Malware v Google Play: Google vrací úder

Google až příliš dlouho ignoroval malware v Google Play. Nyní se však rozhodl i zde vytvořit prostředí, které odráží firemní standardy.

Množství malwaru, které na Google Play nahrávají hackeři, se zvyšuje každý den. Googlu často trvá příliš dlouho, než na to stačí zareagovat. Například v březnu 2011 byl v nejmenovaném programu trojský kůň přibližně čtyři dny, během kterých byl stažen na více než 50 000 mobilních telefonů. Problém je v tom, že pro registraci jako v App Storu od Applu zde chybí člověk. Nyní ale Google představil nástroj s názvem Bouncer, který by měl s tímto problémem pomoci.
Ten totiž v Google Play kontroluje aplikace „třetích osob“, a to jak pomocí více antivirových skenerů, tak i pomocí praktické zkoušky, kdy se prostřednictvím emulace testuje chování programu na různých mobilních telefonech. Pokud se aplikace chová podezřele, nástroj ji označí a je ještě jednou otestována přímo zaměstnancem Googlu.
Přestože Google představil Bouncer teprve nyní, nástroj prý funguje v Google Play už od loňského roku, kdy prý dokázal snížit množství škodlivého softwaru o 40 procent. Toto číslo ale podle našeho názoru není příliš důvěryhodné. Podle našich informací měl Google jen za poslední rok z marketu odstranit více než 100 aplikací s malwarem. Bohužel je zde ale ještě jeden problém: i kdyby Bouncer skutečně fungoval na jedničku, problém s malwarem to na platformě Android nevyřeší. Každý smartphone s tímto operačním systémem totiž může využít jakýkoliv alternativní „Android market“. A tam Bouncer nenajdete…

TROJSKÉ KONĚ KRADOU MILIONY POMOCÍ SMS TRIKŮ

Právě zmiňované „Android markety“ třetích stran jsou základem distribuce malwaru.
Například v únoru 2012 objevili experti společnosti Symantec trojského koně na 140 000 smartphonech distribuovaných prostřednictvím čínských obchodů s aplikacemi pro Android. Ten umožnil hackerům skrytě odesílat SMS na tzv. prémiová čísla. Zisk činil přibližně tři miliony amerických dolarů za rok. Je tedy jisté, že pokud chce uživatel smartphonu s Androidem alespoň snížit riziko instalace malwaru, bude muset používat pouze oficiální markety s kontrolou obsahu.

Foto popis |  Alternativní markety.  Stahovat aplikace z neoriginálních marketů může být levné, ale nebezpečné.


SPAMOVÉ TRENDY
Spammeři se v předchozím půlroce zaměřili na reklamy na farmaceutické produkty, jako je viagra a spol. Do konce roku se počítá se vzestupem spamu zaměřeného na seznamovací weby.

Výzkumníci hackli satelitní telefony

Doposud se věřilo, že satelitní telefony, které fungují po celém světě, jsou „bezpečné“. Výzkumníci z Institutu Horsta Görtze na Univerzitě v Bochumi, zaměřující se na bezpečnost IT, ale nyní prolomili šifrovací systém těchto telefonů. To bylo možné i díky jejich systému využívajícímu podobné kódování jako u tradičních GSM mobilních telefonů, který již byl hacknutý.
Při použití komerčně dostupných zařízení a open-source softwaru potřebovali vědci k nalezení klíče pro zachycení rozhovoru přes satelitní telefon méně než hodinu. Při analýze výzkumníci narazili na závažné chyby v zabezpečení kódovacích algoritmů A5-GMR-1 a A5-GMR-2. Pravda ale je, že pro tyto algoritmy až do současnosti neexistovala žádná alternativa. Samozřejmě že zneužití rozhovoru je možné jen teoreticky, protože kodek pro „mluvené slovo“ není veřejně k dispozici. Zaznamenat lze ale SMS a faxové zprávy. Proto se doporučuje pro předání důvěrných informací použití jiných komunikačních prostředků.


36
36 procent všech bezpečnostních expertů po celém světě věří, že kybernetická bezpečnost je důležitější než protiraketová obrana.

