Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Ewolucja mobilnego szkodliwego oprogramowania: 2010

Tagi:

Denis Maslennikow
Ekspert z Kaspersky Lab

Wprowadzenie

klp_mobile_evolution_pt_4.png Od publikacji naszego poprzedniego raportu dotyczącego ewolucji zagrożeń mobilnych (http://www.viruslist.pl/analysis.html?newsid=559) miało miejsce kilka istotnych wydarzeń.

Po pierwsze, nastąpiły zmiany w dystrybucji systemów operacyjnych dla urządzeń mobilnych. Android konsekwentnie zdobywa nowych użytkowników, pozostawiając system Windows Mobile daleko w tyle. Wzrost udziału w rynku odnotował również iOS (system operacyjny dla iPhone’a/iPoda Touch/iPada) oraz BlackBerry, podczas gdy Symbian wciąż odnotowuje straty.

Po drugie, lista platform atakowanych przez szkodliwe programy została rozszerzona o iOS i Androida. Zgodnie z naszymi przewidywaniami, szkodliwe programy atakujące iOS potrafią infekować tylko iPhony, na których przeprowadzono tzw. jailbreak, czyli złamano ich fabryczne zabezpieczania, aby zyskać możliwość instalowania aplikacji spoza App Store.

Szkodliwe programy i ataki stały się ogólnie bardziej złożone.

Na koniec warto wspomnieć, że celem przeważającej większości szkodliwych programów wykrytych w zeszłym roku jest kradzież pieniędzy użytkowników urządzeń mobilnych.

Tradycyjnie rozpoczniemy nasz przegląd od zaprezentowania statystyk.

Rodziny i warianty. Statystyki i zmiany.

Popularność smartfonów oraz wzrost liczby oferowanych przez nie nowych usług prowadzi do wzrostu liczby szkodliwych programów wykorzystywanych przez cyberprzestępców do zarabiania pieniędzy na użytkownikach urządzeń mobilnych.

Do połowy sierpnia 2009 roku analitycy z Kaspersky Lab zarejestrowali 106 rodzin oraz 514 wariantów szkodliwych programów atakujących urządzenia mobilne. Przed końcem 2010 roku liczby te zwiększyły się do 153 rodzin i ponad 1 000 wariantów. Innymi słowy, w 2010 roku wykryliśmy o 65,12 proc. więcej nowych szkodliwych programów atakujących urządzenia mobilne niż w 2009 roku, czyli na przestrzeni ponad 17 miesięcy ich liczba zwiększyła się prawie dwukrotnie.

Pod koniec 2010 roku sytuacja dotycząca mobilnego szkodliwego oprogramowania wyglądała następująco:

Platforma Liczba rodzin Liczba wariantów
J2ME 45 613
Symbian 74 311
Python 5 60
Windows Mobile 16 54
Android 7 15
Sgold 3 4
MSIL 2 4
iOS 1 2

Liczba rodzin i wariantów według platformy

Te same dane zostały przedstawione niżej na diagramie kołowym:


Rozkład wariantów wykrytych zagrożeń według platformy

Jak widać, tworzenie trojanów J2ME stało się niezwykle popularne wśród cyberprzestępców: liczba wariantów zagrożeń dla platformy J2ME prześcignęła nawet liczbę zagrożeń atakujących Symbiana. Czytelnicy powinni pamiętać, że szkodliwe aplikacje napisane w Javie stanowią zagrożenie nie tylko dla użytkowników smartfonów, ale również dla właścicieli zwykłych telefonów komórkowych. Ogólnie, szkodniki te próbują wysyłać wiadomości tekstowe na krótkie numery.

 enlarge.gif
Wzrost liczby znanych wariantów (2004-2010)

 enlarge.gif
Miesięczne wahania liczby nowych wariantów (2004-2010)

Poniżej znajduje się tabela przedstawiająca mobilne szkodliwe zagrożenia, które pojawiły się w okresie między sierpniem 2009 r. a grudniem 2010 r. (prezentacja według rodziny):

