Hlavní navigace

Android má problém s nebezpečnými aplikacemi. Googlu s tím mají pomoci i Slováci

Jan Sedlák

Googlem zformovaná App Defense Alliance má pomoci detekovat malware v obchodu Play Store.

Doba čtení: 5 minut

Sdílet

Řada tuzemských finančních institucí koncem loňského roku informovala své zákazníky využívající chytré telefony a tablety s operačním systémem Android, že si mají odinstalovat aplikaci nazvanou QRecorder. Ta byla dlouhou dobu k dostání zdarma na oficiálním obchodu Google Play Store a umožňovala bezproblémové nahrávání hovorů. Díky tomu zaznamenala desítky tisíc stažení.

V rámci jedné aktualizace se QRecorder proměnil v malware, který začal v telefonech vyhledávat, zda některé z aplikací nemohou být zpeněžitelné. Nad těmi sloužícími k přístupu k bankovním účtům se pak snažil získávat přihlašovací údaje, díky čemuž následně útočníci mohli od postižených uživatelů převádět peníze. Dařilo se jí i získávat ověřovací SMS. Klienti českých bank přišli o statisíce korun.

Později se objevily další podobné nástroje. Aplikace Blockers call 2019 umožnila uživatelům blokovat hovory z vybraných telefonních čísel a Word Translator zase bez problémů zvládal překlady slov z různých jazyků. Po dosažení určitého počtu stažení opět dorazila aktualizace, která začala sbírat údaje a připravila zákazníky bank o řádově miliony korun.

Tomuto fenoménu, který se začal ve větší míře objevovat v loňském roce, se začalo říkat „trojanizace“ aplikací. „Protože se tyto techniky osvědčily, očekáváme v letošním roce značný nárůst detekcí podvodných aplikací v řádu desítek procent, a to jak bankovních, tak všech malwarových hrozeb pro Android,“ odhaduje slovenská společnost ESET, která na tyto aplikace pro Android upozorňuje.

Aliance v čele se Slováky

Aby takovýchto situací vznikalo co nejméně, Google nově zformoval organizaci nazvanou App Defense Alliance. Jejími zakládajícími členy jsou vedle internetového obra kyberbezpečnostní společnosti ZimperiumLookout a právě ESET. Cílem je, aby tato aliance včas dokázala odchytit potenciálně zranitelné aplikace (Potential Harmful Applications, PHA) a zabránit jejich publikování na Play Store.

QRecorder
Autor: ESET

QRecorder

Google tímto způsobem integruje detekční systém Play Protect s detekčními jádry (engine) jednotlivých partnerů. Aliance nezveřejňuje přesné technické specifikace propojení. Všechna jádra každopádně využívají strojového učení, heuristiku a dalších detekčních prvků a společně mají poskytnout „více očí“ před tím, než bude aplikace v obchodě zveřejněna.

Konkrétně ESET nemá poskytovat „pouze“ detekční engine, ale také lidské analytické síly, jejichž počet a konkrétní zapojení firmy nekomentují. Výzkumné týmy slovenské společnosti mají být úzce zapojeny do analýzy všech aplikací a podílet se na ověřovacím procesu.

Slováci mají s největším internetovým podnikem rozjetou i další spolupráci. ESET je součástí projektu Chronicle Backstory spadající pod skupinu Alphabet. Backstory umožňuje zákazníkům nahrávat telemetrická data do cloudu a nechat si je detekovat na hrozby. Zakládajícím členem je český Avast. Technologie ESETu jsou rovněž součástí nástroje Google Chrome Cleanup.

ESET jednání s londýnskou centrálou Googlu o možnosti podílet se na ochraně Play Storu rozjel zhruba počátkem letošního roku. Slovenská společnost průběžně často informovala o nálezech škodlivých aplikací pro Android, které skrze kontrolní mechanismy Googlu prošly. Tyto reaktivní aktivity nyní přecházejí pod oficiální aktivity, které by naopak průchodu malwaru měly předcházet.

ESET dle slov svých výzkumníků škodlivý software pro Android detekuje v podstatě na denní bázi. Detekční engine ze Slovenska často odchytil to, co Google ne, takže spolupráce z tohoto pohledu začala Googlu dávat smysl.

