Rok 2017 byl bezesporu rokem ransomwaru. Ransomware je přitom jakýkoli typ škodlivého kódu, který za zpřístupnění infikovaného zařízení požaduje peníze. Běžní uživatelé, ale i nadnárodní organizace museli čelit masivním útokům, jakými byly NotPetya nebo WannaCry. Ransomware se ale nezaměřuje pouze na klasické počítače. Zneužívají ho i útočníci, kteří chtějí vydělat na vysoké popularitě mobilních zařízení a nejrozšířenějšího operačního systému Android.
Operační systém Android čelí nejčastěji třem kategoriím tohoto škodlivého kódu: lock-screen ransomwarům, PIN lockerům a crypto ransomwarům. U tzv. Lock-screen ransomwaru je zablokované celé zařízení vyskakovacím oknem, které celou svojí velikostí překrývá displej mobilu nebo tabletu. PIN lockery fungují podobně, k zablokování zařízení však zneužívají samotný ochranný mechanismus operačního systému – vstupní PIN kód nebo heslo. Ransomware změní tento PIN nebo heslo tak, že jej skutečnému majiteli zařízení neprozradí. V případě crypto ransomwaru je obsah infikovaného zařízení také zašifrován.
Kromě své hlavní funkce dokáže ransomware zaměřený na Android také:
- Promazat obsah zařízení
- Resetovat PIN nebo přístupové heslo do zařízení
- Otevřít v prohlížeči stránku
- Zaslat SMS zprávu na jakýkoli kontakt nebo na všechny kontakty
- Uzamknout nebo odemknout zařízení
- Ukrást přijaté SMS zprávy
- Ukrást kontakty
- Zobrazit zprávu od útočníků o výkupném za zablokovaná data
- Aktualizovat se na novější verzi
- Zapnout nebo vypnout mobilní data
- Zapnout nebo vypnout Wi-Fi
- Sledovat GPS polohu infikovaného mobilního zařízení
Ransomware pro Android se často vydává za legitimní aplikaci. Aby zvýšili svoje šance, že si oběť stáhne do mobilu škodlivý kód, útočníci maskují ransomware například jako populární hry či pornografické aplikace. Přestože Google ve svém obchodě s aplikacemi využívá vlastní ochranné mechanismy k tomu, aby se do něj nedostaly aplikace infikované škodlivým kódem, ne vždy fungují. Analytici společnosti ESET nahlásili společnosti Googlu již stovky vzorků škodlivého kódu přítomných v jeho obchodu, jimž se podařilo ochranné mechanismy obejít.
Jak chránit svoje zařízení s Androidem?
Pro uživatele zařízení s Androidem je důležité, aby věděli nejen o potenciálních hrozbách, ale i o způsobech, jak se jim bránit. Mezi nejdůležitější způsoby prevence patří:
- Pravidelně aktualizovat operační systém Android ve svém zařízení.
- Vyhýbat se neoficiálním obchodům s aplikacemi.
- Zálohovat všechna důležitá data uložená v mobilním zařízení.
- Používat aktualizovaná mobilní bezpečnostní řešení.
Pokud se však stanete obětí ransomwaru na Androidu, existuje vícero možností, jak se ho budete moci zbavit. U většiny jednoduchých locker-screen ransomwarů stačí spustit zařízení v Safe Mode (způsob spuštění Safe Mode závisí na konkrétním modelu zařízení), což zabrání spuštění aplikací třetích stran, včetně škodlivého kódu. Potom se dá škodlivá aplikace jednoduše odstranit. V případě, že už získala administrátorská práva, musí ji být předtím v nastavení zařízení odebrána.
Pokud ransomware s administrátorskými právy zablokoval zařízení PIN kódem nebo heslem, situace se komplikuje. Resetovat PIN nebo heslo by mělo být možné přes Android Device Manager společnosti Google nebo přes jiné MDM řešení. Rootnuté Android telefony mají mnohem více možností. Jako poslední řešení, pokud není k dispozici žádné MDM řešení, je možné resetovat zařízení do továrního nastavení, čímž však uživatel ztratí všechna data uložená v tomto zařízení. Pro uživatele se zálohovanými daty by to ale neměl být problém.
Pokud byl obsah zařízení zašifrován crypto ransomwarem, doporučujeme uživatelům kontaktovat dodavatele svojí bezpečnostní aplikace. V závislosti na variantě škodlivého kódu bude nebo nebude možné údaje dešifrovat. Platit výkupné se nedoporučuje.