CDR.cz - Vybráno z IT

Pozor na falešné Google Play stránky – nový malware ohrožuje tisíce uživatelů

Zdroj: Shutterstock

Přes 11 000 zařízení s Androidem bylo infikováno novým typem vzdáleně ovládaného trojského koně PlayPraetor, který se šíří přes falešné stránky Google Play, podvodné reklamy na platformě Meta a zprávy SMS. Útočníci cílí na bankovní účty, kryptoměny i vaše osobní data.

Bezpečnostní expert varuje: Na LinkedInu můžete mimoděk sloužit cizí moci

Kyberbezpečnostní experti ze společnosti Cleafy varují před masivní a agresivní kampaní, která má za cíl infikovat co nejvíce Android zařízení po celém světě. Hlavní nástroj útočníků? Malware PlayPraetor, včetně jeho nových variant jako Phantom a Phish. Každý týden přibývá přes 2 000 nových případů.

Škodlivý software se maskuje za legitimní aplikace a šíří se hlavně přes podvržené stránky napodobující Google Play Store. Tyto stránky se zobrazují v reklamách na platformě Meta (Facebook, Instagram) nebo jsou cíleně rozesílány prostřednictvím SMS zpráv. Napadeny jsou zejména zařízení v Portugalsku, Španělsku, Francii, Maroku, Peru a Hongkongu.

Více než 200 falešných aplikací. Co všechno PlayPraetor dokáže?

Ti, kdo omylem nainstalují tohoto trojského koně, mohou přijít o víc než jen osobní data. PlayPraetor je schopný:

  • zaznamenávat stisknuté klávesy (keylogger),
  • sledovat obsah schránky (clipboard),
  • krást přihlašovací údaje z bankovních aplikací,
  • napodobit přes 200 bankovních aplikací a kryptopeněženek,
  • vytvářet vizuálně věrohodné přihlašovací obrazovky (overlays).

Zvláště nebezpečná je varianta Phantom, která zneužívá přístupnostní služby systému Android, aby získala trvalý přístup k zařízení. To umožňuje útočníkům provádět tzv. on-device fraud, tedy podvody přímo z napadeného telefonu – bez podezření obětí i bank.

Zdroj: Shutterstock

Dvě varianty, tisíce obětí: Phantom a Phish

Výzkumníci doposud identifikovali pět různých variant tohoto malwaru. Mezi nejrozšířenější patří Phantom, který cílí na přístupnostní služby, a Phish, který se šíří pomocí falešných WebView aplikací – tedy aplikací využívajících integrovaný prohlížeč k zobrazení falešných přihlašovacích formulářů.

Znepokojující je, že téměř dvě třetiny botnetu – asi 4 500 zařízení – je ovládáno pouze dvěma útočníky nebo skupinami. To naznačuje, že kampaň je nejen rozsáhlá, ale i centralizovaná a dobře koordinovaná.

Proč je malware tak úspěšný?

Útočníci využívají důvěru uživatelů v digitální ekosystémy, které vypadají oficiálně. Falešné stránky Google Play jsou designově téměř nerozeznatelné od originálu a reklamy na platformě Meta působí legitimně. Navíc mnoho uživatelů stále ignoruje bezpečnostní zásady při instalaci aplikací – stahují neznámé soubory mimo oficiální obchod a přehlížejí oprávnění, která aplikace požaduje.

K úspěchu přispívá i fakt, že některé varianty malwaru se šíří přes tzv. PWA (Progressive Web Apps) nebo se tváří jako neškodné utility, které se nestahují přes klasický Play Store, ale přímo z internetu.

Důvěra není bezpečnost

Malware PlayPraetor je dalším důkazem toho, jak snadno lze zneužít digitální důvěru uživatelů, obzvlášť pokud kombinace podvodných reklam a falešných stránek imituje oficiální zdroje. I přes snahy Google, Metě a dalších platforem se útočníkům daří infikovat tisíce zařízení týdně.

Uživatelé by měli být obezřetní – nikoli paranoidní, ale zdravě podezřívaví. Protože v době, kdy si malware hraje na bankovní aplikaci nebo vám ukáže falešné přihlašovací okno, stačí jedno chybné kliknutí a vaše citlivá data mohou skončit v rukou kyberzločinců.

Tagy: 
Zdroje: