Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Ewolucja mobilnego szkodliwego oprogramowania - 2011 r.

Tagi:

Denis Maslennikow, ekspert z Kaspersky Lab

Wprowadzenie

Od publikacji poprzedniego raportu poświęconego ewolucji mobilnego szkodliwego oprogramowania minął prawie rok. W raporcie tym przedstawiliśmy kilka prognoz dotyczących rozwoju zagrożeń atakujących platformy mobilne w 2011 r. Sprawdźmy, czy mieliśmy rację.

Dla przypomnienia, w zeszłym roku przewidywaliśmy, że:

  1. Dominować będą trojany SMS.
  2. Wzrośnie liczba zagrożeń atakujących system Android.
  3. Zwiększy się liczba luk w zabezpieczeniach wykrywanych na różnych platformach mobilnych, jak również wykorzystywanie ich do przeprowadzania ataków.
  4. Wzrośnie ilość oprogramowania spyware.

Na początku 2012 r., możemy stwierdzić, że nasze prognozy były, niestety, trafne.

  1. Trojany SMS są aktywnie rozwijane.
  2. Liczba zagrożeń dla Androida wzrasta w zastraszającym tempie.
  3. Szkodliwi użytkownicy agresywnie wykorzystują luki w zabezpieczeniach.
  4. Oprogramowanie spyware sprawia liczne problemy użytkownikom urządzeń mobilnych.

Należy również zauważyć, że nastąpił definitywny koniec dominacji szkodliwych programów atakujących platformę J2ME. Spowodowane to było głównie tym, że twórcy wirusów skupili się na platformie Android. Z powodu popularności tej platformy cyberprzestępcy mają teraz wiele dodatkowych problemów, które zostaną omówione w dalszej części.

Ogólnie, w 2011 roku szkodliwe programy osiągnęły nowy poziom jakości – a mówiąc dokładnie, stały się bardziej złożone. Mimo to większość zagrożeń mobilnych nadal nie dorównuje wyrafinowaniem pierwotnym zagrożeniom tego typu stworzonym przez rosyjskich i chińskich twórców wirusów, i nic nie wskazuje na to, że wkrótce się to zmieni.

W najnowszym raporcie dotyczącym ewolucji mobilnego szkodliwego oprogramowania zostaną omówione te i inne zagadnienia.

Statystyki

Tak jak w poprzednich edycjach, na początek przedstawimy statystyki.

Liczba rodzin i modyfikacji

Pod koniec 2010 roku nasza kolekcja liczyła w sumie 153 rodziny i ponad 1 000 modyfikacji mobilnych zagrożeń. Co więcej, w 2010 r. współczynnik wykrywania nowych szkodliwych programów atakujących urządzenia mobilne wzrósł o 65,12% w stosunku do poprzedniego roku.

Liczbę modyfikacji i rodzin mobilnych szkodliwych programów w bazach firmy Kaspersky Lab na dzień 1 stycznia 2012 r. pokazuje tabela poniżej.

Platforma Modyfikacje Rodziny
Android 4 139 126
J2ME 1 682 63
Symbian 435 111
Windows Mobile 81 23
Inne 19 8

Jak bardzo wzrosła liczba zagrożeń w 2011 r.? W ciągu 2011 r. odnotowaliśmy 5 255 nowych modyfikacji mobilnych zagrożeń oraz 178 nowych rodzin! Co więcej, całkowita liczba zagrożeń w ciągu zaledwie jednego roku zwiększyła się 6,4 razy. W samym grudniu 2011 r. wykryliśmy więcej nowych szkodliwych programów atakujących urządzenia mobilne niż w całym okresie 2004-2010.

 enlarge.gif
Liczba nowych modyfikacji mobilnych zagrożeń według miesiąca w okresie 2004–2011

Powyższy wykres wyraźnie pokazuje gwałtowny wzrost liczby nowych zagrożeń w ciągu ostatnich sześciu miesięcy 2011 r. Czegoś podobnego nie widzieliśmy w całej historii zagrożeń mobilnych.

