S rozvojem technologií škodlivého softwaru se vyvíjejí také služby, které kybernetičtí zločinci nabízejí jedincům, kteří chtějí proniknout do hackerské sféry. Pokud se škodlivý subjekt pokusí propašovat malware do vašeho zařízení, aniž byste o tom věděli, může si najmout někoho, kdo poskytuje služby doručování malwaru, aby mu pomohl dosáhnout tohoto cíle.
Pojďme se tedy podrobněji podívat na to, co je to doručování malwaru jako služba a jak se před tímto typem útoku chránit.
Co je to dropper?
Dropper je specifický typ trojského koně, který se tváří jako neškodný, avšak v sobě ukrývá potenciálně nebezpečné překvapení. Trojské koně se obecně snaží přesvědčit uživatele nebo systém, aby je vnímali jako bezpečné, což je důvod, proč jsou pojmenováni po slavném trojském koni z historie.
Samotné droppery obvykle neobsahují žádný škodlivý kód. To znamená, že pokud antivirový program prohledá dropper, neoznačí ho jako škodlivý. Během této první fáze se dropper pokusí usadit v počítači uživatele a požádá o oprávnění k přístupu k určitým službám a souborům.
Vzhledem k tomu, že uživatel považuje software dropperu za neškodný, udělí mu oprávnění k přístupu k požadovaným funkcím. Jakmile k tomu dojde, malware dropper se přesune do druhé fáze a kontaktuje servery pro stahování malwaru. Následně nainstaluje malware do cílového systému s využitím nově nabytých oprávnění, aby se vyhnul odhalení.
Pro další informace o tomto typu malwaru se podívejte na článek, který vysvětluje, co je to trojský dropper.
Co je „dropper jako služba“?
Droppery jako služba jsou součástí rozsáhlé kategorie služeb, které kyberzločinci prodávají na černém trhu. Možná jste již narazili na termín „jako služba“ v kontextu malwaru; používá se například v pojmech jako ransomware jako služba.
V tomto případě někdo nabízí dropper jako službu, protože má rozsáhlé znalosti v programování dropperů a chce nabídnout své dovednosti na černém trhu. Jejich cílovou skupinou jsou vývojáři malwaru, kteří navrhli škodlivý kód, ale potřebují pomoc s jeho instalací do zařízení uživatelů. Tito vývojáři se obracejí na poskytovatele dropperů, aby obcházeli antivirové systémy.
Služby dropperů mohou být na černém trhu poměrně levné. Jedna zpráva z The Register uvádí, že některé služby dropperů účtovaly 2 dolary za 1000 doručení malwaru. To je pro někoho, kdo vyvíjí malware k finančnímu obohacování, zanedbatelná částka.
Je však důležité si uvědomit, že ne vše, co končí s příponou „jako služba“, je škodlivé. Například umělá inteligence jako služba umožňuje firmám a klientům pronajmout si naše AI řešení pro legitimní účely.
Příklad dropperu jako služby: SecuriDropper
Pro lepší pochopení toho, jak funguje dropper jako služba, se podívejme na příklad z reálného světa. SecuriDropper je obzvláště nebezpečný typ dropperu, který se zaměřuje na telefony s operačním systémem Android a infikuje je malwarem pomocí metody doručování.
Jak uvádí Bleeping Computer, SecuriDropper je navržen tak, aby obcházel specifická bezpečnostní opatření v systému Android 14. Pokud se pokusíte nainstalovat aplikaci, která nepochází z oficiálního obchodu Google Play, nebude mít povolen přístup k citlivějším funkcím vašeho telefonu, například k nastavení usnadnění.
Pro obejití tohoto omezení může vývojář malwaru přidat SecuriDropper do neškodně vypadající aplikace a umístit ji na web třetí strany. Některé aplikace obsahující SecuriDropper se vydávají za běžně používané aplikace; například jedna z nich se tvářila jako Google Translate. Aplikace neobsahuje žádný škodlivý kód, takže ji antivirové programy neodhalí.
Oběť si poté aplikaci stáhne a pokusí se ji nainstalovat. Během instalace aplikace požádá o povolení přístupu k úložišti telefonu. Pokud je to povoleno, aplikace zobrazí falešnou chybovou zprávu, že se instalace nezdařila. Poté nabídne uživateli tlačítko s tvrzením, že po jeho stisknutí se aplikace přeinstaluje.
Pokud uživatel tlačítko stiskne, dropper vyšle signál na servery pro stahování malwaru, aby nainstalovaly škodlivý kód. Protože uživatel udělil aplikaci oprávnění k přístupu do úložiště telefonu, může dropper nainstalovat malware takovým způsobem, aby nebyl v systému Android 14 identifikován jako aplikace ze zdroje třetí strany.
To pak umožňuje aplikaci žádat o oprávnění, o která aplikace třetích stran obvykle žádat nemohou. Pokud uživatel tato oprávnění udělí, získá malware přístup ke všem potřebným funkcím pro pokračování ve svých aktivitách.
SecuriDropper byl zodpovědný za doručování různých typů malwaru. Některé kmeny například instalují SpyNote, který může získávat data z vašeho telefonu, zatímco jiné instalují bankovního trojského koně, maskovaného jako falešný prohlížeč Chrome.
Jak se chránit před malwarem dropper?
Malware droppery mohou znít děsivě, ale nejčastěji se vyskytují na webech třetích stran. Proto je vždy nejlepší stahovat aplikace z oficiálních zdrojů.
Pokud používáte počítač, instalujte pouze aplikace z oficiálních webových stránek. Aplikaci obvykle najdete na webu vývojáře, ale někdy vývojář použije pro stažení externího hostitele. Pokud si nejste jisti, zda je web bezpečný, před stažením si jej ověřte.
Pokud je součástí vašeho operačního systému obchod s aplikacemi, je stahování aplikací z něj bezpečnější než stahování z webů třetích stran. Obchody jako Microsoft Store a Google Play mají bezpečnostní opatření, která pomáhají chránit uživatele před hrozbami, jako jsou droppery.
I když je to pravda, není rozumné věřit každé aplikaci, kterou vidíte v oficiálním obchodě s aplikacemi. Vývojáři malwaru mohou najít způsoby, jak propašovat škodlivé aplikace do těchto obchodů, a to do té míry, že Google Play není před malwarem 100% bezpečný.
Naštěstí stejné postupy, které lze využít k odhalení podvodných aplikací pro Android v Google Play, platí i pro ostatní obchody s aplikacemi. Pokud se vám na aplikaci něco nezdá, nestahujte ji.
Jak se bránit proti dropper malwaru?
Přestože droppery představují nepříjemnou hrozbu, můžete se proti nim chránit pomocí osvědčených postupů stahování aplikací. A s tím, jak se droppery stávají službou, je obrana proti nim důležitější než kdykoli předtím.