Rodzina Data wykrycia Platforma
Trojan-SMS.Kipla sierpień 2009 J2ME
Trojan-SMS.Jifake sierpień 2009 J2ME
Trojan-SMS.Vkofk sierpień 2009 J2ME
Trojan-SMS.Cyppy sierpień 2009 WinCE
Trojan-SMS.Lopsoy październik 2009 Symbian
Trojan-SMS.BadAssist listopad 2009 Symbian
Net-Worm.Ike listopad 2009 iOS
Trojan-SMS.VScreener listopad 2009 J2ME
Trojan-SMS.Levar listopad 2009 WinCE
Trojan-SMS.Druleg grudzień 2009 J2ME
not-a-virus:Monitor.Flesp grudzień 2009 Symbian
not-a-virus:Monitor.Dadsey grudzień 2009 Symbian
Trojan-SMS.Sejweek grudzień 2009 WinCE
Trojan-SMS.Luanch luty 2010 WinCE
Trojan-Spy.Cripper luty 2010 WinCE
Trojan-SMS.Picong marzec 2010 J2ME
Worm.Megoro marzec 2010 Symbian
Trojan.Terdial kwiecień 2010 WinCE
not-a-virus:Montior.Mobspy kwiecień 2010 WinCE
Trojan-SMS.Smmer kwiecień 2010 J2ME
Trojan-Spy.Mijispy kwiecień 2010 J2ME
Trojan-PSW.Vkonpass maj 2010 J2ME
Trojan-SMS.Slishow maj 2010 J2ME
not-a-virus:Monitor.Bond006 czerwiec 2010 WinCE
not-a-virus:Monitor.Bond006 czerwiec 2010 Symbian
Trojan-PSW.Facekob czerwiec 2010 Python
not-a-virus:Monitor.RedGoldEye czerwiec 2010 WinCE
SMS-Flooder.Spammo czerwiec 2010 J2ME
Trojan-SMS.Zonagal czerwiec 2010 J2ME
Trojan-PSW.Liamgpass czerwiec 2010 Python
Worm.Sagasi czerwiec 2010 Symbian
Trojan-Spy.Reples czerwiec 2010 Symbian
Trojan-SMS.FakePlayer sierpień 2010 Android
not-a-virus:Monitor.Tapsnake sierpień 2010 Android
Trojan-SMS.Abcmag sierpień 2010 WinCE
Trojan-Spy.Zbot wrzesień 2010 Symbian
Worm.Nmplug listopad 2010 Symbian
Trojan-Spy.GPSpy listopad 2010 Android
Trojan-Spy.Fakeview listopad 2010 Android
Trojan-SMS.Pocha listopad 2010 WinCE
Trojan-PSW.FakeLogin grudzień 2010 J2ME
Trojan-Downloader.Minplay grudzień 2010 Symbian
not-a-virus:Monitor.Replicator grudzień 2010 Android

W sumie pojawiło się 46 nowych rodzin

Liczba nowych wariantów i nowych rodzin szkodliwego oprogramowania atakującego różne platformy, które zostały wykryte między sierpniem 2009 roku a grudniem 2010 roku:

Platforma Liczba nowych rodzin Liczba nowych wariantów
J2ME 13 431
Symbian 12 58
Python 2 15
Windows Mobile 11 28
Android 7 15
iOS 1 2
Łączna liczba nowych zagrożeń: 46 549

Nowości

Mobilne szkodliwe programy, za pomocą których cyberprzestępcy mogą zarabiać pieniądze

Tradycyjnie, świat mobilnego szkodliwego oprogramowania jest zdominowany przez programy wysyłające wiadomości tekstowe na krótkie numery o podwyższonej opłacie. Wykorzystywanie trojanów SMS to dla cyberprzestępców nadal najłatwiejszy i najskuteczniejszy sposób zarabiania pieniędzy. Przyczyna jest stosunkowo prosta: każdy telefon posiada “bezpośrednie połączenie” z pieniędzmi właściciela urządzenia w postaci jego konta mobilnego. To właśnie to “bezpośrednie połączenie” aktywnie wykorzystują cyberprzestępcy.

Jeden z takich trojanów - Trojan-SMS.AndroidOS.FakePlayer - zaczął nawet wykorzystywać zasoby z treściami dla dorosłych. Zainfekowane tym programem smartfony wysyłają od razu aż cztery wiadomości tekstowe na numer wykorzystywany do regulowania płatności za dostęp do materiałów pornograficznych.

Jednak od 2010 roku wysyłanie płatnych wiadomości tekstowych przestało być jedynym nielegalnym sposobem zarabiania pieniędzy przez cyberprzestępców.

W 2010 roku, po raz pierwszy w 6-letniej historii istnienia mobilnego szkodliwego oprogramowania, wykryliśmy trojana (Trojan.WinCE.Terdial.a) wykonującego połączenia na międzynarodowe numery o podwyższonej opłacie.

