Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Wróg w Twoim telefonie

Tagi:

Wiele osób uważa, że smartfony nie są infekowane przez szkodliwe programy. Kiedyś było w tym trochę prawdy. Kilka lat temu operatorzy platform mobilnych projektowali swoje produkty z uwzględnieniem bardzo wysokiego poziomu bezpieczeństwa. Mobilne systemy operacyjne nie pozwalały szkodliwym programom łatwo przejąć kontroli nad urządzeniami i „zadomowić się” na nich. 

Niestety, te czasy już minęły. Urządzenia mobilne są dziś inne - oferują o wiele więcej. Współczesny smartfon to rozbudowane narzędzie pracy, centrum rozrywki oraz narzędzie do zarządzania osobistymi finansami. Im więcej potrafi robić, tym bardziej atrakcyjne jest dla cyberprzestępców, którzy chcą uszczknąć kawałek tego tortu. Z kolei, im bardziej kusząca nagroda, tym więcej tworzą szkodliwych aplikacji i wynajdują metod umożliwiających infekowanie komputerów i rozprzestrzenianie szkodliwego oprogramowania.

Szybki wzrost liczby trojanów mobilnych nie pozostawia złudzeń. Jego tempo rzeczywiście robi wrażenie: od I kwartału 2012 r. liczba szkodliwych programów zwiększyła się ponad dziesięciokrotnie, przekraczając w II kwartale 2014 roku próg 12 000 000.

mobile_threats_2015_1_auto.jpg

Liczba wykrytych szkodliwych pakietów instalacyjnych 

Spojrzenie na różne rodzaje szkodliwych programów również wiele mówi. Nietrudno zauważyć, że trojany SMS oraz wielofunkcyjne backdoory ustępują miejsca szkodliwemu oprogramowaniu adware oraz trojanom bankowych. Jednak to, że określony rodzaj szkodliwego oprogramowania traci udział w rynku, wcale nie oznacza, że zagrożenie to znika: należy również pamiętać, że łączna liczba szkodliwych programów atakujących urządzenia mobilne ciągle wzrasta.

mobile_threats_2015_en_2_auto.jpg

Rozkład mobilnego szkodliwego oprogramowania według funkcji (pliki z kolekcji firmy Kaspersky Lab)

Autorzy szkodliwego oprogramowania nie po to tworzą masowo szkodliwe programy, aby powiększać swoją prywatną kolekcję lub pochwalić się na jakimś forum. Wszystkie szkodliwe programy znajdują swoje ofiary. Od czasu do czasu okazuje się, że pozornie niegroźna luka w zabezpieczeniach zapewnia cyberprzestępcy dostęp do urządzeń mobilnych.       

Zrób to sam

Wierzcie lub nie, użytkownicy często infekują swoje urządzenia mobilne na własne życzenie.

Powszechnie znane są sposoby wprowadzenia szkodliwego kodu do komputera bez udziału użytkownika. Cyberprzestępcy włamują się do stron internetowych, użytkownicy odwiedzają te strony, a w ich przeglądarkach otwiera się ukryta ramka umożliwiająca pobranie szkodliwego oprogramowania na maszynę ofiary przy użyciu całego arsenału exploitów.

Zupełnie inaczej wygląda sytuacja na platformach mobilnych. Zasady, na których opierają się te platformy, oznaczają, że praktycznie nie istnieją luki w zabezpieczeniach, które umożliwiają cyberprzestępcom zaatakowanie urządzenia bez wiedzy czy zgody użytkownika. Dlatego też przestępcy potrzebują pomocy użytkowników: trojany muszą zostać zainstalowane i uruchomione przez swoje ofiary. Jak w tym starym dowcipie na temat pierwszego, prymitywnego wirusa: „proszę usuń wszystkie swoje istotne dane i sformatuj swój dysk twardy”. 

