Uživatelé smartphonů a tabletů s Androidem se ocitli v hledáčku kybernetické mafie. Tato platforma díky své otevřenosti usnadňuje kybernetickým zločincům infiltrovat zařízení malwarem. Jaké kroky proti tomu Google podniká a jak se můžete bránit sami?
Pro majitele počítačů s Windows je prakticky samozřejmostí, že používají antivirový software. Jen menšina z nich má odvahu spolehnout se jen na bezpečnostní funkce vestavěné v operačním systému. V případě smartphonů je ale situace zcela odlišná - alespoň tedy v současné době. Svoje mobilní zařízení chrání před škodlivým softwarem jen velmi málo uživatelů. Následky ale mohou být velmi nepříjemné, protože smartphony se stávají stále častějším cílem kybernetických zločinců, kteří se zajímají o naše osobní data. Další nebezpečí pak samozřejmě spočívá i v tom, že prostřednictvím svých smartphonů stále častěji nakupujeme na internetu a platíme kartami a třeba také obsluhujeme svoje bankovní účty.
Bezpečnostní rizika Androidu
Z pohledu bezpečnostních expertů jsou zařízení s Androidem pro hackery obzvláště zajímavá. A to především kvůli tomu, že Google vytvořil Android jako značně otevřenou platformu, do které je, například v porovnání s operačním systémem iOS od Applu, jednodušší proniknout s malwarem. Apple se tomuto problému brání mnohem důsledněji, takže prostřednictvím tzv. sandboxingu navzájem separuje jednotlivé aplikace. Je to sice omezující, ale právě díky této vlastnosti je mobilní operační systém od Applu výrazně bezpečnější. Nicméně toto oddělení aplikací v iOS zároveň znamená, že ani antivirové programy od renomovaných dodavatelů nemohou přistupovat k dalším instalovaným aplikacím a prověřit je, zda neobsahují škodlivý kód. Majitelé iPhonů a iPadů se zkrátka musí spolehnout na Apple a jeho systém prověřování aplikací před jejich vystavením v App Storu.
Německý institut AV-Test v jedné ze svých aktuálních studií uvádí, že vývoj malwaru pro jiné mobilní platformy než Android se „jednoduše nevyplatí“. Mezi lety 2015 a 2016 se přitom množství malwaru pro Android zdvojnásobilo. A také v letošním roce počet objevených druhý škodlivého softwaru pro Android dále roste (viz graf). Od počátku sledování v roce 2011 do letošního srpna identifikoval AV-Test už více než 22 milionů typů malwaru pro Android. Oproti tomu podíl malwaru pro iOS a Windows Mobile je „stále pod významnějším procentním podílem“, jak uvádějí bezpečnostní experti ve své výroční studii.
Infikované aplikace v Obchodě Play
Odkud se ale malware pro Android bere? Největším zdrojem škodlivého softwaru jsou zmanipulované webové stránky. Během návštěvy těchto stránek zneužije škodlivý kód některou ze zatím neošetřených bezpečnostních mezer v internetovém prohlížeči a skrytě instaluje do smartphonu malware či jinou nebezpečnou aplikaci. Další cestu malwaru po mobilních zařízeních představují nevyžádané e-maily s infikovanými přílohami a výjimkou není ani malware maskovaný v aplikacích dostupných v Obchodě Play. Bohužel případy, kdy se do Obchodu Play podaří propašovat aplikaci obsahující škodlivý kód, se objevují poměrně často. Přímo Google jen letos v létě odstranil z Obchodu Play hned dvě desítky aplikací obsahujících spyware. Špehovací aplikace z rodiny Lipizzan byly schopné kromě jiných dat krást i SMS zprávy, e-maily či fotografie. Google přitom uvádí, že tyto aplikace nakazily po celém světě jen asi stovku smartphonů.
Miliony stažení
Zaměstnanec Kaspersky Lab oproti tomu detekoval v Obchodě Play malware skrytý hned v několika různých aplikacích, které celkem zaznamenaly více než milion stažení. Jako škodlivý kód byl v tomto případě použit trojský kůň Ztorg. Podle odborníků firmy Kaspersky sázeli kybernetiční kriminálníci na velmi špinavý trik: nabízeli peníze či bonusové body uživatelům původně neškodných aplikací, pokud si stáhnou a instalují ještě další aplikace. Napálení uživatelé si tedy dobrovolně stáhli do svého zařízení aplikaci se škodlivým kódem.
