Androidí supertelevizní krabičky nedávají slevu zadarmo
V poslední době se na trhu objevilo velké množství all-in-one TV zařízení s Androidem, která mimo jiné lákají na „neomezený“ bezplatný přístup k tisícům placených kanálů za jednorázovou cenu. Tato zařízení se objevují také na e-shopech renomovaných společností jako BestBuy, Walmart, ale i na Amazonu (ačkoli zde jsou prodávána třetí stranou).
Zároveň jsou velice vyhledávaná i u zákazníků, kteří zjišťují, že dřívější měsíční poplatky za kabelovou televizi byly vlastně relativně nízké ve srovnání s poplatky, které ve výsledku člověk zaplatí za streamovaný obsah od více společností. Zde je potřeba říci, že pokud je něco až podezřele výhodné nebo „bezplatné“, je velká šance, že reálnou cenou je vaše bezpečí a data.
Konkrétně tato zařízení, dle analýz, ve skutečnosti často skrytě zneužívají domácí síť, zapojují ji do nežádoucích proxy sítí a botnetů pro kyberkriminalitu a zneužívají je také např. pro podvody s reklamou nebo krádeže účtů. Server KrebsonSecurity se ve svém článku zaměřil konkrétně na zařízení Superbox, který je ovšem jen jednou z mnoha značek takovýchto zařízení.
Provozovatel zařízení Superbox uvádí, že jejich výrobky jsou zcela v souladu s platnou legislativou, ale hned při instalaci uživatele instruuje k odinstalovaní obchodu Google Play, čímž obchází certifikaci aplikací Google Play. Uživatel dále pokračuje instalací speciální aplikace „App Store“ se specifickými aplikacemi pro tato zařízení, které mu již umožňují nelegální streamování obsahu, což je zcela zjevně v rozporu s autorským právem. Vše je legální také podle influencerů, kteří za propagování těchto výrobků dostávají nezvykle vysoké provize až 50 % z každého prodaného kusu.
Oslovení výzkumníci navíc zjistili, že Superboxy hned pro zprovoznění kontaktují servery v Číně a mají předinstalované nástroje na sledování sítě a vzdálený přístup jako Tcpdump či Netcat. Na podobná zařízení již v minulosti podala žalobu společnost Google (červen 2025).
FBI a Google odhalily, že mnoho z těchto zařízení je zneužito jako součást botnetu „BADBOX 2.0“, který sestává z milionů kompromitovaných zařízení prodávaných přímo na západních trzích. Přes tyto botnety pak protéká velké množství škodlivého provozu s cílem generovat finanční zisky. Často také dochází k anonymnímu „praní“ síťového provozu firem, které chtějí maskovat scraping webů kvůli trénování AI.
Zákazníci často netuší, že spolu s nákupem přebírají i bezpečnostní rizika a ohrožují svou vlastní síť a soukromí a prodejci a výrobci si nad tím typicky myjí ruce tvrzením, že pouze dodávají hardware a nelze vinit je za volbu aplikací uživatele.
FBI varuje před necertifikovanými zařízeními neznámých značek, která vyžadují podezřelé zásahy do systému Android. Uživatelé by měli být opatrní především při používání zařízení, která vyžadují odinstalaci standardních Google služeb nebo neobvyklé změny v nastavení. Poznávacím znakem kompromitace může být také nadměrná síťová aktivita nebo nevysvětlitelné zpomalení připojení.
Útoky na uživatele účtů Signal a WhatsApp
CISA vydala 24. listopadu varování, že útočníci aktivně využívají komerční špionážní software a trojské programy vzdáleného přístupu k útokům na uživatele mobilních messengerů.
CISA uvedla jako příklady několik kampaní, které vyšly najevo od začátku roku. Mezi nimi byly útoky na messenger Signal ze strany několika proruských skupin s využitím funkce „propojených zařízení“. Byly také zaznamenány kampaně šířící špionážní software pro Android (ProSpy a ToSpy), které se vydávají za aplikace jako Signal a TikTok k útokům na uživatele ve Spojených arabských emirátech.
Kampaň ClayRat je zaměřena na uživatele v Rusku prostřednictvím Telegram kanálů a phishingových stránek-napodobenin, které se vydávají za populární aplikace. Byly zaznamenány cílené útoky na zranitelnosti v iOS a WhatsApp (CVE-2025–43300 a CVE-2025–55177), a útok využívající zranitelnost v zařízení Samsung Galaxy k instalaci špionážního softwaru LANDFALL.
Útočníci používají různé taktiky, včetně QR kódů, zero-click exploitů a šíření padělaných verzí messengerů. CISA také poznamenala, že útoky byly zaměřeny na vysoce hodnotné cíle, současné a bývalé vysoké úředníky a organizace občanské společnosti v USA, na Blízkém východě a v Evropě.
