Máte chytrý telefon nebo tablet s operačním systémem Android? Pokud ano, měli byste si dávat velký pozor na aplikaci Telegram, která bylo donedávna považována za jeden z nejbezpečnějších způsobů komunikace přes internet. Aplikace, která zprostředkovává šifrovanou, tedy navenek zabezpečenou komunikaci, totiž byla napadena hackery a zneužita pro šíření nebezpečného malwaru HeroRat.

Co je malware?

Co je vlastně malware? Jedná se o škodlivý kód, který se stáhne do zařízení a škodí jeho uživateli. Může skrytě pracovat, sledovat majitele telefonu nebo tabletu, stahovat obsah zařízení, přístupová hesla k různým službám, ale i šířit další viry a škodlivý software. Konkrétně HeroRat patří do skupiny tzv. Android RATů (Remote Administration Tool – Nástroj vzdálené správy), které napadají aplikaci Telegram pro mobilní zařízení s operačním systémem Android, následně přebírají kontrolu nad zadáváním příkazů a neoprávněně manipulují s daty uživatelů.

Analytici společnosti ESET, kteří tento malware objevili, se nejprve domnívali, že se jedná o modifikovanou verzi doposud známých IRRATů a TeleRATů. Později se však ukázalo, že jde o zcela novou skupinu malwaru, které se šíří po sítích už od srpna 2017. V březnu 2018 byl zdarma zveřejněn zdrojový kód na pirátských kanálech aplikace Telegram. Ve výsledku se podařilo vypustit do oběhu několik verzí tohoto malwaru, přičemž jedna se výrazně odlišovala od ostatních.

I přes to, že byl zveřejněn zdrojový kód, byla tato verze malwaru nabízena jako zpoplatněná služba na hackerských kanálech aplikace Telegram pod jménem HeroRat. K dostání je ve třech cenových kategoriích v závislosti na množství funkcí. Hackeři lákají uživatele ke stažení tohoto nástroje prostřednictvím falešných reklam, přes App Story třetích stran, sociální média a aplikace pro komunikaci. ESET zaznamenal vzorky malwaru, které se tvářily jako aplikace slibující bitcoiny zdarma, bezplatné internetové připojení, získání followerů na sociálních sítích a podobně. Šířily se především v Íránu. Na oficiálním obchodu s aplikacemi pro Android Google Play tse ento malware dosud neobjevil.

Ohrožuje všechny verze Androidu

Android malware HeroRat funguje na všech verzích Androidu, napadený uživatel mu však nejprve musí schválit žádost o udělení oprávnění, v některých případech dokonce i správu zařízení. Poté, co je malware nainstalován a spuštěn na zařízení napadeného uživatele, objeví se vyskakovací okno, podle kterého nemůže být aplikace spuštěna, a proto je třeba ji odinstalovat. Ve verzích malwaru, které sledoval ESET, byla zpráva napsána v angličtině nebo perštině v závislosti na nastavení jazyka v daném zařízení. V momentě, kdy se zdánlivě dokončila odinstalace, ikona aplikace zmizela. Pro hackera to však znamenalo zaregistrování dalšího napadeného zařízení.

Získáním přístupu k napadenému zařízení dojde k integraci Telegram bota, který kontroluje nově ovládnuté zařízení. Skrze tohoto bota může hacker určovat nastavení a fungování aplikace Telegram. Zmíněný malware má širokou škálu možných funkcí špehování a manipulace s daty, včetně zachytávání příchozích zpráv, odesílání zpráv, vytáčení hovorů, nahrávání zvuků, videí, zaznamenávání polohy a kontroly nastavení zařízení. Po zveřejnění zdrojového kódu malwaru se dá předpokládat, že vzniknou nové verze, které se budou šířit po různých částech světa včetně Evropy.

Jak se zbavit malware?

Způsob šíření a maskování tohoto malwaru se může výrazně lišit. Pro zjištění, zda je naše zařízení napadené, proto nestačí pouze sledovat přítomnost konkrétní aplikace ve vašem zařízení. Pokud se domníváte, že vaše zařízení mohlo být napadeno tímto malwarem, je dobré ho proskenovat spolehlivým bezpečnostním programem jako je například Android antivirus ESET Mobile Security. Software společnosti ESET zaznamenává a blokuje tuto hrozbu jako Android/Spy.Agent.AMS a Android/Agent.AQO.

K tomu, abyste předešli napadení vašeho zařízení s operačním systémem Android malwarem, je vhodné používat pro stahování aplikací oficiální obchod Google Play. ESET zároveň doporučuje číst recenze ostatních uživatelů před stažením jakékoliv aplikace, dávat pozor na udělování oprávnění po instalaci aplikace a používat kvalitní antimalware.