Check Point Research, výzkumný tým společnosti Check Point, odhalil dvojici hackerů, kteří vyvíjí a prodávají na dark netu mobilní malware. Hackeři s přezdívkami Triangulum a HeXaGoN Dev navíc vytvořili nový malware Rogue, který umožňuje převzít kontrolu nad napadeným zařízením a krást data, jako fotografie, informace o poloze, kontakty a zprávy.
Triangulum je 25letý a 190 cm vysoký muž, který v roce 2017 choval dvě želvy, měl přítelkyni a poprvé se připojil k dark netu. Vyniká sociálními a matematickými dovednostmi a jeho prvním produktem byl mobilní RAT (Remote Access Trojan), který je schopen krást data z C&C serveru a ničit lokální data - dokonce mazat i celé operační systémy. O čtyři měsíce později začal Triangulum prodávat svůj první malware pro Android, který nazval Cosmos. Na začátku nebylo snadné najít stopy vedoucí k tomuto kyberútočníkovi. Ale jakmile byly rozkryty první střípky mozaiky, bylo relativně snadné ho dále sledovat a zjistit o něm další podrobnosti.
Hacker Triangulum zmizel ze scény na téměř 1,5 roku a vrátil se až 6. dubna 2019 s novým produktem. Následně byl velmi aktivní a snažil se prodávat nejrůznější kyberhrozby. Je pravděpodobné, že pauzu Triangulum využil pro budování strategie a procesů pro vývoj a distribuci škodlivých kódů pro Android.
Spolupráce marketéra a vývojáře
Triangulum začal spolupracovat také s dalším hackerem s přezdívkou HexaGoN Dev, který se zaměřuje na vývoj malwarových hrozeb pro operační systém Android. Zjednodušeně můžeme říci, že Triangulum se zaměřuje na marketing, propagaci a prodej hrozeb na dark netu a HexaGoN Dev se věnuje technickému vývoji. V minulosti Triangulum zakoupil několik projektů vytvořených právě HeXaGoN Dev, což byl počátek pozdější spolupráce. Kombinace programovacích schopností HeXaGon Dev a marketingových a sociálních dovedností Triangulum představuje vážnou hrozbu. Společně vytvořili a distribuovali několik variant mobilních malwarů pro Android, včetně kryptominerů, keyloggerů a sofistikovaných P2P (Phone to Phone) MRAT. Triangulum propaguje produkty na různých fórech dark netu a vytváří i atraktivní grafické materiály a infografiky. Za několik desítek dolarů si tak lze koupit hrozby včetně administrativních nástrojů.
Malware Rogue: „Opravdu chcete smazat všechna data?“
Triangulum a HeXaGoN Dev spolupracovali na vytvoření malwaru Rogue a jeho prodeji na dark netu. Rogue je součástí rodiny MRAT (Mobile Remote Access Trojan) a může získat kontrolu nad napadeným zařízením a krást jakákoli data, jako jsou fotografie, poloha, kontakty a zprávy, upravovat soubory v zařízení a stahovat další škodlivý obsah. Jakmile Rogue získá všechna požadovaná oprávnění, skryje svou ikonu před uživatelem, aby na sebe neupozorňoval a nebylo tak snadné ho odstranit. Pokud nejsou udělena všechna požadovaná oprávnění, bude uživatele opakovaně žádat o jejich udělení. Malware se následně registruje jako správce zařízení a pokud se uživatel pokusí oprávnění odebrat, zobrazí se na obrazovce zpráva: „Opravdu chcete smazat všechna data?“
Aby zamaskoval své zákeřné úmysly a mohl se vydávat za legitimní službu Google, využívá platformu Firebase, tedy služby Google pro aplikace. Konkrétně se jedná o C&C server, takže všechny příkazy, které ovládají malware, a všechny informace ukradené malwarem, jsou doručovány pomocí infrastruktury Firebase.
„Prodejci mobilního malwaru jsou velmi vynalézaví. Na dark netu si tak může kdokoli relativně snadno koupit nějakou hrozbu a stát se kyberzločincem, aniž by to vyžadovalo nějaké speciální technické znalosti. Hackeři nabízí i nejrůznější balíčky, slevy a podporu a kopírují tak klasické prodejní akce, které známe z reálného světa. Snažíme se rozkrývat vývoj malwaru i taktiky hackerů a zároveň varovat organizace i uživatele a ukázat, jak těžké je nyní efektivně sledovat, klasifikovat a chránit se před všemi hrozbami. Navíc dark net je zaplaven různými falešnými produkty, což komplikuje analýzu, co je skutečnou hrozbou a co ne,“ říká Petr Kadrmas, Security Engineer Eastern Europe v kyberbezpečnostní společnosti Check Point.
Jak se chránit před mobilním malwarem?
1. Aktualizujte svůj operační systém. Mobilní zařízení by měla vždy používat nejnovější verzi operačního systému, aby nemohlo dojít ke zneužití známých zranitelností.
2. Instalujte pouze aplikace z oficiálních obchodů s aplikacemi. Snižuje to pravděpodobnost neúmyslné instalace mobilního malwaru nebo škodlivé aplikace.
3. Povolte funkci „vzdáleného vymazání“ na všech mobilních zařízeních. Všechna zařízení by měla mít povoleno vzdálené vymazání, aby se minimalizovala pravděpodobnost ztráty citlivých dat.
4. Nedůvěřujte veřejným Wi-Fi sítím. Hackeři mohou veřejné Wi-Fi sítě zneužít k útokům a proniknutí do zařízení. Využívejte proto jen důvěryhodné Wi-Fi a mobilní sítě, zmenšíte riziko kyberútoku.
5. Používejte mobilní zabezpečení. Doporučujeme nasadit pokročilé mobilní bezpečnostní řešení s integrovaným antivirem a detekcí hrozeb. Check Point SandBlast Mobile je špičkové řešení, které chrání před nejrůznějšími mobilními útoky, včetně škodlivých aplikací.