RAT virus se v telefonu skrývá. A potají uživatele šmíruje

AhMyth není pro bezpečnostní experty žádná novinka, první verze se objevila již v roce 2017. V letošním roce ale tohoto nezvaného návštěvníka kyberšmejdi vylepšili a masivně jej šíří napříč celým světem.

„Šíří se prostřednictvím aplikací pro Android, které lze nalézt v obchodech s aplikacemi a na různých webových stránkách,“ varoval Petr Kadrmas, bezpečnostní expert Check Pointu.

AhMyth patří do kategorie tzv. RAT virů. Název je to poměrně trefný, neboť pod zkratkou se skrývá anglické označení Remote administration tool, tedy česky nástroj vzdálené správy. To patrně nejvíce vystihuje, jak se tyto škodlivé kódy v praxi chovají.

V napadeném zařízení dovede tento nezvaný návštěvník nadělat velkou neplechu. „Když si uživatel nainstaluje některou z infikovaných aplikací, může malware krást citlivé informace ze zařízení a sledovat stisknuté klávesy, pořizovat snímky obrazovky, odesílat SMS zprávy a aktivovat fotoaparát,“ konstatoval Kadrmas.

RAT viry jsou evidentně mezi kyberzločinci v letošním roce v módě. Minulý měsíc varovali bezpečnostní experti Esetu před škodlivým kódem AsyncRAT, který se masivně šířil Českem.

„Jakmile se jednou dostane do systému, umožní útočníkům nad ním získat vzdálenou kontrolu. Jeho zdrojové kódy jsou veřejně dostupné na internetu a každý si je tak může stáhnout a upravit si škodlivý kód pro své účely. Proto má tento malware řadu různých variant s různými funkcemi – pro krádeže citlivých údajů, monitorování našeho chování nebo zneužití našeho počítače k dalším útokům,“ varoval Martin Jirkal, vedoucí analytického týmu v pražské pobočce Esetu.

Právě rozsahem funkcí, které mohou útočníci využít, je tento nezvaný návštěvník velmi nebezpečný. „Útočníci ho mohou průběžně vyvíjet a svůj útok tak přizpůsobovat, aniž by museli znovu vymýšlet cesty, jak dostat škodlivý kód k uživatelům. Jednotlivé funkcionality se poté instalují prostřednictvím různých pluginů,“ konstatoval Jirkal.

Jirkal zároveň popsal, co všechno mohou útočníci s tímto RAT virem dělat: „Mezi základní funkce patří například vzdálené monitorování a zaznamenávání obrazovky našeho zařízení, nahrávání pomocí webkamery, manipulace se soubory, zaznamenávání stisků kláves na klávesnici nebo krádež hesel a souborů cookies z prohlížečů Chrome či Firefox.“

„Dále mohou pluginy trojského koně AsyncRAT obsahovat i pokročilé funkce pro komplexnější typy útoků. Mezi ně patří například spuštění .NET kódu, možnost těžit kryptoměnu Monero nebo tzv. seedování torrentů, tedy šíření torrentu s účelem udržet ho dostupný ke stažení. Jednou z dostupných funkcí je ale také možnost spustit útok typu DDoS, který je například v posledním roce velmi častým typem útoku na veřejné instituce v České republice,“ doplnil bezpečnostní expert.

Snížit riziko infiltrace tohoto škodlivého kódu do systému uživatelé mohou, pokud nebudou stahovat aplikace z neznámých zdrojů a nebudou otevírat přílohy v nevyžádaných e-mailech. Naopak je nutné pravidelně aktualizovat operační systém, všechny používané aplikace a pravidelně provádět kontroly antivirového systému.