Nebezpečný Android vírus Klopatra sa momentálne šíri naprieč Európou a pre používateľov predstavuje veľké riziko. Tento škodlivý softvér dokáže prevziať úplnú kontrolu nad zariadením, kradnúť prihlasovacie údaje a dokonca vyprázdniť bankový účet bez toho, aby si to majiteľ telefónu všimol. Odborníci upozorňujú, že nejde o vzdialenú fikciu, ale o reálnu hrozbu, ktorá sa môže dotknúť aj Slovenska.
Ako upozorňuje portál Cleafy, Klopatra je nový typ škodlivého softvéru pre Android. V skutočnosti nejde iba o vírus, ale o kombináciu bankového trójskeho koňa a nástroja na vzdialenú správu zariadení (RAT).
Útočník tak získava nad mobilom rovnakú kontrolu, akoby ho fyzicky držal v rukách – môže čítať správy, sledovať obrazovku, zaznamenávať klikanie klávesnice aj ovládať aplikácie na pozadí. Najviac zásahov bolo doposiaľ zaznamenaných v Taliansku a Španielsku, kde bolo napadnutých viac než 3 000 zariadení. Cieľom sú najmä bankové aplikácie, no experti tvrdia, že ohrozené sú všetky krajiny vrátane Slovenska.
Metódy šírenia
Škodlivý softvér sa dostáva do zariadení prostredníctvom naoko dôveryhodných aplikácií, ktoré sa môžu tváriť ako streamovacie služby. Ide však o tzv. droppery – programy, ktoré do mobilu nainštalujú ďalší nebezpečný obsah. Používateľ je najčastejšie vyzvaný k povoleniu inštalácie z neznámych zdrojov. Po udelení prístupov sa vírus aktivuje a získa kontrolu nad systémom prostredníctvom funkcií zjednodušenia ovládania, ktoré pôvodne slúžia ľuďom so zdravotným postihnutím.
Jedna z najnebezpečnejších funkcií Klopatry je tzv. Hidden VNC technológia. Vďaka nej sa zariadenie javí ako vypnuté alebo zablokované, hoci je plne aktívne a v rukách útočníka. Často čaká, kým je telefón pripojený k nabíjačke a používateľ spí. Potom zmanipuluje obrazovku, použije ukradnuté odblokovacie údaje a pristúpi do bankovej aplikácie, odkiaľ vykoná prevod peňazí bez vedomia majiteľa mobilu.
Pozor na bankové aplikácie
Okrem priameho ovládania dokáže tento malvér využívať aj tzv. overlay útoky. Keď používateľ otvorí bankovú aplikáciu, Klopatra môže na obrazovku podsunúť falošný prihlasovací formulár. Zadávané údaje sa následne dostanú priamo k útočníkom, ktorí ich okamžite využijú. Vírus súčasne zbiera aj ďalšie informácie – zoznam používaných aplikácií, obsah schránky, údaje o zariadení či správanie používateľa.
Na rozdiel od bežných malvérov je Klopatra výsledkom profesionálneho vývoja. Využíva pokročilé technológie, napríklad komerčný systém Virbox na ochranu kódu, ktorý sťažuje jeho analýzu a detekciu. Súčasťou sú aj natívne knižnice jazyka C/C++, čím sa znižuje možnosť, že vírus odhalia antivírusové programy. Aj preto bezpečnostní analytici hovoria o novej úrovni sofistikovanosti v oblasti mobilných hrozieb.
Turecký pôvod
Podľa zistení bezpečnostných expertov stojí za týmto vírusom turecky hovoriaca kyberzločinecká skupina. Dôkazom sú turecké komentáre a funkcie priamo v kóde. Našli sa dokonca záznamy ukradnutých PIN kódov či poznámky operátorov k neúspešným prevodom. Výskum potvrdil, že Klopatra nie je distribuovaná masovo ako služba, ale ide o organizovanú a uzavretú operáciu. To zvyšuje jej nebezpečnosť, pretože ju riadi úzka a vysoko koordinovaná skupina.
