Malvér GhostSpy špehuje každý aspekt tvojho smartfónu. POZOR! Dostať ho zo zariadenia je takmer nemožné
Bezpečnostní analytici varujú pred novým malvérom GhostSpy, ktorý útočí cez podvodné aplikácie a veľmi ťažko sa dostáva zo zariadenia von.
Bezpečnostní experti z CYFIRMA odhalili hackerskú kampaň, prostredníctvom ktorej sa šíri zákerný GhostSpy RAT malvér. Ide o vysokorizikový útok, ktorý sa dokáže vyhnúť odhaleniu a dokáže sa udržať v systéme.
Keďže ide o RAT, alebo Remote Access Trojan, hackerom poskytuje zadné vrátka do tvojho zariadenia a kompletnú kontrolu nad ním. K tomu, ako už aj názov malvéru indikuje, je vybavený sofistikovanými špionážnymi funkciami. Útok sa začína neškodnou aplikáciou, ktorá slúži ako dropper a po stiahnutí cez falošnú aktualizáciu sťahuje do zariadenia GhostSpy RAT.
Aplikácia automaticky získa všetky potrebné povolenia tým, že simuluje interakcie užívateľa. V praxi si teda hacker sám dokáže potvrdiť povolenia škodlivej aplikácie a užívateľ sa o ničom nemusí dozvedieť. Keď sa malvér úplne nainštaluje a začne pracovať, hackerom ponúka množstvo špionážnych funkcií. GhostSpy má keylogging funkcie, teda dokáže zaznamenať stlačenia tvojej klávesnice. Okrem toho zaznamenáva obrazovku a cez mikrofón dokáže zaznamenávať aj zvuky okolo mobilu a cez kameru ťa vie špehovať.
Popri tom monitoruje prichádzajúce SMS správy a hovory a zaznamenáva aj tvoju GPS polohu. Hacker tiež dokáže malvéru poslať nový škodlivý kód, ktorý mu pridá ďalšie funkcionality.
Zákerný malvér sa nedá odstrániť
GhostSpy je vybavený viacerými funkciami, ktoré komplikujú alebo úplne znemožňujú odinštalovanie. Malvér útočí aj na bankové aplikácie klasickým overlay útokom. Dostáva sa cez bezpečnostné funkcie, ktoré zabraňujú bežným programom zobraziť overlay obrazovku na celý displej smartfónu, zatiaľ čo banková aplikácia beží.
Neprehliadni
“Smartfóny sú centrálnou technológiou pre moderný digitálny život a preto sú aj lákavým cieľom pre kyberzločincov. Android malvér sa za posledné obdobie vyvíja míľovými krokmi a hackeri prichádzajú na nové nebezpečné techniky, ako zneužívanie systémového API, automatizované UI interakcie, či dynamickú prácu s povoleniami. Všetky tieto útočné metódy dovoľujú hackerom obísť bezpečnostné systémy smartfónov a udržať sa v infikovanom zariadení,” vysvetľujú bezpečnostní analytici.
V prípade malvéru GhostSpy sa uzatvára spojenie medzi infikovaným smartfónom a hackerským C2 serverom okamžite po aktivácii malvéru cez falošnú aplikáciu. Hacker následne môže malvéru zadávať rôzne príkazy, ktoré popri bohatých špionážnych funkciách zvyšujú nebezpečenstvo škodlivého softvéru.
Hackeri využívajú rôzne falošné aplikácie ako dropper a tieto aplikácie pravidelne obmieňajú. Je preto nemožné povedať, aká aplikácia bude ukrývať tento malvér. Ako užívateľ preto sťahuj nové aplikácie len z oficiálnych obchodov s aplikáciami, ako Obchod Play.
Ako sme už spomenuli, po inštalácii a otvorení aplikácie sa ti objaví falošná obrazovka, ktorá ťa informuje o “aktualizácií”. Po schválení sa však sťahuje samotný malvér GhostSpy. Ten si po nainštalovaní dokáže sám schváliť všetky potrebné povolenia, bez zásahu užívateľa. Malvér vyžaduje administrátorské povolenia a povolenie zobrazovať sa nad inými aplikáciami. Tieto dve povolenia sú kriticky dôležité, pretože takmer znemožňujú odinštalovanie malvéru pomocou bežných spôsobov. Ak by užívateľ chcel aplikáciu odinštalovať, zobrazí sa falošná správa, že odinštalovanie môže spôsobiť stratu dát na zariadení. Hackeri využívajú túto taktiku aby odradili užívateľa od odinštalovania.
Ak by ale užívateľ pokračoval, zobrazí sa nové varovné okno, ktoré zablokuje možnosť interakcie z nastaveniami. Ak nemáš technické zručnosti, je prakticky nemožné tento malvér odinštalovať.
GhostSpy vie aj resetovať smartfón
Bezpečnostní analytici počas vyšetrovania malvéru zistili, že GhostSpy má aj funkcie na vykonanie resetu do továrenských nastavení. Keď teda malvér získa všetky potrebné informácie, hacker mu nariadi, aby resetoval tvoje zariadenie. Tým po sebe zakryje všetky svoje stopy.
Užívatelia by mali mať na pamäti aj to, že žiadna legitímna aplikácia nežiada o aktualizáciu po otvorení. Všetky aktualizácie prechádzajú cez Google Play služby a inštalujú sa automaticky, ak máš zapnuté automatické aktualizácie. Ak aj nie, aktualizácie aplikácií rieši užívateľ cez Obchod Play.
Komentáre