Ponadto, cyberprzestępcy przeprowadzili ukierunkowany atak phishingowy na użytkowników jednego z holenderskich banków z wykorzystaniem robaka stworzonego dla iPhone’a (Net-Worm.IphoneOS.Ike.b) . Gdy użytkownik próbował odwiedzić stronę banku z zainfekowanego tym robakiem smartfonu, był przekierowywany na stronę phishingową.

Kolejny nowy szkodliwy program (Trojan-Spy.SymbOS.Zbot.a), który pojawił się na scenie, był wykorzystywany przez cyberprzestępców do obejścia uwierzytelnienia za pośrednictwem SMS-ów stworzonego dla klientów bankowości online. Trojan ten został wykorzystany w złożonym ataku w połączeniu z niebezpiecznym trojanem ZeuS.

Wszystkie te szkodniki te zostały bardziej szczegółowo omówione w dalszej części.

Technologie

Od opublikowania ostatniego Przeglądu twórcy mobilnego szkodliwego oprogramowania nie rozwinęli żadnej nowej technologii. Mimo tego nowe szkodliwe programy aktywnie wykorzystują znane technologie, których różne połączenia mogą być bardzo groźne.

Szkodliwi użytkownicy zaczęli na przykład kontrolować i łączyć swoje szkodliwe programy ze zdalnych serwerów, dzięki czemu mogli:

  • szybko uzyskiwać skradzione dane użytkownika
  • uaktualnić parametry działania szkodliwego oprogramowania
  • dołączać do botnetów zainfekowane mobilne urządzenia

To oznaczało, że ataki przeprowadzane przez mobilne zagrożenia osiągnęły całkowicie nowy poziom.

Zagrożenia mobilne na wolności

Przyjrzyjmy się najważniejszym szkodliwym programom tworzonym dla różnych platform, które istniały w okresie od sierpnia 2009 r. do grudnia 2010 r.

Symbian

Worm.SymbOS.Yxe

Na początku lata 2009 został wykryty czwarty nowy wariant robaka Worm.SymbOS.Yxe.

Warto przypomnieć, że w momencie pojawienia się robaka Yxe na początku 2009 roku, był on pierwszym szkodnikiem, jaki powstał dla smartfonów z platformą Symbian S60 3rd edition. Zagrożenie to, oprócz możliwości samodzielnego rozprzestrzeniania się za pośrednictwem wiadomości tekstowych oraz zbierania danych o telefonie i jego właścicielu, posiadało jeszcze jedną cechę wyróżniającą: wszystkie jego warianty posiadały podpis cyfrowy Symbiana i potrafiły wykonać swój kod na każdym smartfonie z systemem Symbian S60 3rd edition.

Czwarty wariant tego robaka, Yxe.d, nie tylko rozsyłał wiadomości tekstowe, ale również uaktualniał szablon wiadomości tekstowych połączony ze zdalnym serwerem. Yxe.d pokazał, że mobilny szkodliwy program potrafi działać ze zdalnych serwerów prowadzonych przez szkodliwych użytkowników jak również otrzymywać od nich uaktualnienia i polecenia. Niestety, system ten działa dość sprawnie – co oznacza, że możliwość tworzenia botnetów mobilnych już istnieje!

Przy okazji warto nadmienić, że pierwszy szkodliwy program dla urządzeń mobilnych z możliwością otrzymywania poleceń od szkodliwych użytkowników (Backdoor.WinCE.Brador) pojawił się już w sierpniu 2004 roku. Jednak aż do tej pory nie stanowił większego zagrożenia, ponieważ w tym czasie smartfony nie były stale podłączone do Internetu. Dzisiaj natomiast technologie bezprzewodowe stały się bardzo rozpowszechnione i znacznie więcej osób może pozwolić sobie na Internet mobilny. To z kolei stanowiło niezbędny warunek rozwoju zagrożenia mobilnego, które w ten czy inny sposób współdziałałoby ze zdalnym serwerem kontrolowanym przez szkodliwego użytkownika.