Instalowanie programów to jeden z najsłabszych punktów w platformach mobilnych, zwłaszcza w systemie Android. W systemie iOS zainstalowanie programu z innego źródła niż sklep App Store wymaga czasu; z kolei w systemie Android użytkownik może to zrobić, zaznaczając tylko jedno pole w ustawieniach. W efekcie system będzie sprawdzał podpis cyfrowy każdego pakietu instalacyjnego, co teoretycznie powinno ochronić urządzenie użytkownika przed szkodliwymi programami. Jest jednak jeden haczyk: nie istnieją centra certyfikacji dla Androida, dlatego każdy może stworzyć własny podpis. Oczywiście cyberprzestępcy podpisują własne potwierdzenie bezpieczeństwa i instalacja przebiega bez zakłóceń, gdy użytkownik kliknie „OK”.  

Wielu użytkowników rzeczywiście klika „OK”. W końcu jest to łatwiejsze niż przeprowadzenie „śledztwa” na temat aplikacji, którą zamierzasz wpuścić do swojego urządzenia.  

mobile_threats_2015_3_auto.jpg

Przeciętny użytkownik zwykle nie zwraca uwagi na bezpieczeństwo informacji. Ludzie uwielbiają dobre okazje i trudno im oprzeć się pobraniu za darmo użytecznego programu czy ulubionej gry ze strony, która sprawia wrażenie przydatnej. Po zainstalowaniu aplikacja często działa zgodnie z oczekiwaniami z wyjątkiem tego, że pieniądze „odpływają” z konta telefonu w niepokojącym tempie, a karta kredytowa użytkownika szybko staje się pusta…

mobile_threats_2015_4.jpg

Strona aktualizacji fałszywego programu Adobe Flash Player. Użytkownicy są proszeni o uaktualnienie przestarzałej wersji oprogramowania Flash Player na swoich urządzeniach

Niedoświadczeni użytkownicy nie wiedzą, że proces aktualizacji oprogramowania na smartfonach jest inny niż w przypadku komputerów stacjonarnych, dlatego cyberprzestępcy mogą podstępnie nakłonić ich do zainstalowania dosłownie wszystkiego pod pozorem przydatnej aktualizacji.  

Cyberprzestępcy są niezwykle agresywni i przebiegli, jeśli chodzi o atakowanie swoich celów: szkodliwe aplikacje są zwykle rozprzestrzeniane w postaci różnych atrakcyjnych programów, gier, filmików pornograficznych czy odtwarzaczy filmów pornograficznych.

Gdzie można znaleźć szkodliwe oprogramowanie

Ponieważ użytkownicy muszą zainstalować szkodliwe programy na swoich smartfonach osobiście, cyberprzestępcy muszą w jakiś sposób zwabić ich na stronę, na której dostępne jest szkodliwe oprogramowanie. Jedną z metod wykorzystywanych w tym celu jest „Black SEO". Black SEO to rodzaj optymalizacji wyników wyszukiwania, który skłania wyszukiwarki, aby wyświetlały odsyłacz do preferowanego szkodliwego zasobu na samej górze wyników wyszukiwania. Jak tylko strona uzyska najwyższą pozycję w wynikach wyszukiwania, przyciągnie mnóstwo nieświadomych użytkowników.     

Znudzony użytkownik wpisze hasło „Pobieranie gier dla Androida” w wyszukiwarkę i w pierwszym lub drugim wierszu na szczecie wyników wyszukiwania zostanie wyświetlony odsyłacz do strony internetowej. Taka strona może rzeczywiście zawierać gry, jednak wraz z nieprzyjemnymi dodatkami. Ludzie zwykle ufają stronom, które pojawiają się najwyżej w wynikach wyszukiwania. Użytkownicy uważają, że skoro dana strona jest odwiedzana przez tysiące osób, znajdą na niej grę lub program, których szukają. Użytkownicy nie zastanawiają się nad kwestią bezpieczeństwa. A to wielki błąd.       

mobile_threats_2015_5_auto.jpg

 

Aby wywindować szkodliwą stronę na szczyt wyników wyszukiwania, cyberprzestępcy często wykorzystują botnety: tysiące botów wysyła żądania wyszukiwania do przeglądarek Google i Yandex i odwiedza stronę cyberprzestępców, podbijając jej ranking. Odsyłacze do strony cyberprzestępców są również umieszczane na wszelkich rodzajach forów oraz w komentarzach na portalach informacyjnych. Znajdują je automatyczne boty wyszukiwarek, przez co pozycja stron zwiększa się jeszcze szybciej.