Pro boj proti hrozbě bylo doporučeno používat pouze komunikaci s end-to-end šifrováním (E2EE), zapnout FIDO autentizaci odolnou proti phishingu, upustit od vícefaktorové autentizace (MFA) založené na SMS, používat správce hesel pro ukládání všech hesel, nastavit PIN kód u operátora pro ochranu účtů mobilních telefonů, pravidelně aktualizovat software, vybírat nejnovější verzi hardwaru od výrobce mobilních telefonů pro maximální bezpečnost a nepoužívat osobní virtuální privátní síť (myšleno VPN třetích stran).
Pro uživatele iPhone bylo doporučeno zapnout režim uzamčení (Lockdown Mode), připojit iCloud Private Relay a zkontrolovat a omezit oprávnění pro citlivé aplikace. Pro uživatele Android: používat Rich Communication Services (RCS) pouze se zapnutým E2EE, zapnout rozšířenou ochranu pro Safe Browsing v Chrome, ujistit se, že je zapnut Google Play Protect, a zkontrolovat a omezit oprávnění aplikací.
Qilin zneužil MSP k útoku na jihokorejský finanční sektor
Qilin se stal jednou z nejaktivnějších ransomwarových operací roku 2025. Skupina provozující RaaS (Ransomware as a Service) zvýšila svou aktivitu hlavně v říjnu, kdy počet obětí přesáhl číslo 180.
Neobvyklý nárůst byl zaznamenán právě v říjnu 2025, kdy Jižní Korea dosáhla druhé příčky v pořadí nejvíce napadaných zemí, hned za Spojenými státy. Zatímco průměrně byly během roku napadeny dvě oběti měsíčně, v říjnu došlo k prudkému rozmachu a počet napadených firem se vyšplhal na 25, z toho 24 z jihokorejského finančního sektoru. Kampaň byla útočníky pojmenována „Korean Leaks“.
Skupina tvrdí, že se jim podařilo kompromitovat jediného managed service providera (MSP) a získat tak přístup k více cílům najednou.
Qilin je ruskojazyčná skupina označující se jako „političtí aktivisté“ a „vlastenci“. Jejich obchodní model je stejný jako u ostatních RaaS skupin: skupina poskytne malware a hacker nebo APT skupina (Advanced Persistent Threat) ho nasadí do sítě vybrané oběti. Qilin také pomáhá s vyjednáváním o výkupném; nabídku služeb dokonce obohatili o možnost „volejte právníka“, pomocí níž oběť komunikuje s členem RaaS skupiny specializujícím se na právní poradenství. Společně se potom podělí o kořist, ze které si nechávají kolem 20 %.
V případě „Korean Leaks“ byla kampaň původně prezentovaná s „ušlechtilým“ cílem odkrýt systémovou korupci jihokorejských politiků a podnikatelů a dokázat manipulaci na trhu s akciemi. V pozdější fázi se ale útočníci vrátili zpět k finanční motivaci. Skupina Qilin je zodpovědná i za následující útok.
Japonskému pivovaru Asahi utekla data
Pivní gigant, exportující za své hranice včetně Evropy a Asie, se přiznal k zasažení ransomwarovým útokem v září, kdy pozastavil vývoz a doručování a nebylo dostupné ani jejich call centrum, ani zákaznická podpora. V pondělí 29. září zastavila svůj provoz v japonské větvi, v pátek 3. října pak firma potvrdila, že se stala obětí ransomwaru.
Útok si přisvojila skupina Qilin, která na svém torovém webu zveřejnila 27 GB ukradených dat, včetně informací o zaměstnancích a finančních dokumentů, čítající na 9323 souborů a 29 fotografií.
Nyní se však firma Asahi přiznala, že zákeřný útočník ukradl osobní data 1,5 milionů lidí, kteří někdy kontaktovali zákaznickou podporu. Tato data pak obsahují jejich jména, adresy, telefonní čísla a e-mailové adresy. Dle posledních informací, které firma zveřejnila, se jednalo o 114 tisíc příjemců zpráv, 107 tisíc zaměstnanců a 168 tisíc rodinných příslušníků, včetně jmen, dat narození a pohlaví.
Vyšetřování odhlalilo, že přístup získali útočníci přes blíže nespecifikovaná síťová zařízení v místě provozu Asahi Group a dle jejich oficiálního, podrobnějšího vyjádření obnovili již k 27. listopadu provoz.
Operace WrtHug
Státem sponzorované hackerské skupiny používají při svých operacích mimo jiné i sítě ovládnutých IoT zařízení a domácích routerů. Tyto kampaně označované jako ORB (Operational Relay Box) jsou poslední dobou na vzestupu a sítě jsou využívány k DDoS útokům, nebo jako anonymizační platformy (proxy), které umožňují skrývat pravou identitu (IP adresu) útočníka.