Sytuacja nieco uspokoiła się po pojawieniu się wersji .d. Na początku 2010 roku chińscy twórcy wirusów stojący za robakiem Worm.SymbOS.Yxe po raz kolejny uaktualnili swój twór. Najnowszy wariant tego robaka obejmował następujące funkcje:

- Robak próbował łączyć się z chińskim portalem społecznościowym

- Szkodnik potrafił pobierać pliki

Wiadomość tekstowa, za pośrednictwem której robak rozprzestrzeniał się, oferowała możliwość poznania szczegółów prywatnego życia sławnej chińskiej aktorki Zhang Ziyi. Użytkownik, który kliknął odsyłacz za pośrednictwem Internetu mobilnego, był proszony o pobranie i zainstalowanie pliku LanPackage.sisx. Jeżeli użytkownik odwiedził stronę za pośrednictwem przeglądarki uruchomionej na komputerze, pojawiała się strona ‘404 Error’.


Innymi słowy, zdalny serwer weryfikował informacje o tym, skąd następuje połączenie (aplikacja, system operacyjny, ustawienia językowe itd.) i jeśli użytkownik nie trafił na stronę za pośrednictwem Internetu mobilnego, wyświetlał komunikat o błędzie.

W momencie wykrycia tego robaka dodana do niego funkcja pobierania plików działała poprawnie, mimo że zdalny serwer szkodliwego użytkownika nie zawierał gotowych do pobrania plików.

Trojan-SMS.SymbOS.Lopsoy

Do jesieni 2009 roku Worm.SymbOS.Yxe był jedynym tego rodzaju zagrożeniem atakującym urządzenia mobilne z platformą Symbian S60 3rd edition i posiadającym podpis cyfrowy Symbiana. Jednak w październiku 2009 roku Kaspersky Lab wykrył nowego trojana SMS dla smartfonów z tym systemem: szkodnik otrzymał nazwę Trojan-SMS.SymbOS.Lopsoy i również posiadał podpis cyfrowy Symbiana.


Data sygnatury cyfrowej trojana

Trojan ten został umieszczony na wielu zasobach hostujących pliki pod przykrywką różnych mobilnych aplikacji i gier, łącznie z tymi zawierającymi treści dla dorosłych. Po przeniknięciu do smartfonu użytkownika szkodliwy program wykonywał następujące działania:

  1. Przeprowadzał autouruchamianie
  2. Rozpoczynał wyszukiwanie punktu dostępu internetowego w celu połączenia się ze zdalnym serwerem szkodliwego użytkownika
  3. Po połączeniu się z serwerem otrzymywał numer o podwyższonej opłacie, na który wysyłał następnie wiadomości tekstowe. Tekst wiadomości wychodzących również był dostarczany.


Adres URL serwera szkodliwego użytkownika w kodzie trojana

W przeciwieństwie do prymitywnych trojanów SMS przeznaczonych dla platformy J2ME Lopsoy oferował szkodliwym użytkownikom znacznie więcej możliwości. Po zainfekowaniu szkodliwym oprogramowaniem telefon nieustannie łączył się ze zdalnym serwerem, a szkodliwy użytkownik regularnie zmieniał tekst wiadomości wychodzących oraz numer, na który były wysyłane.

Pojawił się jeszcze jeden podpisany cyfrowo szkodliwy program dla platformy Symbian S60 3rd edition, który potrafił łączyć się ze zdalnym serwerem w celu otrzymywania parametrów operacyjnych.

Trojan-Spy.SymbOS.Zbot

Pod koniec września 2010 roku specjaliści z S21Sec wykryli szkodnika potrafiącego przesyłać na określony numer SMS-y przychodzące do użytkownika zainfekowanego telefonu. Na początku program nie wydawał się szczególnie interesujący. Później jednak okazało się, że zagrożenie to było, po pierwsze, związane z dobrze znanym trojanem ZeuS, po drugie, szkodliwi użytkownicy nie byli zainteresowani wszystkimi wiadomościami przychodzącymi, a jedynie tymi, które zawierały kody uwierzytelniające dla transakcji bankowych online. Kaspersky Lab nadał temu zagrożeniu nazwę Trojan-Spy.SymbOS.Zbot.a.

Atak wyglądał następująco:

  1. Zbot kradł dane dostępu do bankowości online z zainfekowanego komputera.
  2. Po potwierdzeniu numeru telefonu ofiary szkodliwy użytkownik wysyłał wiadomość tekstową zawierającą odsyłacz do szkodliwego programu dla smartfonów.
  3. Gdy użytkownik kliknął szkodliwy odsyłacz, był proszony o pobranie aplikacji, którą mógł zainstalować, a tym samym uruchomić trojana
  4. Następnie szkodliwy użytkownik próbował dokonać transakcji za pośrednictwem usług bankowości online, które wymagają potwierdzenia przy użyciu wiadomości tekstowej.
  5. Bank wysyłał na numer telefonu ofiary wiadomość tekstową z kodem uwierzytelniającym.
  6. Następnie szkodliwy program wysyłał tę wiadomość do cyberprzestępcy.
  7. Szkodliwy użytkownik uzyskiwał kod uwierzytelniający i przeprowadzał transakcje bankowe online.