Také firma Lookout, poskytovatel bezpečnostních řešení, varoval před asi 4 000 špehovacími aplikacemi, které se jí podařilo detekovat. Část z nich byla přitom k dispozici ke stažení v Obchodě Play, maskována jako neškodné komunikační aplikace. Počet stažení těchto aplikací se údajně pohybuje ve čtyřmístných číslech.
Trochu jiný trik používají kriminálníci ze skupiny nazývané Hiddad. Zkopírují neznámé aplikace s funkcemi zajímavými pro uživatele, opatří je novým zevnějškem, přibalí k nim škodlivý kód a pak je nabídnou ke stažení například prostřednictvím obchodů s aplikacemi provozovaných třetí stranou. Mnoho z těchto alternativních poskytovatelů mobilních aplikací pro Android má totiž mnohem slabší bezpečnostní opatření ve srovnání s oficiálním Obchodem Play. Podle informací od bezpečnostních expertů slouží malware Hiddad zpravidla pro zobrazování reklam, prostřednictvím kterých útočníci získávají peníze, aniž by museli vyvinout nějak zvlášť kreativní úsilí. Je ale jen otázkou času, než bude Hiddad schopen škodit i jinými způsoby. V současné době je tento malware schopen extrahovat a vynášet osobní data majitelů androidových zařízení.
Pozor na nové aplikace
Uvedené příklady ukazují, že ani instalace aplikací z údajně bezpečných obchodů nemusí být zárukou, že se v aplikacích skutečně nenachází žádný škodlivý kód. I když drtivá většina nabízených aplikací žádné škodliviny neobsahuje, stejně by měli být uživatelé Androidu obezřetní a dávat si pozor na podezřelé nabídky, například v podobě aplikací a her slibujících něco zdarma. V oblasti zabezpečení se zkrátka vyplatí být trochu paranoidní.
Nebezpečí malwaru pro Android
Majitelé zařízení s Androidem ale nemusí čelit jen problémům spojeným s určitým druhem škodlivého softwaru. Škála hrozeb mířících na jejich smartphony zahrnuje třeba i spyware, adware a trojské koně, v porovnání s Windows je ale zatím tolik neohrožuje vyděračský ransomware. Podle studie institutu AV-Test byl v roce 2017 nejvíce aktivní spyware z rodiny Agent. Tento malware se nejčastěji rozšiřuje prostřednictvím nakažených webových stránek, ve smartphonech nepozorovaně otevírá zadní vrátka a následně vynáší osobní data nebo odesílá drahé Premium SMS - samozřejmě na náklady majitele smartphonu.
Na třetím místě se dle AV-Testu v aktivitě umístily trojské koně z rodiny Shedun, které získají přístup k tzv. bezbariérovým funkcím Androidu a pak je zneužívají pro špehování obsahu obrazovky a k přesvědčení uživatelů, aby klepnuli na tlačítka se zmanipulovanými funkcemi, zobrazovaná v reklamních bannerech. Příklad malwaru Shedun ukazuje, na co se kyberzločinci dnes soustředí: chtějí vydělat hodně peněz s minimálním úsilím. Jednoduché poškození nebo smazání dat se stává spíše výjimkou.