Doplněk prohlížeče zastavuje sběrače informací jako Facebook a další

Abine představil finální verzi svého doplňku prohlížeče „Do Not Track Plus“ (DNT +). Nástroj dokáže zastavit předávání informací o surfaři z webové stránky třetí straně. Doplněk pomocí ikony v panelu „Adresa“ zobrazí informaci, které stránky posílají data někomu jinému: například Facebooku nebo reklamním službám. Tato data DNT+ automaticky zablokuje. Nástroj je na webu abine.com k dispozici pro Chrome, Firefox, Safari a Internet Explorer.

Sledovací kamery od Trendnetu mohou být zneužity

Přibližně 30 modelů IP kamer od Trendnetu obsahuje fatální bezpečnostní chybu: videostreamy z bezpečnostních kamer, které se často používají především v soukromém sektoru, mohou být snadno sledovány z internetu. Na vině je programátorská chyba ve firmwaru. Celkem se na celém světě prodalo přibližně 50 000 takto postižených modelů. Trendnet již příslušné aktualizace firmwaru nabídl na svém webu (Trendnet.com).


DISTRIBUCE MALWARU
V loňském roce byly nejrozšířenějším malwarem trojské koně - jejich podíl dosáhl 66,18 procenta.
TROJSKÉ KONĚ     66,18 %
VIRY     11,02 %
ČERVI     9,01 %
ADWARE     8,5 %
OSTATNÍ     5,29 %


VÝSKYT INFEKCE V ROCE 2011 PODLE ZEMÍ
Mezi zeměmi s největším množstvím malwaru vede Čína se 60 procenty infikovaných počítačů.

Počítačové útoky nejen na Indii

Nejnebezpečnější hrozby neútočí na počítače obyčejných uživatelů, ale berou si na mušku vlády, firmy a vojenské cíle. Pod palbou hackerů se v posledních letech ocitla celá řada zemí.

Společnost Trend Micro vydala výzkumnou zprávu Luckycat Redux o sérii počítačových útoků na vojenské a jiné citlivé objekty v Indii, Japonsku a Tibetu, známých jako Luckycat. Hrozba Luckycat, poprvé zdokumentovaná v roce 2012 společností Symantec, měla mnohem různorodější cílovou skupinu, než se původně předpokládalo. Tvůrci Luckycat nezaměřili své útoky jen na vojenský výzkum v Indii, jak se tvrdilo, ale i na další citlivé entity v Japonsku a v Indii a významně byli zasaženi i tibetští aktivisté. Kampaň Luckycat představuje propracovanou počítačovou špionáž, která se zaměřila na různorodou skupinu více než 90 cílů. Útočníci využili široké spektrum metod, z nichž některé byly spojeny s jinými kampaněmi počítačové špionáže, a dokonce své útoky označili kódy kampaní, aby mohli sledovat jejich úspěšnost. Útočníci stojící za touto kampaní využívají různorodou infrastrukturu řízení a nejrůznější anonymizační nástroje, aby své operace zamaskovali.

ZAMĚŘILI SE ZEJMÉNA NA TATO ODVĚTVÍ A KOMUNITY:

- letectví a kosmonautika;
- energetika;
- strojírenství;
- doprava;
- vojenský výzkum;
- tibetští aktivisté.
Důkladné monitorování umožnilo společnosti Trend Micro využít některé chyby útočníků a zjistit něco o jejich identitě a schopnostech. Prvky této kampaně dokázali výzkumní pracovníci z Trend Labs vystopovat až k hackerům z Číny.
„Důkazy získané výzkumnými pracovníky Trend Micro vrhají nové světlo na povahu kampaní využívajících hrozby APT a odhalují značnou míru sdílení infrastruktury, použité pro některé z nejnovějších útoků. Tyto hrozby nejsou nazývány perzistentními (trvalými) bezdůvodně - vlny malwaru jsou vysílány v několika etapách, aby zajistily a co nejdéle udržely pozice získané v cílových organizacích. Získat podrobnější údaje o takové tajné operaci není právě snadné, a výsledný dokument tak představuje opravdu zajímavé čtení,“ uvedl Rik Ferguson, ředitel bezpečnostního výzkumu a komunikace pro region EMEA společnosti Trend Micro.