Zachowania

Wcześniej przedstawialiśmy statystyki dotyczące mobilnych zagrożeń według zachowania. Jednak dane firmy Kaspersky Lab dla 2011 r. są raczej nietypowe.

 enlarge.gif
Rozkład szkodliwych programów atakujących urządzenia mobilne według zachowania w 2011 r.

Jak już zauważyliśmy wcześniej, w 2011 roku nie tylko gwałtownie wzrosła liczba mobilnych zagrożeń, ale również zagrożenia te charakteryzują się zmianami jakościowymi. Trojany SMS, które dla szkodliwych użytkowników oznaczają możliwość łatwego zarobienia pieniędzy, nadal stanowią dominujące zachowanie wśród wykrytych mobilnych zagrożeń, jednak ich udział we wszystkich tych zagrożeniach zmniejszył się z 44,2% w 2010 r. do 36,6% w 2011 r.

Drugie pod względem dominacji zachowanie stanowią backdoory. W 2010 r. programy te nie cieszyły się tak dużą popularnością wśród szkodliwych użytkowników. Wzrost zainteresowania backdoorami spowodowany był coraz większym zainteresowaniem twórców wirusów systemem Android: przeważająca większość wykrytych mobilnych backdoorów atakuje smartfony z Androidem. Dość często backdoor jest połączony z exploitem roota i w przypadku zainfekowania urządzenia, szkodliwy użytkownik przejmie pełną kontrolę nad urządzeniem mobilnym.

Trzecim najbardziej rozpowszechnionym zachowaniem wśród zagrożeń mobilnych jest spyware. Programy te kradną osobiste dane użytkownika oraz/lub dane dotyczące zainfekowanego mobilnego urządzenia. Nasza prognoza dotycząca rozwoju zagrożenia, które będzie próbowało kraść wszystko, sprawdziła się również dla urządzeń mobilnych: w 2011 r. twórcy wirusów stworzyli już i rozprzestrzeniali tego typu szkodliwe pogramy.

Platformy

Jeżeli spojrzymy na rozkład mobilnych zagrożeń według platformy, zobaczymy, że J2ME nie stanowi już najczęściej atakowanego systemu operacyjnego przez zagrożenia mobilne (o czym wspominaliśmy już wcześniej).

 enlarge.gif
Rozkład zagrożeń mobilnych według platformy w 2011 r.

Powód, dla którego platforma J2ME nie jest już głównym celem ataków na urządzenia mobilne, jest jasny: znacznie wzrosła liczba urządzeń mobilnych działających pod kontrolą systemu operacyjnego Android. Podobna sytuacja miała miejsce wcześniej w przypadku Symbiana. W latach 2004–2006 Symbian był najczęściej atakowaną platformą przez twórców wirusów. Jego miejsce zajął J2ME, ponieważ zagrożenia dla tej platformy mogły infekować większą liczbę urządzeń mobilnych. Obecnie najbardziej rozpowszechnionym na świece systemem operacyjnym dla urządzeń mobilnych jest Android, dlatego powstało tak dużo nowych zagrożeń dla tej platformy. Według różnych szacunków, system operacyjny Android działa na 40-50% wszystkich smartfonów.

W ciągu ostatnich sześciu miesięcy 2011 r. miał miejsce stały wzrost liczby zagrożeń atakujących Androida. Mniej więcej w połowie lata liczba szkodliwych programów dla Androida przewyższyła liczbę zagrożeń atakujących Symbiana, a do jesieni platforma ta pozostawiła w tyle również J2ME. Pod koniec roku Android stanowił niekwestionowanego lidera wśród atakowanych platform – sytuacja ta prawdopodobnie nie zmieni się w najbliższym czasie.

Android pod ostrzałem

Główną rolę w gwałtownym wzroście łącznej liczby szkodliwych programów dla wszystkich platform mobilnych odegrał wzrost liczby zagrożeń atakujących Androida.