Honba za penězi
Že jde kybernetickým útočníkům především o peníze, to ukazuje i malware z kategorie označené BankBot. Tyto bankovní trojany se kamuflují za kompletně funkční androidové hry, dostupné ke stažení v Obchodě Play. Zároveň je v nich ale skrytý i škodlivý kód. Tyto bankboty již v Obchodě Play několikrát identifikovali experti ze společnosti Eset a Google je samozřejmě následně odstranil. Zatím poslední varianta, odhalená letos v září, se maskovala jako hra Jewels Star Classic. Než byla Googlem z Obchodu Play odstraněna, stáhlo si ji přes 5 000 uživatelů. Asi 20 minut po instalaci této zmanipulované hry si malware vyžádá nutnou instalaci údajného doplňku „Google Service“. Kyberzločinci dokonce připravili licenční podmínky, které je třeba odsouhlasit, a následně si jejich malware vyžádá poměrně rozsáhlá oprávnění, která mu umožní například i skrytou instalaci dalšího škodlivého kódu a následné špehování a vynášení dat z mobilního zařízení. Tento malware je navíc schopen i zmanipulovat finanční transakce a získat údaje z platebních karet
Jak jsme již zmínili, ransomware je ve světě smartphonů zatím jen raritou. Pokud už ale zaútočí, jsou následky jeho působení značné. Takže například vyděračská aplikace Lockscreen uzamkne obrazovku mobilního zařízení a žádá výkupné za jeho opětovné zpřístupnění. Právě Lockscreen také dokazuje, jak kyberzločinci svůj škodlivý software průběžně vylepšují. První odhalené verze měly například pevně přednastavený PIN, kterým bylo možné napadené zařízení odemknout. PIN se podařilo bezpečnostním expertům najít ve zdrojovém kódu malwaru. Zatím poslední verzi ale už nelze takto snadno obelstít. Lockscreen totiž už umí získat oprávnění administrátora a potají změnit konfiguraci smartphonu.
Lepší zabezpečení Androidu
Výše popisovaný malware by nebyl tak úspěšný, pokud by tak velký podíl smartphonů nepoháněly zastaralé verze Androidu. Podle údajů z letošního září, pocházejících přímo od Googlu, má jen zcela zanedbatelný podíl smartphonů Android ve verzi 8, a dokonce jen 1,6 procenta androidových smartphonů pohání operační systém ve verzi 7.1. Jen 14,2 procenta androidových smartphonů má Android 7.0. Zbývajících asi 84,2 procenta smartphonů má instalovanou zastaralou verzi Androidu, prakticky bez šance na jakoukoli budoucí bezpečnostní aktualizaci.
Oreo přinese zlepšení, zásadní problém ale zůstane
Letos uvedená verze Android 8.0 (označovaná jako Oreo) nepřinese v záležitosti aktualizací žádnou zásadní změnu. Google na Android 8 aktualizoval svoje smartphony Pixel a novější modely řady Nexus, ostatní výrobci však nabídnou update operačního systému zpravidla jen pro své nejdražší modely. Majitelé běžných smartphonů mohou na přechod na Android 8 v klidu zapomenout.
Google ale již ohlásil novinky, které do budoucna slibují zlepšení v oblasti zabezpečení androidových smartphonů. Aktualizací se konkrétně týká technologie, kterou Google nazývá jako Project Treble. Tato část operačního systému by měla zajistit, že specifické ovladače a firmwary pro hardware od různých výrobců již nebudou přímo propojeny s operačním systémem. Google by pak nemusel u každé bezpečnostní aktualizace řešit její kompatibilitu se smartphony všech výrobců. Může se bez spolupráce s výrobci klidně obejít a aktualizace distribuovat samostatně. V budoucnu by tedy mohly bezpečností aktualizace dostávat i smartphony, u kterých jejich výrobci již ukončili technickou podporu. Stále však platí, že aby mohly smartphony různých výrobců tuto vlastnost Androidu 8 využít, musí jej samozřejmě mít nejprve instalovaný. Tato novinka se tedy vůbec netýká drtivé většiny v současnosti provozovaných smartphonů.
Menší prostor pro útok
Dalším důležitým opatřením pro vylepšení bezpečnosti Androidu je vzájemné oddělení důležitých komponent operačního systému. Díky tomu by se snížil potenciální dopad neošetřených bezpečnostních mezer. Například v roce 2015 ošetřili někteří mobilní operátoři zranitelnost označovanou jako Stagefright omezením služby MMS. Google přitom prohlašoval, že tato bezpečnostní mezera nebyla v praxi nikdy zneužita. Pověsti Androidu, pokud jde o jeho zabezpečení, to ale samozřejmě příliš nepomohlo.
Android 8.0 Oreo má i funkci Seccomp filter, která by měla hned v zárodku omezit nechtěná a potenciálně nebezpečná volání systémových funkcí. Kromě toho je nová verze Androidu ošetřena například i proti malwaru, zneužívajícímu zmíněné funkce pro bezbariérové ovládání, a tedy například manipulujícímu s funkcemi tlačítek zobrazovaných na displeji.
