Hlavní navigace

Postřehy z bezpečnosti: čínská auta jako nástroj sledování v USA

30. 9. 2024
Doba čtení: 6 minut

Sdílet

 Autor: Depositphotos
V dnešním díle se podíváme, jak čínská auta sledují obyvatele USA, prozkoumáme islamofobní obsah na britských WiFi sítích a na závěr se zaměříme na Necro trojan a Octo2 malware na platformě Android.

Čínská auta sledují obyvatele USA

Americké Ministerstvo obchodu navrhuje zákaz dovozu a prodeje automobilů a jejich dílů, které obsahuji software nebo hardware pocházející z Ruska nebo Číny. Jde zejména o tzv. systémy konektivity vozu (Vehicle Connectivity Systems, VSC) zahrnující Wi-Fi, Bluetooth, satelitní nebo celulární komunikační technologie, případně systémy autonomního řízení. Návrh by měl v případě úspěšného dokončení legislativního procesu začít platit pro software od roku 2027 a hardware od roku 2030. Předkladatelé uvádějí, že tyto technologie přinášejí významné riziko jejich zneužití pro nezákonné sledování, narušení kritické infrastruktury, nebo sabotáže. 

Dosud v USA vládnoucí administrativa prezidenta Bidena v pondělí vydala prohlášení, ve kterém zmiňuje rizika spojená s komunikačními systémy automobilů v souvislosti s jejich možným zneužitím právě Ruskem a Čínou, a tedy ohrožením národní bezpečnosti. Jako hrozby jsou zmíněny nejen možnosti přímého převzetí kontroly nad autonomními automobily, ale také sběr citlivých dat o pohybu vozů, jejich pasažérů, a v neposlední řadě i sběr dat z palubních kamer a dalších senzorů pro zmapování kritické infrastruktury USA a vytipování jejích slabých bodů. 

Tato akce je nejspíše jedním z výsledků vyšetřování zahájeného v květnu členy amerického senátu, kteří ve výzvě k němu uvádějí např. “.. tato auta znají vaše jméno, bydliště, číslo vaší kreditky, jak rychle jezdíte a jak prudce brzdíte, na co se ptáte hlasového asistenta, a kamery vidí i prostředí ve kterém se pohybujete”. Navazuje i na další opatření, která mají držet zejména čínská elektroauta mimo americké silnice, např. na květnové zvýšení dovozních cel na ně z 25 % na 100 %. Ve svém důsledku má opatření vest až k téměř úplnému vytlačení moderních čínských a ruských automobilů z amerického trhu. 

Wi-Fi síť na britských nádražích zobrazovala po útoku islamofobní obsah 

Veřejná bezdrátová WiFi síť na několika největších britských železničních stanicích, mj. v Londýně, Manchesteru, Birminghamu a Bristolu, se stala cílem útoku, během kterého byl uživatelům zobrazován islamofobní obsah. Zasaženo bylo patrně 19 z 20 stanic, kde je síť provozována telekomunikační společností Telent. Ve středu po 5:00 byla připojujícím se uživatelům zobrazena změněná úvodní stránka, tzv. landing page, která obvykle obsahuje informace o provozovateli, podmínku užití apod.

Nyní však obsahovala text „We love you, Europe“ a text isamofobní povahy odkazující na teroristické útoky v Manchesteru z roku 2017. Zástupci firmy Telent upřesnili, že k nahrazení obsahu stránky došlo po zneužití legitimního administrátorského účtu u společnosti Global Reach, která služby landing page poskytuje. Telent ve svém prohlášení upřesnil, že nedošlo k úniku osobních údajů uživatelů, a že incident je předmětem dalšího vyšetřování. 

Tato událost přichází relativně krátce po útoku na systémy britské státní dopravní společnosti Transport for London (TfL), zodpovědné za většinu provozované hromadné dopravy v Londýně. Ta 2. září oznámila incident, který vedl k omezení některých poskytovaných online služeb, a přestože dle společnosti nebyl narušen běžný dopravní provoz, útok způsobil potíže např. mnoha jejich zaměstnancům, kteří byli nuceni znovu získat přístup do interních informačních systémů.  

Mnohem zásadnější je ale to, že během útoku došlo k rozsáhlému úniku zákaznických dat. policií 5. září krátce vzat do vazby, a před svým propuštěním na kauci vyslechnut sedmnáctiletý mladík z britského Walsallu. 

Uživatelé Androidu, střezte se 

Při stahování aplikací z neoficiálních zdrojů by měla obezřetnost doprovázet většinu uživatelů. Kolik z nás je ovšem na pozoru i při užívání oficiálních zdrojů aplikací jako je Google Play či AppStore? Dle nedávného zjištění společnosti Kaspersky podlehlo až 11 milionů uživatelů zařízení běžících na operačním systému Android tzv. Necro Trojanu.  

