Analytici Avastu odhalili na komunikační platformě Discord online komunitu dětí a náctiletých, kteří vytvářejí, směňují a šíří malware. A to včetně vyděračského ransomwaru a různých typů programů ke krádeži dat či nelegální těžbu kryptoměn.
Zatímco některé děti tvoří malware pouze pro zábavu, jiné si prostřednictvím ransomwaru nebo prodeje kradených uživatelských dat přivydělávají.
Kromě popsané kriminální činnosti se v této komunitě na Discordu rozvíjejí také hádky a šikana. Na diskusním fóru navíc děti často sdílejí své osobní údaje, jako je věk nebo informace o rodičích.
Skupina láká mladé uživatele na software a sady nástrojů, které umožňují laikům jednoduše vytvořit malware. V některých případech si lidé musí přístup k nástroji pro tvorbu malwaru koupit, aby se mohli ke skupině připojit, v jiných se nejprve stanou členy skupiny a následně si mohou nástroj pořídit za symbolický poplatek 5 až 25 eur.
„Hacknout někoho se může zdát jako zábava, což je důvod, proč jsou tyto komunity pro děti a mládež tak atraktivní. Nástroje pro tvorbu malwaru nabízí snadný a levný způsob, jak se někomu nabourat do zařízení a pak se tím chlubit kamarádům. V některých případech si děti mohou také vydělat peníze, buď šířením ransomwaru, těžbou kryptoměn nebo prodejem kradených uživatelských dat,“ vysvětluje výzkumník malwaru v Avastu Jan Holman. „Nicméně všechny tyto činnosti jsou trestné a mohou mít pro děti závažné osobní i právní důsledky, zejména pokud děti odhalují informace o sobě a svých rodinách nebo pokud si zakoupeným malwarem infikují vlastní počítač a tak ohrozí i svou rodinu. Jejich data, včetně online účtů a bankovních údajů, se tak mohou dostat do rukou kyberzločinců,“ dodává Holman.
Software pro tvorbu malwaru je nástroj, který uživatelům umožňuje vytvářet škodlivé soubory, aniž by museli cokoli programovat. Uživatelé si obvykle pouze vyberou funkce a přizpůsobí detaily, jako je ikona aplikace. Existuje několik rodin malwaru založených na tomto softwaru, které mají podobná uživatelská rozhraní s mírně odlišným vzhledem, barvami, názvy a logy. Obvykle se jedná o krátkodobé projekty založené na zdrojovém kódu z platformy GitHub nebo jiného nástroje, s novým logem, názvem a někdy mírně vylepšenými nebo novými funkcemi.
Vybrané servery na platformě Discord používá komunita dětí a náctiletých jako diskusní fórum a prodejní místo pro rodiny malwaru jako je Lunar, Snatch nebo Rift, které zapadají do současného trendu malwaru jako služby (malware-as-a-service). Skupina na Discordu zaměřená na prodej malwaru Lunar měla více než 1,5 tisíce uživatelů, z nichž si 60-100 zakoupilo přístup k softwaru pro tvorbu malwaru. Ceny tohoto nástroje se liší podle jeho typu a podle délky přístupu.
Druhy malwaru, které si děti a náctiletí vyměňovali, cílí na nezletilé i dospělé uživatele a v některých variantách obsahují nástroje na krádeže hesel a citlivých informací, těžbu kryptoměn nebo dokonce ransomware. Pokud si například zákazník zakoupí nástroj pro tvorbu malwaru a rozhodne se jej využít ke krádeži dat, vygenerovaný vzorek odešle všechna odcizená data zpět k tomu, kdo jej vytvořil a rozšířil. Pokud si zákazník vygeneruje vzorek ransomwaru, oběť mu bude muset zaslat peníze do jeko kryptopeněženky. Mezi další využívané funkce patří krádeže herních účtů, mazání složek s hrami Fortnite a Minecraft nebo žertík s opakovaným otevíráním prohlížeče na stránkách s obsahem pro dospělé. Avast vytvořil detekce chránící uživatele před vzorky šířícími se na serverech a dotčenou komunitu požádala, aby o těchto skupinách informovala.
Šíření malwaru prostřednictvím YouTube
Některé děti používají k prodeji a distribuci svého malwaru videa na YouTube, která údajně zobrazují informace o cracknuté hře nebo link na herní cheat. Adresa URL však ve skutečnosti vede na jejich malware. Aby v divácích vzbudili důvěru, požádali ostatní členy komunity na Discordu, aby video lajkovali nebo k nim napsali komentáře, ve kterých ho podpoří a potvrdí jeho pravost. V některých případech dokonce požádali ostatní, aby v komentářích tvrdili, že pokud jejich antivirový software detekuje soubor jako škodlivý, jedná se o falešný poplach.
„Tato technika je poměrně zákeřná, protože místo falešných účtů a botů jsou k podporování škodlivého obsahu využíváni skuteční lidé. Škodlivý odkaz tak vypadá důvěryhodněji a může oklamat více lidí,“ dodává Holman.
Analytici Avastu také online komunity sledovali a zjistili, že tato kriminální činnost je zčásti míněna jako žert, ale často je opravdu cílem krádež dat a peněz. Ačkoli se většina členů v aktivitách vzájemně podporuje, některé konverzace byly značně vyhrocené. Na diskuzním fóru se děti téměř denně urážejí kvůli věku. Kromě toho zde také zveřejňují svůj věk, rozebírají nápady, jak napadnout učitele nebo školní systémy a v konverzacích zmiňují své rodiče. Mezi více soutěživými účastníky také docházelo k hádkám a šikaně, která vedla až k přivlastnění si cizího kódu a pomluvám.
Jak děti chránit před nebezpečnými aktivitami na internetu
„Děti se na internetu umí často pohybovat lépe než dospělí. Je proto důležité jim vysvětlit, že k informacím a zdánlivě atraktivním nabídkám, jako jsou reklamy na nové herní prvky zdarma dostupné mimo oficiální obchody s aplikacemi, by měly vždy přistupovat kriticky,“ vysvětluje odbornice na dětskou online bezpečnost Avastu Julia Szymańska „Dětem navíc v digitálním prostoru chybí etické vedení, aby dokázaly posoudit, co je správné a co je špatné. To, co se může zdát odvážné a zábavné, může ve skutečnosti ostatním způsobit vážnou újmu a být dokonce trestné. I v tomto směru je tak role rodičů nepostradatelná.“
Rodiče by také měli dbát na to, aby děti na platformách, jako je Discord nebo Minecraft, nesdílely žádné osobní údaje a své online účty si vždy dobře zabezpečily. Hesla k nim by neměly nikomu sdělovat, a to ani kamarádům nebo lidem, kteří jim chtějí pomoct ve hře.