VÝZKUM TREND MICRO PŘINESL INFORMACE ZE ČTYŘ KLÍČOVÝCH OBLASTÍ:

1. Kampaně - nejedná se o jednorázové útoky, ale o „kampaně“ tvořené nepřerušovanou řadou útoků, a tak je pro získání konkrétních, spolehlivých informací o hrozbách nutné pozorně sledovat celé kampaně.
2. Různorodost - bylo zjištěno, že kybernetické útoky využívají různorodý malware, infrastrukturu a cíle. Bylo identifikováno pět „rodin“ malwaru, jimž zajišťoval hostingové, případně další podpůrné služby stejný vyhrazený server, který je využíván i kampaní Luckycat. Tato kampaň také využívá bezplatné webhostingové služby, které nabízejí nejrůznější názvy domén a adresy IP.
3. Propojení s dalšími kampaněmi - tato skupina využívala nebo poskytovala infrastrukturu pro další malwarové kampaně, které jsou spojené se staršími útoky.
4. Autoři a provozovatelé - za pomoci veřejně dostupného výzkumu dokázala společnost Trend Micro najít spojení mezi e-mailovou adresou použitou při registraci jednoho z řídicích serverů Luckycat a slavným čínským hackerským fórem Xfocus a také jistým ústavem informačního zabezpečení v Číně.

Foto popis |  Útoky na celý svět Cíle agresivního malwaru jsou především v USA, Evropě a jihovýchodní Asii.

Hrozby na sociálních sítích

Podvody se šíří napříč sociálními sítěmi - po Facebooku se podvodníci zaměřili na Twitter. Útočníci využívají pro své podvody sociální síť Facebook, to je v poslední době již dobře známá informace. Společnost AVG vydala několik varovných zpráv, které se týkaly nekalých praktik hackerů na Facebooku. Tentokrát se do jejich hledáčků dostal i Twitter, který slaví v České i Slovenské republice obrovský nárůst uživatelů. Twitter zaznamenal na své síti ostrou diskusi o AVG a jeho bezpečnostních produktech. Tweety obsahovaly link schovaný pod zkratkou a nabádaly uživatele, aby stránku vyzkoušel a stáhl si antivirový program. Stránka, na kterou byl uživatel přesměrován, vypadala jako oficiální stránka AVG. Uživatel si proto v dobré víře stáhl antivirový program a vůbec netušil, že byl přesměrován na malware. Pouze detailní průzkum grafických prvků a linků stránky odhalí, že se jedná o padělek, tzv. falešný antivirus. Tým AVG Threat Lab potvrdil, že se v této souvislosti zabývá i dříve neznámým falešným antivirovým softwarem. Dobrou zprávu ovšem je, že se týmu podařilo vydat takový update, aby byli uživatelé AVG proti této nebezpečné napodobenině chráněni. AVG také nadále spolupracuje s Twitterem na odstranění škodlivého linku ze sociální sítě.

Foto popis |  Takto pak vypadá podvodná stránka. Výhodou pro nás je, že je pouze v anglickém jazyce. Oproti oficiální AVG stránce, která je v deseti jazycích, včetně českého.

Nebezpečný Justin Bieber

Justin Bieber je stále internetová hvězda a drží se na špici žebříčku s celebritami, jejichž jméno je využíváno k podvodům. Cokoliv je spojeno s jeho jménem, láká tisíce uživatelů po celém světě k naprosto nerozumnému chování. Tentokrát výzkumníci z AVG narazili na e-mail oznamující, že byla v Justinově pokoji tajně nainstalována skrytá kamera. Ten, kdo si chce video prohlédnout, ho musí nejprve nasdílet na svoji zeď na Facebooku. Ani pak se však nedočká, vyskočí mu anketa, kterou musí vyplnit, popř. ověřit platnost facebookového účtu. Mnoho lidí bohužel anketu vyplní pravdivě, a v té chvíli se tyto citlivé osobní informace dostávají do rukou kyberzločince. Ani po vyplnění ankety se video, které ve skutečnosti neexistuje, nespustí.