Společnost SecurityScorecard ve spolupráci s výrobcem routerů ASUS analyzovala ORB vytvořený z routerů ASUS a pojmenovaný WrtHug.
Zařízení jsou ovládnuta kvůli zranitelnostem CVE-2023– 41345, CVE-2023–41346, CVE-2023–41347, CVE-2023–41348, CVE-2024–12912, CVE-2025–2492 a následně jsou začleněna do ORB sítě.
Nejčastějšími cíly útoků jsou routery:
- ASUS Wireless Router 4G-AC55U,
- ASUS Wireless Router 4G-AC860U,
- ASUS Wireless Router DSL-AC68U,
- ASUS Wireless Router GT-AC5300,
- ASUS Wireless Router GT-AX11000,
- ASUS Wireless Router RT-AC1200HP,
- ASUS Wireless Router RT-AC1300GPLUS,
- ASUS Wireless Router RT-AC1300UHP.
Pokud vlastníte jeden z uvedených ASUS routerů a najdete v něm nainstalovaný self-signed certifikát, který má Subject: CN=a,OU=a,O=a,L=a,ST=a,C=aa a vydavatele (Issuer) CN=a,OU=a,O=a,L=a,ST=a,C=aa je váš router pravděpodobně součástí sítě WrtHug.
Na následujících odkazech najdete, jak svůj ASUS router záplatovat a jak ho lépe zabezpečit.
Škodlivé rozšíření pro Chrome tajně přidávalo poplatky
Výzkumníci odhalili škodlivé rozšíření Crypto Copilot, které se vydávalo za nástroj pro usnadnění obchodování s kryptoměnami, ale ve skutečnosti při každém swapu na burze Raydium tajně přidávalo další instrukci do transakce. Ta odesílala malou částku SOL na peněženku útočníka – minimálně 0,0013 SOL nebo 0,05 % z objemu obchodu. Uživatelé ve svém prohlížeči viděli pouze běžný požadavek na swap, takže skrytý převod působil jako zcela legitimní součást transakce.
Kód rozšíření byl výrazně obfuskovaný a jeho rozhraní působilo důvěryhodně, což ztěžovalo odhalení skutečného účelu. Útočníkům se tak dařilo dlouhodobě generovat malé, ale pravidelné zisky pokaždé, když uživatel provedl obchod. Případ ukazuje riziko spojené s instalací neověřených rozšíření, která mají přístup k peněženkám a blockchainovým transakcím – i software v oficiálním Chrome Web Store může při nedostatečné kontrole představovat přímou finanční hrozbu.
Portál NÚKIB bodoval v soutěži Egovernment The Best 2025
Dne 24. listopadu získal Portál NÚKIB na Slavnostním večeru v Obecním domě v Praze 2. místo v letošním ročníku soutěže Egovernment The Best 2025, kterou každoročně vyhlašuje Magazín Egovernment. Ocenění v celostátní kategorii převzali náměstek ředitele NÚKIB Tomáš Krejčí a Jakub Onderka Product Owner Portálu NÚKIB. Do jubilejního 20. ročníku se přihlásilo 48 projektů digitalizace veřejné správy.
Portál NÚKIB je hlavním komunikačním nástrojem mezi regulovanými subjekty a Národním úřadem pro kybernetickou a informační bezpečnost. Jeho cílem je poskytovat přehledné a aktuální informace o kybernetické bezpečnosti a zároveň umožnit snadné provádění úkonů souvisejících s novým zákonem o kybernetické bezpečnosti.
Legitimní webové stránky jsou zneužívány k manipulaci webových prohlížečů v režimu AI
HashJack je nově objevená technika nepřímé injekce promptů (pokynů/příkazů pro prohlížeč v režimu umělé inteligence), kdy se škodlivé instrukce skrývají za znakem # v legitimních adresách URL, tedy v tzv. fragmentech.
Když AI prohlížeče odešlou úplnou URL (včetně fragmentu) svým AI asistentům, tyto skryté příkazy se automaticky provedou. To umožňuje útočníkům zkoušet realizovat různé škodlivé činnosti.
Jde o první známý typ útoků tohoto typu. Funguje pro webové prohlížeče v režimu umělé inteligence, včetně Comet (Perplexity), Copilot/Edge (Microsoft) a Gemini/Chrome (Google). Tradičních webových prohlížečů se tento problém netýká.
Ve zkratce
- Analýza: když pár chyb stačí k odhalení identity hackera i s rodinou
- Když jde o špionáž, tak neznají bratra
- Novinka v MS Teams, která má usnadnit spolupráci skrývá i potenciální hrozby
O seriálu
Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu CDT-CERT provozovaného společností ČD - Telematika a bezpečnostních specialistů Jana Kopřivy ze společnosti Nettles Consulting a Moniky Kutějové ze sdružení TheCyberValkyries. Více o seriálu…