Liczba nowych modyfikacji wszystkich mobilnych zagrożeń oraz zagrożeń atakujących Androida, według miesiąca w 2011 r.

Powyższy wykres pokazuje, że w drugiej połowie roku, gdy liczba nowych szkodliwych programów atakujących urządzenia mobilne zaczęła szybciej wzrastać, celem większości zagrożeń wykrywanych każdego miesiąca była platforma Android. Tabela poniżej obrazuje sytuację w wartościach absolutnych.

Miesiąc Całkowita liczba
nowych modyfikacji
Liczba nowych
modyfikacji atakujących Androida
2011-1 27 4
2011-2 93 11
2011-3 139 39
2011-4 102 5
2011-5 175 25
2011-6 301 112
2011-7 298 212
2011-8 313 161
2011-9 680 559
2011-10 879 808
2011-11 1 049 1 008
2011-12 1 199 1 179

Wszystkie mobilne szkodliwe programy dla platformy Android, które zostały wykryte przez Kaspersky Lab, można podzielić na dwie główne grupy:

  • zagrożenia stworzone w celu kradzieży pieniędzy lub danych;
  • zagrożenia, których celem jest przejęcie kontroli nad zainfekowanym urządzeniem.

 enlarge.gif
Rozkład zachowań wśród szkodliwych programów atakujących platformę Android

Cel: kradzież danych lub pieniędzy

Już w październiku 2011 roku celem jednej trzeciej zagrożeń atakujących Androida była kradzież danych osobistych z urządzenia użytkownika (kontaktów, rejestrów połączeń, wiadomości tekstowych, współrzędnych GPS, zdjęć itd.).

Chińscy cyberprzestępcy dominują pod względem kradzieży danych. Co więcej, zwykle bardziej interesują ich informacje o samym urządzeniu (IMEI i IMSI, państwo, numer telefonu) niż osobiste i poufne informacje dotyczące jego właściciela.

Wyjątkiem od reguły jest trojan Nickspy (Trojan-Spy.AndroidOS.Nickspy). Zagrożenie to potrafi rejestrować wszystkie rozmowy właściciela na zainfekowanym urządzeniu w plikach audio, a następnie przesyłać te pliki do zdalnego serwera kontrolowanego przez cyberprzestępców. Jedna z modyfikacji Nickspy podszywa się pod aplikację Google+ i potrafi ukradkowo przyjmować przychodzące połączenia z numerów szkodliwych użytkowników (numery te są zapisane w pliku konfiguracyjnym szkodliwego programu). Gdy zainfekowany telefon zaakceptuje bez wiedzy jego właściciela takie połączenie, szkodliwy użytkownik może usłyszeć wszystko, co się dzieje w pobliżu zainfekowanego urządzenia, łącznie z rozmowami prowadzonymi przez właściciela urządzenia. Trojan ten jest również zainteresowany wiadomościami tekstowymi, danymi dotyczącymi połączeń telefonicznych oraz współrzędnymi GPS urządzenia. Wszystkie te dane są również wysyłane do zdalnych serwerów utrzymywanych przez szkodliwych użytkowników.

Podczas gdy Nickspy pochodzi z Chin, Antammi (Trojan-Spy.AndroidOS.Antammi) został stworzony przez rosyjskich twórców wirusów. „Przykrywką” Antammiego jest legalna, działająca aplikacja do pobierania dzwonków. Trojan ten potrafi kraść prawie wszystkie osobiste dane użytkownika: kontakty, archiwum wiadomości tekstowych, współrzędne GPS, zdjęcia i inne dane. Był również wykorzystywany do wysyłania cyberprzestępcom rejestrów swojej aktywności za pośrednictwem poczty e-mail oraz wysyłania tych danych do ich serwerów.