Další opatření plánovaná pro Android 8 Oreo zahrnují omezení možnosti instalace infikovaných aplikací z Obchodu Play i dalších zdrojů. Brzy bude muset uživatel explicitně potvrdit instalaci jakékoli neznámé aplikace. Google tímto opouští svůj dřívější princip „Všechno, nebo nic“. Do budoucna má tvůrce Androidu blokovat i otravná vyskakovací okna, za jejichž odstranění si nechávají kyberzločinci platit. V novém Androidu už žádná aplikace nezíská oprávnění potřebná ke zneužití tohoto typu systémových oznámení.
Výhled a okamžitá opatření
Zatím se s Androidem 8 Oreo setkáte jen v několika málo modelech smartphonů přímo od Googlu a v následujících šesti měsících snad i v nejdůležitějších modelech předních výrobců (již dnes má Android 8 například Sony XZ1 (Compact), Huawei Mate 10 Pro). Pravděpodobně ale bude trvat roky, než bude mít nové bezpečnostní funkce Androidu k dispozici většina majitelů s tímto celosvětově nejrozšířenějším operačním systémem.
Do té doby nezbývá než doporučit majitelům androidových zařízení se staršími verzemi operačního systému velmi obezřetný přístup k instalaci nových aplikací a pak také instalaci spolehlivého mobilního antiviru. Německý institut AV-Test mobilní antiviry pro Android otestoval, pokud jde o jejich spolehlivost při detekci malwaru, ochranu před neoprávněnou manipulací se smartphonem i celkovou použitelnost a další funkce. Celkově můžeme konstatovat, že hlavní bezpečnostní aplikace pro Android v tomto testu uspěly. Náš vlastní test mobilních antivirů potvrdil závěry AV-Testu s jedinou výjimkou v podobě slabší úspěšnosti při detekci škodlivého kódu mobilním antivirem Kaspersky.
Play Protect: Ochrana pro starší verze Androidu
S nedávno uvedenou službou Play Protect přišel Google s užitečným nástrojem, který pomůže zvýšit zabezpečení i v případě smartphonů se staršími verzemi Androidu. Google posílil bezpečnostní kontroly, které již dříve probíhaly u aplikací v Obchodě Play, dříve než byly nabídnuty uživatelům ke stažení a instalaci. Služba Play Protect nyní prověřuje všechny instalované aplikace, bez ohledu na to, zda pochází z Obchodu Play či jiného zdroje. V případě nutnosti mohou být škodlivé aplikace také rovnou odstraněny. Omezena byla také možnost stahování dalšího kódu prostřednictvím již instalovaných aplikací. Aplikace jej již nemohou provádět nepozorovaně samy, ale uživatel musí každé stažení nových dat aplikací potvrdit.
Přes veškerou snahu Googlu a ostražitost uživatelů androidových smartphonů je třeba počítat s tím, že i kybernetičtí zločinci přijdou s novými triky, jak vylepšené zabezpečení obelstít. Nejsnazší cesta přitom stále vede přes samotné uživatele, které se podaří přesvědčit, aby si nějakým způsobem stáhli malware do svého zařízení sami.
***
CHIP TOP 10: ANTIVIRY PRO ANDROID
