Kdo nevypne na mobilu tuto nenápadnou ikonu, může příjit úplně o všechno

Když Google před lety představil takzvané Služby přístupnosti, šlo o revoluční krok směrem k inkluzivitě. Lidé se zrakovým postižením, motorickými obtížemi nebo jinými handicapy najednou mohli plnohodnotně používat chytré telefony. Aplikace díky tomuto rozhraní dokázaly číst obsah obrazovky nahlas, simulovat dotyky nebo pomáhat s navigací v systému. Jenže právě tato mocná funkce se během posledních let stala jedním z nejzneužívanějších vstupních bodů pro mobilní malware.

Princip je znepokojivě jednoduchý. Služby přístupnosti ze své podstaty potřebují přístup prakticky ke všemu, co se na obrazovce děje – musí vidět texty, tlačítka, formuláře. A právě tohle útočníci zneužívají. Jakmile uživatel udělí škodlivé aplikaci toto oprávnění, získává malware schopnost číst veškerý zobrazený obsah včetně hesel, simulovat dotyky a gesta, zachycovat psané texty a kopírovat data ze schránky. To vše na pozadí, bez jakékoliv další interakce ze strany oběti.

Sociální inženýrství místo hackování

Zajímavé je, že nejde o žádnou softwarovou chybu nebo bezpečnostní díru v klasickém slova smyslu. Útočníci nehackují systém – hackují lidskou důvěřivost. Prostřednictvím podvodných SMS zpráv, falešných e-mailů nebo škodlivých reklam přesvědčují uživatele, aby sami udělili nebezpečné aplikaci potřebná oprávnění. Zpráva může vypadat jako oznámení od banky, upozornění na nedoručený balíček nebo varování před údajným virem.

Bankovní trojské koně jako SharkBot, Xenomorph, ERMAC nebo TeaBot fungují právě na tomto principu. Jakmile získají přístup ke Službám přístupnosti, začnou monitorovat spouštěné aplikace. Ve chvíli, kdy oběť otevře bankovní aplikaci, překryjí ji falešným přihlašovacím oknem, které vypadá naprosto identicky. Uživatel zadá své údaje v domnění, že se přihlašuje do banky, a ty okamžitě putují k útočníkům. Malware navíc dokáže zachytávat i jednorázové ověřovací kódy z SMS, čímž obchází dvoufaktorové ověření.

Proč je Android zranitelnější

Je férové říct, že tento konkrétní typ útoku se týká primárně zařízení s operačním systémem Android. Jeho otevřenost a flexibilita, která je v mnoha ohledech výhodou, zde představuje slabinu. Apple iOS má přísnější mechanismy oddělení aplikací, které brání jedné aplikaci v takto rozsáhlé interakci s ostatními. To ovšem neznamená, že by uživatelé iPhonů mohli polevit v ostražitosti – phishing, slabá hesla nebo zneužití MDM profilů se týkají všech platforem.

Co mě na celé věci znepokojuje nejvíc, je nenápadnost. Komunikace mezi malwarem a řídícími servery probíhá přes běžné internetové protokoly, splývá s normálním provozem. Oběť si často ničeho nevšimne, dokud nezjistí podezřelé transakce na účtu nebo dokud jí nepřijde upozornění z banky.

Jak se bránit

Základem je pravidelná kontrola udělených oprávnění. V nastavení telefonu v sekci Dostupnost nebo Usnadnění najdete seznam aplikací, které mají přístup ke Službám přístupnosti. Pokud tam vidíte něco, co nepoznáváte nebo co tam logicky nepatří, je to varovný signál.

• Instalujte aplikace výhradně z oficiálního Google Play Store
• Buďte skeptičtí ke zprávám vyzývajícím k instalaci čehokoliv
• Udržujte systém a aplikace aktualizované
• Aktivujte si vícefaktorové ověření všude, kde je to možné
• Pokud aplikace na svítilnu žádá přístup ke Službám přístupnosti, něco je špatně

Služby přístupnosti zůstávají důležitým nástrojem pro lidi, kteří je skutečně potřebují. Problém není v samotné funkci, ale v tom, jak snadno ji lze zneužít, když uživatel není dostatečně obezřetný. V digitálním světě platí víc než kde jinde: největší zranitelností není software, ale lidská důvěřivost.