Naturalnie, wyszukiwarki próbują powstrzymać tego rodzaju nadużycia swoich usług poprzez blokowanie setek szkodliwych stron. Jednak dla cyberprzestępców to żaden problem: nieustannie tworzą i promują nowe strony z pomocą automatycznych narzędzi.  

Spam SMS to kolejny sposób zwabiania użytkowników na strony zawierające szkodliwe aplikacje. Może to być prosta, nieukierunkowana masowa wysyłka wiadomości zawierających odsyłacz do strony - przynajmniej niektórzy z odbiorców klikną taki odsyłacz. Jak tylko taki program zostanie pobrany na telefon użytkownika, zacznie wysyłać do całej listy kontaktów właściciela wiadomości SMS zawierające szkodliwy odsyłacz. Wiadomość od znajomej osoby nie wzbudza podejrzeń, szczególnie gdy tekst wygląda naturalnie, dlatego wiele osób rzeczywiście klika otrzymany odsyłacz w nadziei, że znajdzie jakieś zdjęcia lub dowcipy, które udostępnił ich przyjaciel. Po wejściu na stronę okazuje się, że tak naprawdę zawiera ona próbki szkodliwego oprogramowania pochodzące od cyberprzestępcy.    

Inna metoda pozwala cyberprzestępcom wykorzystać popularność legalnych zasobów. Cyberprzestępcy włamują się do popularnych zasobów online o dużej odwiedzalności, takich jak portale informacyjne, sklepy internetowe czy portale specjalistyczne. Jeśli znajdujące się na stronie oprogramowanie zawiera znane luki w zabezpieczeniach, kod jest osadzany w stronie i przekierowuje użytkowników na inną stronę zawierającą szkodliwe oprogramowanie. Jeśli nie zostaną znalezione żadne luki, cyberprzestępcy wciąż mogą próbować ukraść dane uwierzytelniające dostęp do strony na poziomie administratora poprzez wykorzystanie ataków phishingowych oraz socjotechniki. Jeśli im się uda, mogą dowolnie zmodyfikować stronę, w tym umieścić na niej szkodliwe oprogramowanie.       

mobile_threats_2015_6.jpg

Fałszywy Android Market

Ponadto, mobilne szkodliwe aplikacje są rozprzestrzeniane „w niemal uczciwy sposób” – za pośrednictwem sklepów z aplikacjami. Może to być legalny program z osadzonym szkodliwym kodem, specjalnie stworzona aplikacja podszywająca się pod przydatne funkcje lub podstawowy szkodliwy program zawierający jedynie nazwę i ikonkę w ramach kamuflażu.

mobile_threats_2015_7_auto.jpg

Fałszywy Google Play

Takie programy są zwykle umieszczane w nieoficjalnych sklepach z aplikacjami, które nie stosują żadnych mechanizmów bezpieczeństwa lub tylko pobieżnie sprawdzają publikowaną zawartość. Bywają jednak przypadki, gdy niebezpieczne programy zostają umieszczone w oficjalnych sklepach z aplikacjami - Google Play czy nawet Apple App Store, który ma opinię bezpieczniejszego. Naturalnie, producenci szybko usuwają szkodliwe oprogramowanie ze swoich sklepów - z drugiej strony, cyberprzestępcy również nie spoczywają na laurach.  

