detekovali adware Andreed. Dlouhodobě v jeho případě pozorujeme, že ho útočníci šíří primárně přes různé verze her, které nabízejí v obchodech třetích stran, a to za výhodných podmínek nebo zcela zdarma. V říjnu se jednalo například o hry Tasty Planet Forever, Geometry Jump nebo My Singing Monsters Composer,“ říká Martin Jirkal, vedoucí analytického týmu v pražské pobočce společnosti ESET.

Další škodlivé kódy, které se v říjnu objevily na předních místech pravidelné statistiky, objevili bezpečnostní specialisté také v některých hrách. Downloader Agent.CZB se například objevil v upravené verzi populární hry Roblox, škodlivý kód Spy.SpinOk, který má funkce spywaru, pak kromě her také v upravených aplikacích pro stahování hudby a videí z internetu nebo v aplikacích pro přenos souborů.

Hry jsou spolehlivou návnadou

Právě mobilní hry jsou pro útočníky většinou spolehlivým způsobem, jak škodlivý kód nepozorovaně doručit uživatelům do jejich chytrých telefonů. Kvůli ochranným krokům kyberbezpečnostní komunity jsou však nuceni nebezpečné verze her neustále měnit, což přispívá k tomu, že se kyberbezpečnostní situace pro platformu Android v Česku neustále proměňuje.

Kromě adwaru, který se vyznačuje zobrazováním agresivních reklam a inzerováním různých odkazů na méně či více pochybné a nebezpečné webové stránky, mohou falešné hry a aplikace šířit i závažnější typy škodlivých kódů. Škodlivý kód Spy.SpinOk je softwarový modul s funkcemi spywaru, který dokáže shromažďovat informace o souborech v napadeném zařízení a následně je odesílat útočníkům. Downloader Agent.CZB pak stahuje z internetu jiné škodlivé kódy, které v zařízení nepozorovaně spustí. Podle posledních informací by mohl mít i funkce k převzetí kontroly nad telefonem a získávání informací ze zařízení.