O malwaru na Androidu bychom u nás na webu mohli psát prakticky neustále, tentokrát se však podíváme na specifický druh škodlivého softwaru, který trochu vybočuje. Aplikace označené jako „stalkerware“ jsou instalovány do telefonů potají, a skryty tak, aby se na ně nepřišlo. A tyto aplikace dokáží na pozadí zaznamenávat protokoly volání, textové zprávy, fotografie, historii prohlížení webu, lokalizační data a další záznamy z telefonu bez vědomí jeho uživatele.
Web Techcrunch neodhalil jen jednu aplikaci, ale dokonce celou síť aplikací, za nimiž stojí podpůrná serverová architektura, kterou spravuje vietnamská společnost 1Byte. Na Androidu existuje minimálně devět těchto aplikací s roztodivnými názvy - Copy9, MxSpy, TheTruthSpy, iSpyoo, SecondClone, TheSpyApp, ExactSpy, FoneTracker a GuestSpy.
Co je to stalkerware?
U smartphonů již známe malware či spyware, pro někoho tak může být pojem „stalkerware“ trochu matoucí. Ve zkratce se jedná o software, který shromažďuje v telefonu osobní údaje, fotografie a další soubory a ty následně přeposílá na servery útočníka. Stalkerware se dokáže účinně maskovat za „neviditelné“ aplikace či systémové služby, a tak může být problém jej vůbec v telefonu lokalizovat, natož efektivně odstranit.
Ač mají rozdílná jména, mají všechny stejné rozhraní. Po instalaci, povolení potřebných oprávnění a aktualizaci systémové služby mají vývojáři přes webový dashboard přístup k datům v napadeném telefonu v reálním čase. Protože je však rozhraní aplikací a přístup ve všech případech stejný, objevil zdroj u webové služby zranitelnost IDOR. A díky ní se podařilo zjistit, že služba již zcizila data minimálně 400 tisíc uživatelů z celého světa! A funguje vesele dál.
Stalkerware je celosvětový byznys
Za každou z výše uvedených aplikací stojí fiktivní webové stránky, které se tváří jako web firmy pro outsourcing softwaru, která zaměstnává stovky zaměstnanců a má mnohaletou historii. Všechny weby jsou ale hostovány na stejném serveru, a z toho se podařilo dohledat spojitost s jednotným frameworkem, který posílá data do firmy 1Byte. Ta se maskuje všemi možnými způsoby, podle lokace vašeho přístupu na web náhodně vybírá adresu a stát sídla firmy, e-maily jsou zase registrovány s fotografiemi jiných osob.
Android tedy i tentokrát tahá za kratší konec, protože platforma umožňuje instalaci pokoutně stažených balíčků z webu. A ty mohou obsahovat zmiňovaný stalkerware. iOS je na tom o něco lépe, protože App Store důsledněji hlídá podezřelé aplikace, ovšem ne vždy se to daří na sto procent. Pokud má tedy váš smartphone symptomy možného sledování (viz níže), je třeba jednat rychle, pokud nechcete, aby někdo odcizil vaše soukromé informace. Antivirus škodlivou aplikaci odhalit nemusí, a tak je prakticky jediným řešením obnovení telefonu do továrního nastavení. Předtím si ale svá data zazálohujte.
Jak v telefonu poznat stalkerware?
Indicií, jak v telefonu poznat stalkerware, může být hned několik. Jednou z prvních jsou podivné zvuky na pozadí v průběhu volání, a to i při maximálním signálu. Telefon se také může v době zdánlivé neaktivity dost zahřívat, což může být důsledek toho, že odesílá velké množství (vašich) dat na server. Často se také na telefonu sama zapne GPS, byť ve většině případů si ji zapne sama aplikace. Obezřetnost je však vždy na místě.
Jak se tedy stalkerwaru účinně bránit? Rozhodně mějte svůj telefony vždy pod dohledem, používejte PIN nebo biometrické zabezpečení, a nesdílejte přihlašovací údaje ke svým účtům. Nemějte na telefonu root ani jailbreak, aplikace pak stahujte výhradně z Google Play či App Storu. Hodí se mít také aktualizovaný systém či pravidelně sledovat a upravovat nastavení soukromí na Google účtu či na sociálních sítích. Google vás také dokáže upozornit na to, že proběhlo přihlášení z nového zařízení, a pokud jej nepoznáváte, může to znamenat třeba to, že bylo prolomeno vaše hlavní heslo.
Zdroj Techcrunch via kb.cert