Na počítačích je ransomware, tedy škodlivý kód, který zašifruje vaše data a za zpřístupnění požaduje výkupné, oblíbenou technikou kyberzločinců. S rostoucím počtem mobilních zařízení se nechvalně proslulé útočné trendy přesouvají z počítačů i do mobilního světa. Mobilní ransomware se snaží zopakovat úspěch počítačového ransomwaru při vydírání jednotlivců i organizací.

Vzorem pro mobilní útoky může být například klasický ransomware Cerber, který využívá více než 160 aktivních kampaní po celém světě a generuje celkové roční příjmy ve výši přibližně 2,3 milionu dolarů. Jen v červenci bylo v 201 zemích a teritoriích přibližně 150 tisíc obětí tohoto kódu. V České republice v červenci Cerber infikoval zařízení více než 700 uživatelů, což je pro podobné mobilní útoky dostatečně atraktivní vzor.

Výkupné až 500 dolarů

Stejně jako u počítačového ransomwaru i ten mobilní se postupně vyvíjí a je stále rafinovanější a nebezpečnější. První mobilní typy blokovaly použití displeje, zobrazovaly upozornění a za odemčení požadovaly výkupné. V roce 2013 se mobilní malware poprvé vydával za antivirový software, informoval oběti, že jejich zařízení bylo infikované a pro vyčištění a znovuzprovoznění je nutné si koupit plnou verzi softwaru.

První mobilní ransomware, který šifroval soubory, byl detekován v roce 2014 a navazoval na úspěch malwaru pro Windows. Nejnovějším typem mobilního ransomwaru je Pin locker, který se objevil v roce 2015. Jde například o PornDroid, který se tváří jako porno přehrávač a zkouší od uživatelů získat oprávnění na úrovni správce. Jakmile oprávnění získá, malware změní PIN kód uživatelů, uzamkne přístroj a zobrazí zprávu s žádostí o výkupné.

Stejně jako u počítačového ransomwaru i ten mobilní se postupně vyvíjí a je stále rafinovanější a nebezpečnější.

Společnost Check Point tento typ detailně analyzovala a zjistila, že jedna varianta infikovala desítky tisíc zařízení a řada obětí zaplatila od 200 do 500 dolarů za odemčení dat a vrácení kontroly nad zařízením.

Mobilní ransomware se v současné době zaměřuje téměř výhradně na zařízení se systémem Android. Do značné míry je to z toho důvodu, že na iOS zařízení musí být provedena softwarová úprava zvaná jailbreak, aby šlo stahovat aplikace z jiných zdrojů než z Apple App Store, takže je infekce složitější.

Ani iOS uživatelé ale úplně neunikli a do budoucna lze očekávat nárůst podobných útoků. V roce 2015 zneužili útočníci ukradené přihlašovací údaje do služby iCloud a vzdáleně uzamkli zařízení a požadovali za odemčení výkupné. A v březnu 2016 cílil první ransomware (KeRanger) na Apple Mac, takže v bezpečí není nikdo.

Zkontrolujte si svá práva

V současné době se mobilní ransomware především snaží o to, aby se uživatel vůbec nedostal do zařízení. Mobilní operační systémy totiž neumožňují malwaru přístup ke všem oblastem paměti nebo úložiště. Vyšší oprávnění nicméně umožňuje ransomwaru posunout se na novou úroveň a za použití root přístupu získat úplnou kontrolu nad infikovaným telefonem nebo tabletem.

V současné době se mobilní ransomware především snaží o to, aby se uživatel vůbec nedostal do zařízení.

Většina metod pro rootování (umožnění uživatelům zařízení s operačním systémem Android přepnutí do tzv. privilegovaného režimu, provádí se s cílem překonat omezení výrobců mobilních zařízení – pozn. red.) zařízení spoléhá na zranitelnosti v operačním systému, hardwaru nebo jednotlivých aplikacích. Bohužel jde o velmi rozšířenou záležitost.

V průběhu posledních 6 měsíců více než polovina z oprav pro Android vydaných společností Google byla určena pro zabezpečení zařízení proti zneužití zvýšení oprávnění. Můžeme tedy očekávat nárůst ransomwaru cílícího na tato slabá místa ve snaze získat vyšší oprávnění.

Jak můžete ochránit svá zařízení?

Nejzákladnější při zabezpečení mobilních zařízení je nikdy neprovádět root nebo jailbreak. Jinými slovy úmyslně nezměnit práva, což by zároveň mohlo otevřít zařízení škodlivým kódům, jako je ransomware. Zároveň by měla být použita robustní bezpečnostní řešení. Organizace by měly používat řešení pro mobilní správu zařízení (MDM), ale ne všechny MDM nástroje jsou stejné. Některé jsou schopné identifikovat, kdy byl telefon uživatelem záměrně rootován, ale nerozpoznají, když to způsobí malware – a některé pokročilejší malwary se mohou proti takovým kontrolám úspěšně maskovat.

Účinnější je umístit podezřelé aplikace nebo soubory do karantény a kontrolovat je ve virtuálním prostředí ještě před stažením do zařízení. Eliminuje se tak hlavní metoda nebezpečných aplikací pro přístup k důležitým právům zařízení.

Veškeré stažené aplikace musí být pečlivě kontrolovány, přičemž použité bezpečnostní řešení musí zkoumat a odhalit jakékoli podezřelé chování.

Řešení pro prevenci mobilních hrozeb by měla používat řadu komponent, které budou pracovat dohromady a koordinovaně při reakci na většinu běžných mobilních útoků. Zařízení musí být neustále pod dohledem a analyzována, aby bylo možné odhalit systémové zranitelnosti a neobvyklé chování. Nastavení monitoringu a analýza chování mohou pomoci identifikovat pokusy o root přístup. Veškeré stažené aplikace musí být navíc pečlivě kontrolovány, přičemž použité bezpečnostní řešení musí zkoumat a odhalit jakékoli podezřelé chování.

Nepodceňujte ani jednoduché kroky, jako je například pravidelné zálohování dat na vašem zařízení, v nejhorším případě tak snadno obnovíte své soubory, aniž byste museli zaplatit za jejich odblokování.

Pomoc! Byl jsem infikován!

Bohužel je jen málo věcí, které může uživatel v případě infekce udělat, což je důvod, proč je důležité pravidelně zálohovat data uložená v mobilních zařízeních. Rozhodně byste ale neměli platit žádné výkupné a než se snažit pokusit o vlastnoruční dešifrování, měli byste raději vzít přístroj k nějakému specialistovi na mobilní bezpečnost. Pokud ale jde o mobilní ransomware, zdaleka nejlepší ochranou je prevence.