W jaki sposób cyberprzestępcy zarabiają pieniądze

Po tym, jak szkodliwe oprogramowanie dostanie się na smartfon, realizuje swoją misję zarabiania pieniędzy dla swojego właściciela, naturalnie na koszt użytkownika. Współczesne urządzenie mobilne to prawdziwa kopalnia złota dla cyberprzestępcy; trzeba tylko w odpowiedni sposób wydobyć to „złoto”.  

mobile_threats_2015_en_8_auto.jpg

Mobilne szkodliwe oprogramowanie: metody zarabiania pieniędzy

Kosztowne sztuczki

Najmniej wymagającą metodą zarabiania pieniędzy wykorzystywaną przez cyberprzestępców jest „nachalne” oprogramowanie adware. Wprawdzie nie wyrządza ono poważnych szkód, jednak wyskakujące reklamy szybko stają się denerwujące. Pozbycie się ich często stanowi wyzwanie: trzeba się trochę natrudzić, aby zidentyfikować, który program rzeczywiście „wytwarza” banery. Być może jest to Angry Birds HD, a może to coś, co posiada nazwę, której nie można przeczytać na głos, i podszywa się pod aplikację systemową.      

Istnieje również ciekawa kategoria fałszywych aplikacji, które nie robią zupełnie nic – ani dobrego ani złego – kosztują jednak sporo pieniędzy. Niektóre z nich to imitacje oferowane w sekcjach płatnych aplikacji w sklepach z aplikacjami, np. program, który obiecuje użytkownikowi, że uczyni go bogatym, w rzeczywistości jednak pokazuje na wyświetlaczu telefonu obrazek diamentu. Inne podszywają się pod przydatne aplikacje, takie jak programy antywirusowe, i żądają zapłaty od użytkownika w zamian za zapewnienie ochrony przed trojanami, które rzekomo opanowały urządzenie.

mobile_threats_2015_9_auto.jpg

Pieniądze z twojego telefonu

Klasyczną metodą na nielegalne zarobienie pieniędzy przy użyciu mobilnego szkodliwego oprogramowania jest wysyłanie SMS-a na numery o podwyższonej opłacie. Trojan uruchomiony w telefonie użytkownika wysyła kilka wiadomości SMS na numer o podwyższonej opłacie i w ten sposób opróżnia jego konto. Dostawca usług telefonicznych przelewa pieniądze z konta użytkownika do osoby wynajmującej numer o podwyższonej opłacie (cyberprzestępcy) bez zadawania jakichkolwiek pytań, ponieważ numery o podwyższonej opłacie nadal stanowią popularny sposób płacenia za różne rodzaje usług online.

Innym sposobem zarabiania pieniędzy na właścicielach zainfekowanych smartfonów jest kradzież ich cennych danych. W książce adresowej użytkownika, jego wiadomościach SMS i e-mailach znajduje się mnóstwo rzeczy, które mogą zainteresować cyberprzestępcę. Książka adresowa mogłaby zostać wykorzystana do uzupełnienia bazy danych spamerów, w efekcie czego kontakty właściciela zainfekowanego użytkownika otrzymywałyby sterty reklam i szkodliwych odsyłaczy. Ponadto, jeżeli użytkownik kiedykolwiek wysłał lub otrzymał dane uwierzytelniające do strony internetowej na poziomie administratora i nie aktualizował ich od tamtej pory, może być pewny, że cyberprzestępcy wykorzystają to i przyjmą jego stronę do swojej szkodliwej „rodziny”.  

mobile_threats_2015_10_auto.jpg

Smartfon czy portfel?

Istnieje mnóstwo trojanów żądających okupu, które są tworzone dla komputerów PC. Niedawno tego rodzaju zagrożenia zaczęły pojawiać się na urządzeniach mobilnych. Oszustwo jest proste: po zainstalowaniu na urządzeniu mobilnym trojan wyświetla ekran zawierający groźby oraz żądanie okupu. Użytkownik nie jest już w stanie korzystać ze swojego urządzenia. Może jedynie wprowadzić specjalny kod, który cyberprzestępcy obiecują wysłać, jak tylko zapłaci się im określoną kwotę. 

mobile_threats_2015_11.jpg

Komunikat wyświetlany przez oprogramowanie ransomware: „Twój telefon został zablokowany z powodu oglądania zakazanych stron pornograficznych (pedofilia, zoofilia)! Wszystkie zdjęcia i materiały filmowe zostały przesłane do dalszej analizy. Aby odblokować swój telefon oraz usunąć ten materiał, musisz w ciągu 24 godzin zapłacić karę w wysokości 1000 rubli. W tym celu doładuj numer XXXX w najnowszym kiosku płatniczym. Uwaga! Jeśli kara nie zostanie zapłacona, wszystkie dane zostaną upublicznione”

Trojan ten nie może zostać usunięty, chyba że zostanie wykonany twardy reset ustawień oraz zawartości pamięci flash urządzenia. Dla wielu osób wartość danych przechowywanych na urządzeniu jest tak wysoka, że decydują się zapłacić okup. Jednak cyberprzestępcy nie zawsze wysyłają kod odblokowujący, nawet jeśli ofiara zapłaci okup.   