Záhadný jazyk Duqu identifikován

Odborníkům společnosti Kaspersky Lab se podařilo identifikovat dosud neznámý programovací jazyk nalezený v Payload DLL trojského koně Duqu. I díky pomoci programátorské komunity zjistili, že Duqu Framework sestává ze zdrojového kódu C kompilovaného v Microsoft Visual Studiu 2008 se speciálními možnostmi optimalizace velikosti kódu a řádkového rozvoje (takzvané inline expansion). Kód byl navíc napsán s upravenou extenzí pro kombinaci objektově orientovaného programování s jazykem C, jež je označována jako „OO C“. Sekce s neznámým kódem, pojmenovaná „Duqu Framework“, tvoří část Payload DLL, jež po infikaci zařízení zajišťovala komunikaci trojského koně s řídicími (C&C) servery. Tento způsob vysoce sofistikovaného programování se spíše než v malwaru uplatňuje v komplexních „civilních“ softwarových projektech. Ačkoli zatím chybí jednoduchá odpověď na otázku, proč byl pro Duqu Framework použit OO C namísto C++, existují dva důvody, které za touto volbou mohly stát:
* Lepší kontrola nad kódem: Po uvedení jazyka C++ řada programátorů „ze staré školy“ tuto novinku nepřijala kvůli nedůvěře v přidělování paměti a dalším novým prvkům, které vyvolávají nepřímé spuštění kódu. OO C by tak představoval spolehlivější variantu s menším rizikem nečekaného chování.
* Vysoká přenositelnost: Před asi 10 - 12 lety nebyl jazyk C++ plně standardizován a některé C++ kódy tak nemusely být kompatibilní s každým kompilátorem. Použití jazyka C zajišťuje vysokou přenositelnost programu, protože mu umožňuje fungovat na všech existujících platformách bez omezení spojených s jazykem C++.
„Tyto dva důvody nasvědčují tomu, že byl kód napsán týmem zkušených vývojářů „ze staré školy“, jejichž cílem bylo vytvořit speciální framework pro vysoce flexibilní a přizpůsobivý škodlivý software.
Společnost Kaspersky Lab by tímto chtěla poděkovat všem, kteří se na identifikaci neznámého kódu podíleli. Kompletní zpráva o závěrech analýzy, jejímž autorem je Igor Sumenkov, je k dispozici na webu Securelist.com.


DATOVÉ ÚNIKY MĚSÍCE

PROVOZOVATEL YOUPORN: BYLO UKRADENO 350 000 UŽIVATELSKÝCH DAT

Hacker z Maroka přiznal, že ukradl asi 350 000 záznamů obsahujících jména a poštovní adresy uživatelů Brazzers a dalších pornografických webových stránek. Lucemburská firma Manwin, která má ve svém portfoliu také známý web YouPorn, únik dat vyšetřuje. Mluvčí firmy Kate Millerová slíbila poškozeným uživatelům jako kompenzaci volný přístup ke dvěma firemním „službám“.

FOXCONN: UKRADENA UŽIVATELSKÁ DATA

Foxconn, přední světový výrobce elektroniky, se zřejmě stal obětí hackerského útoku. Podle prohlášení firmy byl odhalen průnik do intranetu, kde se nachází přístupové údaje o zákaznících firmy Foxconn: mezi nimi najdete například i Microsoft, Intel, IBM, Apple nebo Dell. Kvůli tomu mohlo dojít ke špatnému odeslání zásilek na chybné jméno zákazníka. Příslušný webový server byl dočasně vypnut.

TROJSKÝ KŮŇ: ZTRACENO VÍCE NEŽ 20 000 ZÁZNAMŮ

Pomocí trojského koně Infostealer. Offsupload ukradli neznámí lidé z různých počítačů více než 20 000 souborů obsahujících osobní údaje. Trojský kůň shromažďoval hesla z Opery, Firefoxu a Thunderbirdu, stejně jako soubory Wordu a Excelu. Poté vše zkomprimoval do zaheslovaného archivu, který odeslal na web hackerů. Útokem byli postiženi převážně uživatelé z USA.