Również ten szkodnik posiadał legalny podpis cyfrowy.

Tak złożony plan ataku świadczy o tym, że szkodliwi użytkownicy nieustannie rozszerzają swoje zainteresowania. Przed wykryciem tego zagrożenia uwierzytelnienie przy użyciu wiadomości tekstowej stanowiło jeden z najpewniejszych sposobów ochrony podczas przeprowadzania transakcji bankowych za pośrednictwem Internetu. Jednak szkodliwi użytkownicy znaleźli sposób na obejście nawet tego poziomu ochrony.

Windows Mobile

Obecnie system operacyjny Windows Mobile traci swoją pozycję na rynku urządzeń mobilnych. Wśród powodów tego stanu rzeczy można wymienić następujące:

  1. Microsoft wprowadził nowy system operacyjny dla smartfonów - Windows Phone – zarzucając jednocześnie dalszy rozwój systemu Windows Mobile.
  2. Zmniejsza się liczba nowych modeli smartfonów z zainstalowanym systemem Windows Mobile.
  3. Od pewnego czasu Windows Mobile nie był w ogóle aktualizowany.

Jednak mimo spadającej popularności tego systemu operacyjnego twórcy wirusów są wciąż tak samo aktywni.

Trojan-SMS.WinCE.Sejweek

Pod koniec 2009 roku pojawił się nowy trojan SMS atakujący platformę Windows Mobile: Trojan-SMS.WinCE.Sejweek. Pod wieloma względami szkodnik ten przypominał Lopsoy’a. Istnieje jednak kilka różnic.

Po pierwsze, podobnie jak w przypadku Lopsoy, Sejweek próbował łączyć się ze zdalnym serwerem. Jeżeli próby te powiodły się, trojan pobierał plik XML, taki jak ten poniżej:


Plik XML pobrany przez program Sejweek

Jak widać, informacje znajdujące się pomiędzy niektórymi znacznikami zostały zaszyfrowane. Poniższa tabela jest przechowywana w kodzie trojana i wykorzystywana do odszyfrowywania.


Tabela wykorzystywana do odszyfrowywania zaszyfrowanego kodu

Po odszyfrowaniu dane pomiędzy znacznikami <phone> oraz <interval> wyglądają jak poniżej:


Odszyfrowany plik XML

Zawartość znaczników <phone> i <interval> pokazuje, że szkodliwy program wysyła co 11 minut płatne wiadomości tekstowe z zainfekowanego telefonu na krótki numer 1151. Biorąc pod uwagę fakt, że trojan ten regularnie aktualizuje plik XML – tj. pobiera nowe dane w celu wysyłania krótkich wiadomości – nikogo nie powinno zdziwić, że szkodnik ten potrafi bardzo szybko wyczyścić mobilne konto użytkownika.

Niestety, nie jest to jedyny przykład szkodliwego oprogramowania atakującego ten system operacyjny, które zarabia na swoich ofiarach.

Trojan.WinCE.Terdial

W 2010 roku po raz pierwszy wykryto trojana wykonującego połączenia na numery międzynarodowe. Pod koniec marca na wielu międzynarodowych stronach internetowych oferujących darmowe oprogramowanie dla smartfonów z systemem Windows Mobile pojawiła się nowa gra o nazwie 3D Anti-Terrorist. Oprócz samej gry spakowany ZIP-em folder o rozmiarze 1,5MB zawierał również plik o nazwie reg.exe, który w rzeczywistości był trojanem (wykrywanym jako Trojan.WinCE.Terdial.a) wykonującym płatne połączenia międzynarodowe.

Po zainstalowaniu i uruchomieniu pliku antiterrorist3d.cab w folderze Pliki programów instalowała się gra, a w folderze systemowy m - kopia 5 632-bajtowego szkodliwego pliku reg.exe pod nazwą smart32.exe.