Klucz do twojego banku

Jednak żadne z opisanych wyżej oszustw nie jest tak kosztowne jak pewien stosunkowo nowy sposób okradania właścicieli urządzeń mobilnych. W ostatnich latach rośnie popularność usług bankowości mobilnej. Każdy duży bank opracował aplikację, która pozwala klientom zarządzać swoimi pieniędzmi ze smartfona lub przynajmniej korzystać z usług bankowości SMS. 

Nieoczekiwanie wiele smartfonów stanowi klucz do kont bankowych – często do kilku kont jednocześnie. Otwiera to wiele możliwości uzyskania nielegalnych zysków – i obiecuje większe nagrody niż tradycyjne oszustwa oparte na wiadomościach SMS i oprogramowaniu ransomware. Nic dziwnego, że cyberprzestępcy szybko postanowili skorzystać z tej nowej okazji.

Z danych statystycznych wyraźnie wynika, jak bardzo twórcy wirusów mobilnych są zainteresowani kontami bankowymi użytkowników. Na początku 2013 kolekcja firmy Kaspersky Lab liczyła mniej niż sto trojanów bankowych; w październiku 2014 r. było ich ponad 13 000. 

mobile_threats_2015_12_auto.jpg

Liczba wykrytych szkodliwych programów bankowych

Trojany bankowe odnotowują wzrost popularności na całym świecie, jednak szczególnie widoczny jest on w Rosji. Jest to kraj, w którym twórcy szkodliwego oprogramowania testują swoje „twory”, zanim wykorzystają je w innych państwach.

mobile_threats_2015_13_auto.jpg

Geografia mobilnych zagrożeń bankowych. Styczeń – październik 2014 r. (Liczba prób instalacji trojanów bankowych)

Bankowość SMS to dla cyberprzestępców najprostsza droga do cudzych pieniędzy. Nie wymaga nawet tworzenia nowych narzędzi – obecne trojany SMS w zupełności wystarczą. Banki często zakładają, że telefon klienta jest zaufanym środowiskiem i wykonują polecenia SMS, nie żądając dodatkowych wyjaśnień. Klienci mogą przelewać pieniądze ze swoich kont bankowych na własne lub cudze konto na telefonie mobilnym. Przy pomocy tej funkcji cyberprzestępcy wysyłają odpowiedni SMS i przelewają pieniądze z konta ofiary na własne. Następnie mogą już łatwo pobrać pieniądze przy użyciu zaawansowanych systemów płatniczych wykorzystujących urządzenia przenośne.   

Dość często trojany bankowe współdziałają z trojanami komputerowymi. Jednym z przykładów jest Faketoken. Jeśli komputer użytkownika jest zainfekowany trojanem bankowym, szkodnik czeka, aż użytkownik zaloguje się na swoje konto w systemie bankowości online. Wtedy szkodliwy program uaktywnia się i wyświetla użytkownikowi okno, prosząc go o pobranie aplikacji dla Androida, która jest rzekomo niezbędna w celu bezpiecznego potwierdzenia transakcji. Łatwowierni użytkownicy posłusznie instalują Faketokena na swoich smartfonach. Następnie jest jedynie kwestią czasu, kiedy szkodliwe oprogramowanie na komputerze ukradnie dane uwierzytelniające, a cyberprzestępcy uzyskają dostęp do konta bankowego użytkownika. Podczas gdy użytkownicy przeprowadzają transakcję, Faketoken przechwytuje jednorazowy kod potwierdzający (mTAN) wysyłany przez bank za pośrednictwem wiadomości SMS. Efekt jest taki, że jakiś Vasily P. zgarnia sporą sumę pieniędzy pobranych z konta użytkownika i od razu deponuje ją w najbliższym bankomacie. Szkodnik ten zaatakował użytkowników w 55 krajach, między innymi w Niemczech, Szwecji, we Francji, Włoszech, w Wielkiej Brytanii oraz Stanach Zjednoczonych.