Celkové hodnocení Orientační cena (Kč) Detekce malwaru (60 %) Výkon (30 %) Falešné poplachy (10 %) Odcizení smartphonu (uzamknutí/vymazání/lokalizace) Blokování hovorů Filtrování zpráv Bezpečné surfování Rodičovská ochrana Ochrana dat Detekce malwaru pro Android Detekce malwaru pro Android v reálném čase Detekce potenciálně nechtěných aplikací Zátěž na CPU: web Zátěž na CPU: video Zátěž na CPU: PDF Zátěž na CPU: v klidu Použitelnost: Aplikace z Obchodu Play
1 Antiy AVL
99,9 - 99,8 100 100 */*/* (* * * * * 100 % 100 % 99,8 % 0,0 % 0,0 % 0,0 % 0,0 % 100 % 100 % 37743
2 Sophos Security Mobile
99,6 - 100 98,5 100 */*/* * * * * * 100 % 100 % 100 % 0,1 % 0,0 % 0,0 % 0,7 % 100 % 100 % 7.0.2288
3 G Security Data Internet
97,8 400* 99,0 94,9 100 */*/* * * * * * 100 % 100 % 99,0 % 0,2 % 0,2 % 0,2 % 2,1 % 100 % 100 % 26.0.5.cf469a72
4 BitDefender Security Mobile
96,7 260* 96,8 95,6 100 */*/* * * * * * 100 % 100 % 96,8 % 0,3 % 0,2 % 0,3 % 0,1 % 100 % 100 % 3.2.94.177
5 Tencent WeSecure
94,3 - 90,6 99,8 100 */*/* * * * * * 100 % 100 % 90,6 % 0,0 % 0,0 % 0,0 % 0,2 % 100 % 100 % 1.4.0.505
6 AhnLab Security V3 Mobile
93,3 - 89,6 98,4 100 */*/* * * * * * 99,9 % 99,9 % 96,4 % 0,0 % 0,0 % 0,0 % 1,4 % 100 % 100 % 3.1.11.4
7 Symantec Mobile Security Norton
93,3 780* 90,0 97,6 100 */*/* * * * * * 100 % 100 % 77,8 % 0,2 % 0,0 % 0,2 % 0,0 % 100 % 100 % 3.20.0.3291
8 Trend Security Micro Mobile
92,0 500* 98,0 77,3 100 */*/* * * * * * 100 % 100 % 98,6 % 1,1 % 0,8 % 1,3 % 3,3 % 100 % 100 % 38025
9 McAfee Security Mobile
87,6 780* 87,8 83,0 100 */*/* * * * * * 100 % 100 % 83,2 % 0,7 % 0,2 % 0,8 % 6,4 % 100 % 100 % 4.9.1.440
10 Kaspersky Security for Lab
Android Internet 87,2 400* 78,8 99,8 100 */*/* * * * * * 99,8 % 99,9 % 85,8 % 0,0 % 0,0 % 0,0 % 0,0 % 100 % 100 % 11.13.4.835
Všechna Výborný hodnocení (100-90,0) v bodech Velmi (max. dobrý 100); (89,9-* ano 75,0) * ne Dobrý c Chip (74,9-tip 60,0) * Cena testované Dostačující verze (59,9-zahrnuje 45,0) nákupy Nelze v doporučit aplikaci (44,9-0)
***
Nebezpečí z alternativních obchodů s aplikacemi
Zní to velmi lákavě: v Androidu můžete snadno povolit instalaci aplikací z neznámých zdrojů. Jde především o aplikace, které z nějakého důvodu není možné instalovat z oficiálního zdroje, tedy z Obchodu Play. Občas jde například i o aplikace, které jsou v Obchodě Play nabízeny jako placené, ale jinde je můžete pořídit za nižší cenu, nebo i zcela zdarma. Bohužel ale není výjimkou, že si uživatelé tímto způsobem do svého zařízení instalují nelegální kopie placených aplikací a her, často obsahující malware. Většina alternativních obchodů s aplikacemi navíc nemá ani zdaleka tak pečlivé mechanismy detekce škodlivého softwaru, jako má nasazeny Google v Obchodě Play. Právě proto se malware nejčastěji dostane do mobilního zařízení právě prostřednictvím aplikace z neznámého zdroje. Podle průzkumu společnosti G Data z roku 2015 je až 25 procent aplikací z alternativních zdrojů infikováno malwarem nebo má nějaké nežádoucí funkce.
***
Top 10 malwaru pro Android za rok 2017
Bezpečnostní experti letos odhalili několik milionů nových variant škodlivého softwaru.
