Cloak and Dagger: pozor na novou zákeřnou bezpečnostní hrozbu pro telefony s Androidem

Zlí jazykové rovnou po přečtení nadpisu řeknou: “no jo, zase ten Android, ten je děravej jak řešeto a podobně. Není to tak pravda. Vzhledem k tomu, že se jedná o nejpopulárnější mobilní systém, který je rozšířen na milionech zařízení a pod mnoha značkami, je logické, že je zároveň hlavním terčem hackerů, kteří se snaží vymýšlet nové a nové způsoby, jak systém napadnout. Na scéně se objevil nový typ malware, který se řadí svou povahou k vysoce zákeřným a nebezpečným. Dokáže totiž převzít plnou kontrolu nad zařízením a ukrást z něj prakticky vše včetně PIN kódů, hesel k online účtům a mnoho dalšího.

Malware Cloak and Dagger tentokrát nezneužívá žádné díry v systému Android, nýbrž využívá zcela legitimního oprávnění, které využívají některé aplikace pro přístup k funkcím telefonu, či tabletu s Androidem. Lidé z technologického institutu v Georgii objevili a nasimulovali útok malware na zhruba 20ti zařízeních a žádný z majitelů nepoznal sebemenší známky toho, že by se v jejich zařízení dělo něco podezřelého. Tento malware využívá dvou základních oprávnění systému:

  •  SYSTEM_ALERT_WINDOW – známé jako překryvná vrstva nad dalšími aplikacemi
  • BIND_ACCESSIBILITY_SERVICE – oprávnění, které zajistí nevidomým, nebo slabozrakým ovládat systém pomocí hlasových příkazů

Díky tomu, že tato hrozba nevyžaduje přítomnost škodlivého kódu v zařízení, je poměrně snadné obejít bezpečnostní mechanismy obchodu Google Play. Vědci se pokusili nahrát do obchodu Google Play aplikace, které vyžadovaly právě tato oprávnění a dále obsahovaly funkci, která umožnila stáhnout a spustit libovolný kód na zařízení. Tyto aplikace byly ze strany Googlu schváleny během několika hodin. Pokud se tedy jedná o propašování aplikace do obchodu, je pro útočníky velmi jednoduché skrze Google Play takovou aplikaci dostat dál k uživatelům. Jakmile ji pak jednou uživatel nainstaluje, nastává velký problém.

Jakmile dojde k samotné instalaci aplikace do zařízení, ta je následně schopna provádět:

  • pokročilý CLICKJACK útok – chování převážně na webových stránkách se škodlivým obsahem, kdy dochází k samovolnému klikání na odkazy
  • nepřetržité zaznamenávání úhozů na klávesnici – útočník je tak schopen odsledovat například zadávání PIN kódů a hesel
  • pokusy o phisingové útoky na pozadí systému
  • tichá instalace aplikací na pozadí s povolením všech oprávnění pro přístup k systému
  • odemykání telefonu a provádění činností v systému aniž by byl rozsvícen displej

Pokud se tedy podíváme na výše uvedený výčet možností, útočník tak má možnost kompletně převzít kontrolu nad celým systémem a to nezní příliš dobře.

 

Ukázka toho, jak výzkumníci nasimulovali vysledování zadávání hesla pro online účet

Google zatím není schopen na tuto hrozbu zareagovat a zabránit šíření škodlivých aplikací

Bezpečnostní experti již Google upozornili na tuto hrozbu, ten však v tuto chvíli není schopen efektivně reagovat. Malware totiž využívá legitimních funkcí systému a nelze jej odhalit a zamezit jeho šíření skrze “normálně” vypadající aplikace na Google Play. Sice v nových verzích Androidu je v případě citlivých činností vyžadováno vypnutí překryvné vrstvy pokud je detekována, ale jedná se obvykle a pouze o systémové záležitosti. Aplikace již vypnutí detekované překryvné vrstvy nevyžadují. Možná je to podnět pro zamyšlení, aby vývojáří více přemýšleli, jak své aplikace ochránit před těmito hrozbami a nejspíš to budou právě vývojáři aplikací, kteří budou muset dát hlavy dohromady. Google sice v rámci připravovaného systému Android O chce změnit bezpečnostní politiku, ale to se bude bohužel týkat pouze hrstky vyvolených, kteří na nejnovější systém dosáhnout. Drtivá většina uživatelů budou díky starším verzím stále v ohrožení.

Jak se chránit?

V současné době je asi jediným řešením, které může riziko zmírnit, vypnutí překryvné vrstvy. Tuto funkci nalezneme v Nastavení -> Aplikace -> Speciální přístup a zde hledejte funkci, která nese podobný název ve smyslu: Aplikace, které se zobrazí nahoře. Zde odepřeme přístup k této funkci všem aplikacím, které ji využívají.

Dále silně doporučujeme stahovat aplikace pouze z obchodu Google Play a to pouze od vývojářů, kteří jsou důvěryhodní a prověření. Bohužel se na Google Play nachází velké množství aplikací pofiderní kvality a původu. Rozhodně nebude naškodu, když si projdete oprávnění všech nainstalovaných aplikací a zaměříte se na výše uvedená oprávnění a následnou kontrolu samotné aplikace. Google mnohdy napoví, jedná li se o důvěryhodnou, či naopak škodlivou aplikaci.

 
Jakub Sobotka

Jakub Sobotka

IT geek, milovník mobilních technologií, blogger … Ve volném čase sedlá horský bajk, rád fotí a tráví čas se svou rodinou ….. šéfredaktor a zakladatel webu Techbrain.cz

Nový komentář