Trzecią metodą jest wykorzystywanie niezależnych mobilnych trojanów bankowych, które potrafią podszywać się pod aplikacje bankowości mobilnej lub po prostu imitować interfejs aplikacji bankowej. Trojan przechwytuje dane uwierzytelniające użytkowników i wysyła te informacje do swojego serwera kontroli (C&C). Cyberprzestępca wykorzystuje przechwycone dane w celu dokonania transakcji. Dobrym przykładem takiej taktyki jest Svpeng. Ten trojan mobilny otwiera okno na oknie legalnej aplikacji, podszywając się pod aplikacje bankowe największych rosyjskich i ukraińskich banków.  

mobile_threats_2015_14.jpg

Okno phishingowe imitujące aplikację banku

Przy użyciu tych programów cyberprzestępcy mogą w ułamku sekundy pozbawić użytkownika wszystkich oszczędności, wyczyścić jego konta i zamknąć lokaty. Mogą również wpędzić go w długi, wykorzystując cały dostępny kredyt.   

Kto kopie dołki pod sobą…

Odsetek szkodliwych aplikacji wśród wszystkich aplikacji zainstalowanych przez użytkowników różni się w zależności od państwa. Poniżej podajemy dane dla wybranych państw dla okresu od stycznia do października 2014 r. (według danych systemu Kaspersky Security Network):

Wietnam

2,34%

Szwajcaria

0,36%

Polska

1,88%

Indie

0,34%

Czechy

1,02%

Kanada

0,23%

Francja

0,84%

Niemcy

0,18%

Belgia

0,74%

Brazylia

0,17%

Chiny

0,73%

Włochy

0,09%

Ukraina

0,70%

Austria

0,07%

Rosja

0,69%

USA

0,07%

Meksyk

0,62%

Hong Kong

0,05%

Hiszpania

0,54%

Nowa Zelandia

0,05%

Białoruś

0,50%

Norwegia

0,04%

Iran

0,38%

Japonia

0,01%

W rzeczywistości zabezpieczenie się przed wszystkimi tymi zaawansowanymi zagrożeniami mobilnymi jest dość łatwe. Twórcy platform mobilnych dbają o kwestię bezpieczeństwa i to użytkownik często stanowi najsłabsze ogniwo w łańcuchu bezpieczeństwa. Ma to zarówno plusy jak i minusy. Może być problemem, ponieważ wielu użytkowników nie przywiązuje dużej wagi do swojego bezpieczeństwa. Pozytywnym aspektem jest jednak to, że wystarczy przestrzegać kilku prostych zaleceń, aby zabezpieczyć się na wypadek wszystkich powyższych zagrożeń.  

Zalecamy przestrzeganie poniższych prostych zasad.

  • Nie odblokowuj swojego smartfona metodą jailbreak/nie uzyskuj do niego dostępu na poziomie administratora. Chociaż zapewnia to dodatkowe możliwości na telefonie użytkownika, daje jednocześnie „zielone światło” cyberprzestępcom.   
  • Na telefonie z Androidem wyłącz opcję instalowania oprogramowania z niezaufanych  źródeł.
  • Zainstaluj na swoim telefonie produkt bezpieczeństwa mobilnego. Będzie analizował wszystkie aplikacje, zanim zostaną zainstalowane.
  • Nie klikaj żadnych odsyłaczy otrzymywanych za pośrednictwem wiadomości SMS, nawet jeśli pochodzą od osób, które znasz.
  • Jeśli klikniesz odsyłacz w wiadomości SMS, nie akceptuj żadnych pobrań ani instalacji.
  • Aktualizacje dla aplikacji pobieraj tylko z oficjalnych sklepów, nie ze stron osób trzecich.