Výzkum: Stalkerware slídí nejen v zařízení oběti, ale i stalkera

Stalkerware je typ malwaru, který ohrožuje uživatele zařízení s operačním systémem Android dlouhodobě a bezpečnostní analytici za poslední dva roky registrují nárůst jeho detekcí. Z našich telemetrických dat vyplývá, že v roce 2019 bylo zachyceno pětkrát víc detekcí než v roce 2018, v roce 2020 byl nárůst detekcí dokonce o 48 %. V českém prostředí stalkerware detekujeme pravidelně jako jednu z hlavních hrozeb pro Android již od začátku letošního roku. 

Přehled vývoje stalkerware dle dat ESET

Aplikace se prezentují jako bezpečnostní služby

Ačkoli se jedná o druh škodlivého softwaru, na “špehovací” aplikace uživatel narazí při běžném vyhledávání na internetu a nemusí tak chodit na žádná neoficiální pochybná fóra nebo darknet. Výrobci tyto aplikace často nabízejí jako monitorovací nástroje pro hlídání dětí, aktivit zaměstnanců, vyhledávání ztraceného telefonu nebo jako službu pro zajištění bezpečí žen.

Marketing výrobce vykresluje špehovací aplikaci jako bezpečnostní nástroj, který chrání děti či zaměstnance před potencionálně nebezpečným obsahem a službami, nebo jako nástroj přispívající k ochraně žen před násilím.

Ačkoli se takové nástroje mohou jevit jako vysoce etické a společensky akceptovatelné, sbírají velké množství dat o svých obětech. Mají přístup k velmi citlivým údajům na zařízení, k jejich shromažďování, ukládání a přenosu, a to v daleko větší míře, než jiné aplikace nebo sociální sítě.

V praxi je nejčastěji stalkerem někdo z blízkého okolí oběti, proto také o něm často mluvíme o spouseware (tedy malware, který je zneužívaný partnerem). Žárlivý partner pod nějakou záminkou získá přístup k telefonu a nainstaluje a skryje v něm špehovací aplikaci. Následně propojí online rozhraní s telefonem oběti a v reálném čase může sledovat digitální aktivity oběti, která o sledování obvykle vůbec netuší.

V realitě by chování monitorovacích služeb mohlo vypadat tak, že aplikace zamezí vstup na stránky s potencionálně škodlivým obsahem nebo používání konkrétních nástrojů. Takové služby mohou například poptávat rodiče za účelem sledování aktivity svých dětí nebo zaměstnavatelé, kteří si nepřejí, aby zaměstnanci navštěvovali určitý obsah na svých pracovních zařízeních. Rozsah sbíraných dat je ale prostřednictvím špehovací aplikace daleko širší – v případě firem se může jednat i o datové soubory s velmi citlivými daty. Všechny tyto nástroje by navíc měly zůstat v zařízení dobře viditelné, což ovšem neplatí pro stalkerware aplikaci, která se po nainstalování uživateli skryje.

Více než 150 problémů se zabezpečením v 58 aplikacích

Eticky diskutabilní chování aplikací, vede většinu vývojářů k tomu, že stalkerware detekují a označují jako škodlivý. Produkty ESET detekují stalkerware od května 2020.

V rámci nedávného výzkumu náš tým ručně analyzoval 86 stalkerware aplikací pro platformu Android, které poskytlo 86 různých prodejců. Identifikovali jsme mnoho vážných problémů s bezpečností a ochranou soukromí, které by mohly vést k tomu, že by útočník převzal kontrolu nad zařízením oběti, převzal účet stalkera, zachytil data oběti a dalším rizikům. 

Přehled chyb v aplikacích Android

V 58 případech analyzovaných aplikacích pro Android jsme objevili celkem 158 problémů, většina má zásadní dopady na oběť, ohrozit ale mohou také stalkera. Problémy jsme opakovaně hlásili dotčeným výrobcům. Bohužel do dnešního dne pouze šest z nich problémy opravilo.

Trojúhelník “stalker – oběť – vývojář škodlivého kódu”

Podle našich zjištění je tak samotný malware nebezpečný pro obě strany, jak pro oběť, tak pro stalkera. Autor škodlivého kódu se nezaměřuje jen na data jednoho aktéra, může sbírat citlivá data všech zúčastněných stran. I když stalker může požadovat vymazání dat z aplikace, stalkerware je na serveru i přes tento příkaz nadále uchovává.

Autor škodlivého kódu se nezaměřuje jen na data jednoho aktéra, může sbírat citlivá data všech zúčastněných stran.

Potencionálnímu nebezpečí může být vystaven ale i výrobce aplikace, který nabízí službu s využitím škodlivého kódu a tím nechává otevřené dveře útočníkům. 

V českém prostředí je oblíbená aplikace Cerberus

V českém prostředí pravidelně narážíme na špehovací malware Cerberus. Aplikace svými funkcemi slouží žárlivým partnerům, aby mohli sledovat online aktivity svých protějšků. V takovém případě je partner, který chce tuto službu využít, označen za “stalkera”. Tito lidé z blízkého okolí oběti většinou dobře znají zamykání telefonu či jiná bezpečnostní hesla a během chvilky nepozornosti mohou stalkerware do telefonu nainstalovat. Aplikace Cerberus umožní po instalaci své skrytí, oběť tak nemá o situaci nejmenší ponětí.

Skrze Cerberus pak sledující ovládá telefon oběti prostřednictvím SMS příkazů. Může na zařízení zapnout data, přesměrovat telefonní hovor nebo číst zprávy. Právě kvůli těmto funkcím není možné stáhnout aplikaci oficiálně přes Google Play, i když ji výrobci nabízejí jako anti-theft nástroj a nástroj rodičovské kontroly.

Největší obranou je silné a soukromé heslo

Vynecháme-li etickou spornost, náš výzkum dokazuje, že využívání stalkerware aplikací představuje riziko i pro stalkera. Stalking je navíc v České republice do roku 2010 klasifikovaný jako trestný čin.

Stejně jako v případě jiného druhu obtěžování, nátlaku a agrese, nejčastěji pochází stalker z kruhu rodiny, přátel či blízkého pracovní kolektivu oběti. Nejvhodnějším preventivním krokem je zamykat displej telefonu biometricky nebo silným heslem.

V tomto případě je problematické nabádat oběť, aby chránila své zařízení silným heslem, které nebude sdílet ani se svým nejbližším okolí. Jedině to ale spolehlivě zamezí nainstalování softwaru bez vědomí majitele. S ochranou zařízení pomůže také kvalitní bezpečnostní software.

Pokud je zařízení napadeno a sledovaný má podezření, že s jeho zařízením není něco v pořádku, je namístě situaci řešit. Stalkerware detekuje většina bezpečnostních řešení. V případě, kdy je oběť vystavena agresi či nátlaku ze strany jiné osoby, je možné se obrátit na Policii ČR nebo a na organizaci Bílý kruh bezpečí.

Pusťte si záznam přednášky, kde náš analytik Lukáš Štefanko prezentuje výsledky tohoto výzkumu:

Podívejte se na články z dalších kategorií: