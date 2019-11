ESET dle slov svých výzkumníků škodlivý software pro Android detekuje v podstatě na denní bázi. Detekční engine ze Slovenska často odchytil to, co Google ne, takže spolupráce z tohoto pohledu začala Googlu dávat smysl.

ESET jednání s londýnskou centrálou Googlu o možnosti podílet se na ochraně Play Storu rozjel zhruba počátkem letošního roku. Slovenská společnost průběžně často informovala o nálezech škodlivých aplikací pro Android, které skrze kontrolní mechanismy Googlu prošly. Tyto reaktivní aktivity nyní přecházejí pod oficiální aktivity, které by naopak průchodu malwaru měly předcházet.

Slováci mají s největším internetovým podnikem rozjetou i další spolupráci. ESET je součástí projektu Chronicle Backstory spadající pod skupinu Alphabet. Backstory umožňuje zákazníkům nahrávat telemetrická data do cloudu a nechat si je detekovat na hrozby. Zakládajícím členem je český Avast . Technologie ESETu jsou rovněž součástí nástroje Google Chrome Cleanup. Podle informací Lupy je rovněž Google zákazníkem ESETu v oblasti jeho bezpečnostního softwaru.

Konkrétně ESET nemá poskytovat „pouze“ detekční engine, ale také lidské analytické síly, jejichž počet a konkrétní zapojení firmy nekomentují. Výzkumné týmy slovenské společnosti mají být úzce zapojeny do analýzy všech aplikací a podílet se na ověřovacím procesu.

Aby takovýchto situací vznikalo co nejméně, Google nově zformoval organizaci nazvanou App Defense Alliance . Jejími zakládajícími členy jsou vedle internetového obra kyberbezpečnostní společnosti Zimperium , Lookout a právě ESET . Cílem je, aby tato aliance včas dokázala odchytit potenciálně zranitelné aplikace (Potential Harmful Applications, PHA) a zabránit jejich publikování na Play Store.

Tomuto fenoménu, který se začal ve větší míře objevovat v loňském roce, se začalo říkat „trojanizace“ aplikací . „Protože se tyto techniky osvědčily, očekáváme v letošním roce značný nárůst detekcí podvodných aplikací v řádu desítek procent, a to jak bankovních, tak všech malwarových hrozeb pro Android,“ odhaduje slovenská společnost ESET, která na tyto aplikace pro Android upozorňuje.

Kritizovaný Google

Google zároveň od komunity místy za svůj přístup k bezpečnosti Play Storu schytával dost kritiky. „My třeba vnímáme jeho absolutní ignoranci v oblasti eliminace mobilního malwaru. A přitom právě Google má všechny předpoklady a prostředky (AI, ML, QC, …) problém efektivně řešit,“ uvedl například nedávno na Twitteru zakladatel firem Inmite (dnes Avast) a Wultra Petr Dvořák.



Google nedává příliš možností nahlédnout, jak přesně jeho verifikační proces ohledně kybernetické bezpečnosti aplikací na Play Store na pozadí funguje. I jeho partneři často říkají, že se pouze domnívají, jak celé ověřování může fungovat.

„Nesedí tam reálný člověk, který by aplikace [pro tyto účely] procházel. Fungují tam automatizované systémy využívající umělou inteligenci a strojové učení. Tato sestava vytvoří výsledek, zda aplikace je, či není malware a dále už to na člověka nejde. To je dle mého chyba, ale nechci v tomto za Google mluvit,“ nastiňuje pro Lupu výzkumník malwaru pro Android Lukáš Štefanko z ESETu.

Google ve výročních zprávách, které k bezpečnosti Androidu každoročně zveřejňuje (Android Security& Privacy za rok 2018 je v PDF zde), uvádí, že šance nainstalovat si z Play Store škodlivou aplikaci je stále velice nízká. „Google se na to dívá z globálního a celkového hlediska, kdy podíl sice klesá, ale počet škodlivých aplikací roste s tím, jak roste počet aplikací celkově,“ navazuje Štefanko.

Kouřová clona

Problémem je také to, že podvodné aplikace se často specializují na konkrétní a menší trhy, včetně České republiky. V celkových číslech je tak nějakých deset tisíc stažení v Česku pro Google velice malé číslo, z pohledu našeho trhu už je ale dost znatelné. Podvodné aplikace dokáží vytvořit škody v řádech milionů korun.

Již popisované „trojanizované“ aplikace situaci ještě komplikují v tom, že se jejich vývojáři snaží tvářit jako legitimní. Verze daného softwaru pro iOS a Apple App Store tak například funguje zcela standardně, zatímco ta pro Android se po čase stanem malwarem. Vytváří se tak kouřová clona. (Mimochodem, na App Store se také objevuje malware, jen Apple ale přesně ví, jak to s ním přesně je.)

Když Google v roce 2017 zavedl ochranu svého obchodu pojmenovanou Play Protect, počet detekovaných hrozeb na chvilku klesl. Nyní ovšem jeho množství opět roste a trend je viditelný zejména u bankovního škodlivého kódu.

„V případě podvodných bankovních aplikací uživatelů na Androidu se jedná o meziroční pokles o 50 procent [za loňský rok], přesto to neznamená dobrou zprávu. Zde sledujeme změnu taktiky útočníků. V roce 2017 a dříve byla většina pokusů o finanční poškození prováděna pomocí falešných bankovních aplikací, které používaly zpravidla logo a obchodní název těch legitimních. Útočníci se snažili uživatele oklamat a přimět ho ke stažení falešné aplikace. Loni ale začal vzestup aplikací trojanizovaných,“ uvádí výzkumníci.

Google k problematice uvádí, že Play Protect v loňském roce dokázal předejít 1,6 miliardě instalací potenciálně nebezpečných aplikací a zastavil 73 procent pokusů o instalaci škodlivých aplikací mimo Play Store. Má jít o zlepšení o 20 procent.

V obchodu s aplikacemi pro Android se nicméně objevují další druhy malwaru. Tuzemský Avast například před pár měsíci detekoval řadu aplikací šířící agresivní adware. Tyto a další společnosti uvádí, že je třeba se u aplikací dívat na hodnocení a komentáře a zde se soustředit zejména na ty negativní.