Bardziej szczegółowa analiza kodu tego zagrożenia ujawniła następujące fakty:

  • Szkodnik został stworzony przez rosyjskojęzycznych cyberprzestępców
  • Zagrożenie wykorzystywało funkcję automatycznego uruchamiania CeRunAPpAtTime
  • Po pierwszym uruchomieniu się każdego miesiąca trojan realizował połączenia z 6 różnymi numerami o podwyższonej opłacie.


Lista numerów, na które wykonywane były połączenia

+882******7 – Sieci międzynarodowe
+1767******1 – Republika Dominikany
+882*******4 - Sieci międzynarodowe
+252*******1 - Somalia
+239******1 - San Tomé oraz Príncipe
+881********3 – Globalny satelitarny system mobilny

W celu rozprzestrzeniania tego szkodnika jego autor wykorzystywał stosunkowo popularną i legalną grę, 3D Anti-Terrorist, która została opracowana przez chińską firmę Huike. Wielu użytkowników Internetu instaluje darmowe lub “zhakowane” oprogramowanie, o czym doskonale wiedzą cyberprzestępcy, którzy pod przykrywką legalnych plików umieszczają na stronach oferujących zhakowane oprogramowanie swoje szkodliwe programy. Właśnie to miało miejsce w opisywanym incydencie. Niestety, w przyszłości będziemy świadkami podobnych incydentów.

iPhone

W poprzednim podsumowaniu ewolucji mobilnego szkodliwego oprogramowania przewidywaliśmy, że na infekcję będą narażone tylko te iPhony, na których przeprowadzono jailbreak lub zainstalowano aplikacje z nieoficjalnych źródeł. Nasze prognozy okazały się słuszne.

Net-Worm.IphoneOS.Ike

Na początku listopada 2010 roku wykryto pierwszego robaka dla iPhone’a, któremu nadano nazwę Net-Worm.IphoneOS.Ike.a. Na ryzyko infekcji narażeni byli użytkownicy, którzy dokonali jailbreaka swojego iPhone’a lub iPoda Touch bez zmiany domyślnego hasła SSH. Robak ten nie wyrządzał żadnych poważniejszych szkód swoim ofiarom: oprócz podmieniania tapety smartfonów na zdjęcie gwiazdy muzyki z lat 80 - Ricka Astleya - nie wykonywał żadnych innych działań.

Jednak już kilka tygodni później wykryto nowego robaka atakującego iPhone’a: Net-Worm.IphoneOS.Ike.b. Szkodnik ten kradł dane użytkownika i umożliwiał cyberprzestępcom przejęcie zdalnej kontroli nad zainfekowanymi smartfonami. Ten konkretny wariant atakował również użytkowników tylko tych iPhone’ów oraz iPodów Touch, na których przeprowadzono jailbreak, w przypadku gdy nie zostało zmienione domyślne hasło SSH.


“Luka” wykorzystywana przez Ike.b

Ofiarą ataków tego robaka padły również osoby korzystające z usług internetowych holenderskiego banku ING Direct. Klienci tego banku, którzy próbowali wejść na jego stronę z iPhone’a zainfekowanego tym szkodnikiem, byli przekierowywani na stronę phishingową. Wprowadzone na niej dane trafiały do szkodliwych użytkowników.

Android

Platforma Android, która zdobyła znaczący udział w rynku, przez pewien czas nie cieszyła się dużym zainteresowaniem twórców wirusów. Jednak wszystko zmieniło się w sierpniu 2010 roku, gdy wykryto pierwsze szkodliwe oprogramowanie atakujące ten system operacyjny. Od tego czasu pojawiały się zarówno nowe warianty tego zagrożenia jak i inne szkodliwe programy atakujące Androida – w sumie zarejestrowano siedem rodzin.

Trojan-SMS.AndroidOS.FakePlayer

Jak już zauważyliśmy, pierwszym wykrytym na wolności szkodliwym programem dla smartfone’ów z Androidem był Trojan-SMS.AndroidOS.FakePlayer, który został zidentyfikowany na początku sierpnia 2010 r.

Niestety nie można powiedzieć nic konkretnego o sposobie rozprzestrzeniania się pierwszej wersji tego trojana. Pewne jest tylko to, że FakePlayer nie rozprzestrzeniał się za pośrednictwem Android Marketu, czyli oficjalnego sklepu Google.

Natychmiast po uruchomieniu się na zainfekowanym telefonie użytkownika trojan ten wysyłał trzy wiadomości tekstowe na dwa krótkie rosyjskie numery.