Kritizovaný Google

Google zároveň od komunity místy za svůj přístup k bezpečnosti Play Storu schytával dost kritiky. „My třeba vnímáme jeho absolutní ignoranci v oblasti eliminace mobilního malwaru. A přitom právě Google má všechny předpoklady a prostředky (AI, ML, QC, …) problém efektivně řešit,“ uvedl například nedávno na Twitteru zakladatel firem Inmite (dnes Avast) a Wultra Petr Dvořák.

Vývoj bankovního malwaru pro Android
Autor: ESET

Vývoj bankovního malwaru pro Android

Google nedává příliš možností nahlédnout, jak přesně jeho verifikační proces ohledně kybernetické bezpečnosti aplikací na Play Store na pozadí funguje. I jeho partneři často říkají, že se pouze domnívají, jak celé ověřování může fungovat.

„Nesedí tam reálný člověk, který by aplikace [pro tyto účely] procházel. Fungují tam automatizované systémy využívající umělou inteligenci a strojové učení. Tato sestava vytvoří výsledek, zda aplikace je, či není malware a dále už to na člověka nejde. To je dle mého chyba, ale nechci v tomto za Google mluvit,“ nastiňuje pro Lupu výzkumník malwaru pro Android Lukáš Štefanko z ESETu.

Google ve výročních zprávách, které k bezpečnosti Androidu každoročně zveřejňuje (Android Security& Privacy za rok 2018 je v PDF zde), uvádí, že šance nainstalovat si z Play Store škodlivou aplikaci je stále velice nízká. „Google se na to dívá z globálního a celkového hlediska, kdy podíl sice klesá, ale počet škodlivých aplikací roste s tím, jak roste počet aplikací celkově,“ navazuje Štefanko.

Kouřová clona

Problémem je také to, že podvodné aplikace se často specializují na konkrétní a menší trhy, včetně České republiky. V celkových číslech je tak nějakých deset tisíc stažení v Česku pro Google velice malé číslo, z pohledu našeho trhu už je ale dost znatelné. Podvodné aplikace dokáží vytvořit škody v řádech milionů korun.

Již popisované „trojanizované“ aplikace situaci ještě komplikují v tom, že se jejich vývojáři snaží tvářit jako legitimní. Verze daného softwaru pro iOS a Apple App Store tak například funguje zcela standardně, zatímco ta pro Android se po čase stanem malwarem. Vytváří se tak kouřová clona. (Mimochodem, na App Store se také objevuje malware, jen Apple ale přesně ví, jak to s ním přesně je.)

Když Google v roce 2017 zavedl ochranu svého obchodu pojmenovanou Play Protect, počet detekovaných hrozeb na chvilku klesl. Nyní ovšem jeho množství opět roste a trend je viditelný zejména u bankovního škodlivého kódu.

„V případě podvodných bankovních aplikací uživatelů na Androidu se jedná o meziroční pokles o 50 procent [za loňský rok], přesto to neznamená dobrou zprávu. Zde sledujeme změnu taktiky útočníků. V roce 2017 a dříve byla většina pokusů o finanční poškození prováděna pomocí falešných bankovních aplikací, které používaly zpravidla logo a obchodní název těch legitimních. Útočníci se snažili uživatele oklamat a přimět ho ke stažení falešné aplikace. Loni ale začal vzestup aplikací trojanizovaných,“ uvádí výzkumníci.

Diners Vánoce2019

Google k problematice uvádí, že Play Protect v loňském roce dokázal předejít 1,6 miliardě instalací potenciálně nebezpečných aplikací a zastavil 73 procent pokusů o instalaci škodlivých aplikací mimo Play Store. Má jít o zlepšení o 20 procent.

V obchodu s aplikacemi pro Android se nicméně objevují další druhy malwaru. Tuzemský Avast například před pár měsíci detekoval řadu aplikací šířící agresivní adware. Tyto a další společnosti uvádí, že je třeba se u aplikací dívat na hodnocení a komentáře a zde se soustředit zejména na ty negativní.