Necro bylo popsáno již v roce 2019, kdy byl objeven Trojan v aplikaci CamScanner, jež na Google Play dosáhla až 100 milionů stažení. Tentokrát se „necromanceři“ rozhodli obnovit původní Trojan, přičemž jeho novou verzi implementovali jak do modifikovaných verzí aplikací dostupných z neoficiálních zdrojů, tak právě i do aplikací dostupných na Google Play platformě. Jedná se o obfuskovaný malware loader, který stahuje škodlivý obsah za použití steganografie tak, aby skryl svůj kód do zdánlivě neškodného obrázku. Stažené pluginy jsou následně schopné spustit jakékoli JavaScript a DEX soubory, tunelovat zařízení oběti a používat jej jako proxy, odebírat placené předplatné apod. Výsledkem je pak finanční zisk na straně škodlivých aktérů z nežádoucího zobrazování reklam na pozadí, instalace aplikací a APK souborů bez vědomí uživatele a odebírání nechtěných předplacených služeb napadeným zařízením.

Na Google Play platformě si uživatelé nevědomě infikovali svá zařízení Necro Trojanem například při stažení aplikace Wuta Camera (aplikace na editování fotografií) nebo Max Browser. Zatímco první zmíněná aplikace je již zveřejněná pouze ve verzi bez Necro Trojanu, druhá dle výzkumníků ze společnosti Kaspersky nemá žádnou verzi očištěnou od předmětného malwaru. Max Browser byl již stažen z Google Play platformy a všem současným uživatelům je silně doporučováno daný webový prohlížeč odinstalovat a používat jiný.  

Mezi aplikace, které byly infikované výše uvedeným Trojanem a distribuované na neoficiálních platformách, patří např. modifikovaná verze Spotify zvaná Spotify Plus, jež má svým uživatelům poskytovat prémiový obsah Spotify, avšak zcela zdarma. Podobně se vyskytoval i v modifikované verzi WhatsAppu (GBWhatsApp a FMWhatsApp). Stejně tak v alternativních verzích her jako je Minecraft, Stumble Guys, Car Parking Multiplayer a Melon Sanbox

Nová verze malwaru pro Android ohrožuje uživatele bankovních aplikací

Nová verze malwaru jménem Octo2 ohrožuje zařízení na platformě Android s cílem kompromitovat bankovní aplikace. Hrozba byla objevena kyberbezpečnostmi odborníky a představuje výrazné vylepšení oproti předchozí verzi. Tento malware se specializuje na přebírání kontroly nad nakaženými zařízeními a provádění podvodných bankovních transakcí. Vývojáři malwaru vylepšili stabilitu vzdáleného ovládání a přidali nové techniky, které ztěžují jeho detekci a analýzu. Aplikace, které Octo2 obsahují, zahrnují například falešné verze aplikací jako Google Chrome nebo NordVPN. 

Octo2 je přímým následníkem malwaru Exobot, který byl poprvé zaznamenán v roce 2016. V roce 2024 unikl zdrojový kód první verze malwaru Octo na internet, což vedlo k tomu, že různí útočníci začali vytvářet jeho modifikované varianty. Původní vývojáři Octo tak přišli s novou verzí malwaru, s tím, že její stávající uživatelé budou mít možnost přechodu na novou verzi za stejnou cenu. Kromě vylepšené stability má Octo2 také lepší metody pro obcházení bezpečnostních systémů, včetně tzv. Domain Generation Algoritmu (DGA), který umožňuje dynamicky generovat adresy serverů pro C2 kontrolu. 

CS24 tip temata

Nakažené aplikace zodpovědné za distribuci malwaru Octo2 jsou vytvořeny pomocí APK binding služby Zombinder. To umožňuje útočníkům integrovat malware do legitimní aplikace tak, že samotná instalace škodlivého kódu se tváří jako např. instalace validního pluginu do aplikace. Zatím nebylo zaznamenáno, že by Octo2 byl dostupný přes oficiální Google Play Store, což znamená, že uživatelé si ho pravděpodobně stahují z nedůvěryhodných zdrojů, nebo jsou obětí sociálního inženýrství. 

Ve zkratce

Pro pobavení

Friday, 5PM, There is an important SIEM alert

Friday, 5PM, There is an important SIEM alert

Autor: cybersecurity-news, podle licence: CC BY-NC 2.5

O seriálu

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu CDT-CERT provozovaného společností ČD - Telematika a bezpečnostních specialistů Jana Kopřivy ze společnosti Nettles Consulting a Moniky Kutějové ze sdružení TheCyberValkyries. Více o seriálu…

ikonka

Zajímá vás toto téma? Chcete se o něm dozvědět víc?

Objednejte si upozornění na nově vydané články do vašeho mailu. Žádný článek vám tak neuteče.

Autor článku

Články tvoří společně jednotliví členové týmu CERT společnosti ČD - Telematika a.s.