Drugi wariant trojana Trojan-SMS.AndroidOS.FakePlayer pojawił się na początku września 2010 r., mniej więcej miesiąc po wykryciu pierwszego. Jednak jego główna funkcja niewiele się zmieniła. Wykrycie drugiej wersji FakePlayera rzuciło nieco światła na jego sposób rozprzestrzeniania się. Jak wiemy, twórcy wirusów często wykorzystują do rozprzestrzeniania szkodliwych programów zainteresowanie materiałami pornograficznymi. Takie treści odegrały dużą rolę również w rozprzestrzenianiu programu FakePlayer.

Obecnie właściciele rosyjskich stron zawierających płatne treści dla dorosłych oferują odwiedzającym szybki dostęp do zawartości serwisu przy pomocy urządzeń mobilnych: użytkownik wysyła wiadomość SMS o określonej treści na numer o podwyższonej opłacie, a następnie otrzymuje kod dostępu, który ma podać na głównej stronie serwisu.

Wiadomość, poprzez którą dostarczono opłatę za materiał zawierający treści dla dorosłych, została wysłana przez program Trojan-SMS.AndroidOS.FakePlayer nie raz ale cztery razy w krótkim odstępie czasu. Pozostaje pytanie: w jaki sposób trojan ten przedostał się do telefonów komórkowych użytkowników?

Wielu użytkowników trafia na strony z treściami dla dorosłych poprzez wyszukiwarki. Właściciele zasobów prezentujących treści pornograficzne, które wykorzystują program Trojan-SMS.AndroidOS.FakePlayer, stosowali również metody SEO, tak aby odsyłacze do ich stron znalazły się na wyższych pozycjach list wyników wyszukiwania dla popularnych żądań związanych z treściami dla dorosłych.

Jeżeli użytkownik korzystał z komputera osobistego, mógł mieć miejsce następujący scenariusz:

Użytkownik szukający treści z kategorii materiałów dla dorosłych został przekierowywany na stronę pornograficzną; następnie wysłał wiadomość tekstową w celu otrzymania kodu dostępu i przeglądał zawartość strony.

A co się działo, jeżeli ktoś przeglądał strony internetowe za pośrednictwem urządzenia przenośnego, takiego jak smartfon z platformą Android?

Pierwsze trzy kroki procesu były takie same, dalej jednak robi się znacznie ciekawiej. Po kliknięciu jednego z odsyłaczy “promowanych” przez właściciela strony w wynikach wyszukiwania zarządzany przez szkodliwego użytkownika zdalny serwer wysyłał żądanie HTTP, które zawierało między innymi ciąg Użytkownik-Agent (tj. zawierało informacje o aplikacji, systemie operacyjnym, języku itd.).

Następnie, zdalny serwer weryfikował ciąg Użytkownik-Agent. Jeżeli użytkownik odwiedził stronę za pośrednictwem przeglądarki dla komputerów stacjonarnych, zobaczył - zgodnie ze swoimi oczekiwaniami - stronę z treściami dla dorosłych. Jeśli jednak odwiedził stronę przy użyciu przeglądarki dla urządzeń mobilnych zainstalowanej na telefonie z Androidem, został poproszony o pobranie programu pornoplayer.apk, który znany jest również jako Trojan-SMS.AndroidOS.FakePlayer.

Sekwencja zdarzeń wyglądała następująco:

Użytkownik szukający czegoś z kategorii treści dla dorosłych był przekierowywany na stronę pornograficzną. Następnie był proszony o pobranie aplikacji pornoplayer.apk. Po pobraniu tego programu uruchamiał się trojan, który wysyłał cztery wiadomości tekstowe na płatne krótkie numery. Część pieniędzy trafiła do właściciela strony z treściami dla dorosłych. Naturalnie, dochód ten był nielegalny.

Analiza stron internetowych wykorzystywanych do rozprzestrzeniania FakePlayera wykazała, że cyberprzestępcy wykorzystywali geotargetowanie (tj. kierowanie treści dostosowanej względem lokalizacji internauty). W ten sposób mogli oni filtrować odwiedzających i oferować pobranie odtwarzacza pornoplayer.apk tylko użytkownikom posiadającym rosyjski adres IP.

