Výzkum nevládní organizace specializující se na ochranu soukromí snímá roušku ze zcela italského malwaru určeného ke špehování a odposlouchávání uživatelů Androidu
V Obchodě Play běží virus pro Android vyrobený v Itálii: jmenuje se Exodus a je obsažen ve zhruba 20 infikovaných aplikacích, které si již stáhlo a používá tisíc lidí. Údajně jej vyrobila společnost eSurf se sídlem v Catanzaru, která se specializuje na sledovací systémy a v minulosti uzavřela smlouvy s italskými donucovacími orgány.
To vyplývá ze zprávy nevládní organizace Security Without Borders, která se specializuje na kybernetické útoky a ochranu soukromí aktivistů v oblasti lidských, politických a sociálních práv a spolupracuje s časopisem Motherboard.
Co dělá malware Exodus, který odposlouchává Italy
Z hloubkové zprávy nevládní organizace vyplývá, že hlavním účelem malwaru Exodus je shromažďovat informace o uživateli infikovaného chytrého telefonu. Škodlivý kód totiž může shrábnout od všeho trochu: seznam nainstalovaných aplikací, okolní zvuk zaznamenaný mikrofonem telefonu, historie procházení a záložky z prohlížečů Chrome a SBrowser (prohlížeč v telefonech Samsung), události kalendáře, protokoly hovorů, záznam telefonních hovorů, pořizování fotografií fotoaparátem, informace o telefonních buňkách, výpis adresáře, seznam kontaktů na Facebooku, protokoly z konverzací v aplikaci Messenger, pořizovat snímky obrazovky libovolné aplikace, extrahovat informace o obrázcích z Galerie, extrahovat informace z Gmailu, kontakty a zprávy z aplikace Skype, obnovit všechny SMS zprávy a zprávy a šifrovací klíč z Telegramu, data Viber Messengeru a protokoly z WhatsApp, ale také obnovit soubory vyměňované s WhatsApp, heslo sítě Wi-Fi, ke které jste připojeni, data WeChat a dokonce i GPS souřadnice telefonu.
Které aplikace jsou infikovány Exodusem
Malware Exodus byl naočkován do nejméně dvaceti aplikací, všechny v italštině a v italském jazyce, pravidelně nahrávaných do Obchodu Play, jejichž filtry nezjistily žádné ohrožení uživatele. Z prvotního průzkumu provedeného službou Bufale.net vyplývá, že těchto deset aplikací je určitě infikovaných: Asistence linky, Speciální nabídky, Personalizované nabídky telefonu, Prémiové telefonní služby, Nabídky pro vás, Reaktivace asistence linky, Operátor Itálie, Promo nabídky, Asistence SIM a Nabídky telefonu pro vás. Virus běží nejméně od roku 2016, takže je možné, že další infikované aplikace ještě nebyly objeveny. Společnost Google již údajně odstranila všechny infikované aplikace ze svého obchodu.
Jak virus Exodus funguje
Infekce virem Exodus začíná stažením a instalací jedné z infikovaných aplikací. Virus má dvě fáze, nazvané "Exodus 1" a "Exodus 2", z nichž první má za úkol přečíst kód IMEI mobilního telefonu a sdělit jej serveru Command & Control. Toto chování by naznačovalo, že se jedná o malware naprogramovaný ke špehování určitého počtu uživatelů, což je scénář slučitelný s policejním odposlechem.
Ve skutečnosti však organizace Bezpečnost bez hranic zjistila, že i když je zaslaný IMEI nového mobilního telefonu na jedno použití, který byl aktivován pouze pro testovací účely, Exodus se stále aktivuje stažením druhého balíčku Exodus 2, který obsahuje skutečný virus, který začne sledovat naše chování. Mezi vážná rizika, která Exodus představuje, patří skutečnost, že buď záměrně, nebo v důsledku nesprávného naprogramování ponechává několik portů otevřených a činí smartphone zranitelným pro kohokoli připojeného ke stejné síti Wi-Fi a (možná) i ke stejné buňce mobilního operátora.
Proč Exodus ovlivňuje i běžné uživatele?
V posledních hodinách se kolem tohoto viru rozpoutala vášnivá debata: pokud je pravda, jak vše nasvědčuje, že jde o virus vytvořený za účelem hloubkového odposlechu prostředí, proč byl vpraven do aplikací, které si každý může volně stáhnout z oficiálního obchodu Google? Nejrozšířenější hypotéza je zároveň nejméně uklidňující: do Obchodu Play byla umístěna proto, aby mohla být testována před použitím v oficiálních vyšetřováních. V minulých hodinách se k této záležitosti vyjádřil garant ochrany soukromí Antonello Soro: "Zpráva o odposlechu stovek občanů, kteří vůbec nesouvisí se soudním vyšetřováním, v důsledku pouhé chyby v provozu počítačového odposlechu používaného pro vyšetřovací účely, vyvolává velké znepokojení a bude předmětem řádného šetření, a to i ze strany garanta v rámci jeho kompetencí.
Jak se bránit proti viru Exodus
Pokud jste si v minulosti stáhli některou z infikovaných aplikací, je téměř jisté, že je váš smartphone infikován a že Exodus o vás shromažďuje obrovské množství dat. K odstranění viru je třeba použít kvalitní antivirový program, který je aktualizován na nejnovější verzi. Problém však spočívá v tom, že existence tohoto malwaru se stala známou teprve nedávno, takže není jisté, zda nejrozšířenější antivirový software dokáže Exodus odhalit.