Název Počet Popis
Agent 1 320 343 Spyware, který hledá a vynáší osobní data
Lockscreen 355 994 Ransomware blokující obrazovku
Shedun 345 477 Trojský kůň, který vkládá reklamy a vynáší data
Triada 165 280 Trojský kůň skrývající se v operační paměti
Boogr 124 746 Trojský kůň, který vynáší data
Congur 117 194 Ransomware, který změní PIN smartphonu
Smforw 67 471 Trojský kůň, který vynáší data
Fakeapp 63 142 Trojský kůň, který vkládá reklamy a vynáší data
Smsspy 60 737 Malware, který napadá a přesměrovává příchozí SMS
Fakeinst 52 534 Trojský kůň, který posílá drahé Premium SMS
Zdroj: AV-TEST Institut
***
Bezpečnostní mezery v Androidu
V některých případech by mohlo k infikování mobilního zařízení malwarem stačit, aby se majitel smartphonu s Androidem podíval na neškodné video. Již mnoho let se Google snaží odhalit a ošetřit všechny bezpečnostní mezery spojené s využíváním multimédií v Androidu. Bezpečnostní problémy jsou přitom spojené především s přehráváním videí. Naposledy letos na podzim vydal Google sérii bezpečnostních záplat, kterými chtěl odhalené kritické mezery ošetřit. Kromě funkcí pro práci s multimédii jsou kyberzločinci zneužívány i služby a funkce spojené s tzv. přístupností. Úlohou těchto funkcí je zjednodušit ovládání smartphonů handicapovaným uživatelům. Hackeři ale zneužili mezery v těchto funkcích pro zmanipulování obsahu zobrazovaného na displeji mobilního zařízení. Tato metoda se nazývá Clickjacking a je využívána k vytěžování peněz z reklam, aniž by uživatel věděl, že na ně klepnul.
***
Problémy s aktualizacemi
Jeden z největších bezpečnostních problémů Androidu spočívá v tom, že Google sice připraví záplaty na ošetření odhalených bezpečnostních mezer, ale výrobci smartphonů vůbec neřeší aktualizace jejich operačního systému. Je pro ně přednější chrlit nové modely smartphonů než investovat čas a peníze do již prodaných přístrojů. I do nových modelů nasazují novější Android často s velkým zpožděním. Mnoho informací není známo ani o aktualizaci na nový Android 8 Oreo. Zatím jej dostaly smartphony Pixel a Nexus 5X a 6P od Googlu, stejně jako Sony XZ1 a XZ1 Compact nebo Huawei Mate 10 Pro. HTC slibuje aktualizaci pro své modely 10, U11 a U Ultra, OnePlus plánuje aktualizovat modely 3 a 3T a Asus aktualizuje svoje smartphony řady Zenfone 3 a 4. Samsung svoje plány aktualizací na nový Android zatím neohlásil.
Foto popis| Vývoj malwaru pro Android V minulých letech zásadně narostl počet identifikovaných druhů malwaru útočícího na zařízení s operačním systémem Android. Nyní roste počet nových typů malwaru o půl milionu ročně.
Foto autor| Zdroj: AV-TEST Institut
Foto popis| Špinavé triky Kyberzločinci se snaží propašovat malware do smartphonů velmi rafinovaným trikem. Zcela neškodná aplikace 1 slibuje odměny za instalaci dalších aplikací 2 . Tento software už ale obsahuje trojského koně.
Foto popis| Víceúrovňový útok bankovního trojského koně BankBot se dostane do operačního systému v několika krocích: 1 Nejprve se malware tváří jako nezbytná služba Googlu (Google Service). 2 Později se pokusí ukrást údaje z platební karty.
Foto popis| Zastoupení verzí Androidu Data poskytnutá letos v září přímo Googlem ukazují, že v průměru jen každý sedmý smartphone s Androidem je vybaven alespoň trochu aktuální verzí operačního systému.
Foto autor| Zdroj: Statista
Foto popis| Aktualizace znamenají lepší zabezpečení Novější verze Androidu vždy nabízejí větší zabezpečení zařízení, na kterém tento operační systém běží 1 . Bohužel jen kolem 15,8 procenta zařízení je vybaveno Androidem 7 a vyšším (verzi 7.1.1 má jen 1,6 procenta androidových smartphonů). Nová služba Play Protect 2 má smartphony chránit před malwarem skrytým v aplikacích.
Foto popis| V souvislosti s využíváním multimédií v Androidu zacelil Google celou řadu kritických bezpečnostních chyb, postihujících Media Framework.
Foto popis| Instalaci aplikací z neznámých zdrojů by asi v Androidu nemělo být tak snadné povolit. Právě toto je nejčastější cesta malwaru do smartphonu.
Foto popis| Antiviry pro Android Německý institut AV-Test prověřil antivirové aplikace pro Android: 1 Virový skener od společnosti Sophos dokázal identifikovat 100 % aktuálních vzorků malwaru. 2 Na chvostu našeho žebříčku skončil mobilní antivir Kaspersky, který měl s detekcí škodlivého softwaru problémy.
O autorovi| ANDREAS TH. FISCHER, RADEK KUBEŠ, autor@chip.cz