J2ME

Od czasu publikacji poprzedniego raportu dotyczącego ewolucji mobilnego szkodliwego oprogramowania zauważyliśmy, że twórcy wirusów atakują J2ME częściej niż jakąkolwiek inną platformę. Przeważająca większość zagrożeń stworzonych dla J2ME to trojany SMS. Jednak ich podstawowe funkcje oraz sposoby infekcji nie uległy większym zmianom, dlatego zamiast omawiać ten rodzaj zagrożeń przyjrzyjmy się bliżej przykładowemu szkodnikowi, który atakuje platformę J2ME w celu kradzieży danych wykorzystywania przez użytkowników do logowania się do popularnych rosyjskich portali społecznościowych.

Trojan-PSW.J2ME.Vkonpass.a

W maju 2010 r. pojawił się szkodliwy program, który próbował kraść loginy i hasła użytkowników dla rosyjskiego portalu społecznościowego VKontake. Zagrożenie to zostało stworzone dla platformy J2ME, która aż do niedawna była infekowana wyłącznie przez trojany SMS. Wcześniej żadne inne zagrożenia nie próbowały kraść loginów ani haseł do portali społecznościowych.

Kaspersky Lab wykrył tego szkodnika jako Trojan-PSW.J2ME.Vkonpass.a w czasie gdy jego celem było umożliwianie dostępu do portalu VKontakte. Po uruchomieniu się trojana na ekranie urządzenia mobilnego pojawiało się okno proszące użytkownika o wprowadzenie loginu i hasła do portalu społecznościowego, rzekomo w celu uzyskania dostępu do strony głównej.


Jeżeli użytkownik wprowadził swoje dane uwierzytelniające, szkodliwy program próbował wysyłać je za pośrednictwem protokołu SMTP na adres email cyberprzestępcy. Jeżeli próba wysłania danych nie powiodła się, użytkownikowi wyświetlał się komunikat “connection error”; z kolei jeżeli powiodła się, pojawiała się strona “Error 401”.

Co nas czeka?

W roku 2011 zagrożenia mobilne ewoluują w następujący sposób:

  1. Trojany SMS. Niestety, jak na razie nic nie wskazuje na to, że liczba trojanów SMS zmniejszy się. W niektórych państwach odpowiednie prawo wciąż zawiera luki, w efekcie czego cyberprzestępcy nadal wykorzystują krótkie numery z pełną anonimowością.
  2. Liczba zagrożeń atakujących Androida. Platforma ta zyskuje coraz większą popularność wśród użytkowników. W rezultacie zwiększy się zainteresowanie Androidem wśród cyberprzestępców.
  3. Zwiększy się liczba luk wykrywanych w różnych rodzajach platform dla smartfonów, a tym samym liczba wykorzystujących je ataków. Aż do niedawna nie odnotowaliśmy żadnego większego ataku wykorzystującego lukę w zabezpieczeniach. Jednak 4 sierpnia 2010 r. została wykryta luka w iOS (aktualizacja została opublikowana 11 sierpnia), która umożliwiała wykonanie dowolnego kodu w systemie. Próba otworzenia przez użytkownika specjalnie sformatowanego pliku PDF mogła spowodować przepełnienie stosu oraz wykonanie dowolnego kodu w systemie z największymi przywilejami. Czy luka ta została wykorzystana w atakach na smartfony? Nic nam na ten temat nie wiadomo.
  4. Zwiększy się ilość komercyjnego oprogramowania szpiegującego (spyware). Przy pomocy tego rodzaju oprogramowania można monitorować aktywność osób trzecich obejmującą na przykład szpiegostwo przemysłowe lub uzyskiwanie poufnych informacji, takich jak prywatna korespondencja.

Nie możemy też zapomnieć o tabletach – tego rodzaju urządzenia staną się wschodzącą gwiazdą 2011 roku. Urządzenia te oferują znacznie więcej niż typowe smartfony: przetwarzanie tekstu, wygodne surfowanie po Sieci oraz możliwość oglądania filmów i korzystania z gier w wysokiej rozdzielczości. Dzięki temu stanowią rynkowy hit.

Podobny trend będzie widoczny w obszarze systemów operacyjnych. Ogólnie, urządzenia będą cechowały się większą szybkością, większymi ekranami oraz wykorzystaniem takich systemów jak iOS, Android, BlackBerry itd. To oznacza, że szkodliwe oprogramowanie będzie zdolne do działania na smartfonach i tabletach.

Jest jednak jedno “ale”: tablety nie zastąpią smartfonów, a to oznacza, że większość właścicieli tabletów będzie korzystało również ze smartfonów, zwiększając tym samym liczbę potencjalnych ofiar oraz atakujących ich zagrożeń.

Źródło:
Kaspersky Lab