W tej sekcji warto wspomnieć o jednej głośnej historii. W połowie listopada naukowiec i blogger, Trevor Eckhart, opublikował artykuł oparty na dokumencie open source. W publikacji tej poinformował, że niektórzy amerykańscy dostawcy usług telefonii komórkowej, jak również producenci smartfonów, preinstalują na urządzeniach przenośnych sprzedawanych w Stanach Zjednoczonych oprogramowanie rozwinięte przez CarrierIQ. Oprogramowanie to gromadzi szereg informacji na temat samego smartfonu i jego operacji, jak również potrafi zapisywać dane o wciskanych przez użytkownika klawiszach oraz odwiedzanych przez niego stronach. Innymi słowy, program CarrierIQ gromadzi sporo informacji osobistych o użytkowniku smartfona.

Naukowcy, jak również media, zaczęli przyglądać się uważnie telefonom z Androidem, zwłaszcza tym stworzonym przez HTC. Pojawiły się również informacje o tym, że oprogramowanie CarrierIQ jest obsługiwane przez telefony Blackberry i Nokia, mimo że obie firmy wydały oficjalne oświadczenia, w których zaprzeczyły wszystkim zarzutom, twierdząc, że nigdy nie preinstalowały tego oprogramowania na swoich urządzeniach. Jednak Apple oznajmił coś przeciwnego. Program CarrierIQ był preinstalowany na urządzeniach produkowanych przez tą firmę, jednak od opublikowania iOS5 nie jest już wykorzystywany na żadnych urządzeniach z wyjątkiem iPhone’a 4. W lutym 2011 r. użytkownicy iPhone’a 4 „otrzymali” CarrierIQ nawet z systemem iOS5, mimo że według oświadczenia Apple, oprogramowanie to nie powinno już znaleźć się w następnych aktualizacjach systemu.

Gdy wiadomość ta odbiła się szerokim echem w mediach, CarrierIQ wydał oświadczenie, w którym wyjaśnił, dlaczego jego oprogramowanie gromadzi informacje nie tylko o urządzeniu i jego operacjach (na przykład, o baterii i jej ładowaniu, obecności połączenia WiFi), ale również rejestruje dane i adresy stron internetowych. Według zapewnień CarrierIQ, są to informacje diagnostyczne dla dostawców usług telefonii komórkowej. Innymi słowy, program wysyła – na przykład – dane, które dotyczą problemów z dostępem do Facebooka, ale nie samej treści Facebooka. Firma oświadczyła również, że dane te są wysyłane bezpośrednio do dostawców telefonii komórkowej, którzy są jej klientami.

Pozostaje jedno istotne pytanie: dlaczego użytkownicy nie mogą zrezygnować z posiadania tej “pomocy w gromadzeniu danych diagnostycznych” na swoim telefonie?

Obecnie problem ochrony danych osobistych jest bardziej palący niż kiedykolwiek wcześniej. Podobne rewelacje zwiększają tylko zainteresowanie tym tematem. Czy jest możliwe, że sytuacja ta przyczyni się do zidentyfikowania kolejnych przypadków preinstalowania tego typu oprogramowania przez dostawców usług telefonii komórkowej oraz producentów telefonów komórkowych?

Jeżeli chodzi o zagrożenia mobilne wykorzystywane do kradzieży pieniędzy, rosyjscy twórcy wirusów nadal przodują w tej dziedzinie i zaczęli tworzyć trojany SMS dla Androida na skalę masową. Pojawiają się nowe programy partnerskie umożliwiające automatyczne generowanie różnych rodzajów trojanów SMS, które oferują wybór narzędzi i opcji rozprzestrzeniania tych szkodników (fałszywe aplikacje przechowywania informacji, kody QR, skrypty, parkingi domen itd.). Problem ten zostanie szerzej omówiony w dalszej części raportu.

Cel: kontrola urządzeń

Zagrożenia, których celem jest kontrolowanie urządzeń, stały się bardzo rozpowszechnione w 2011 r. Obecnie backdoory wyprzedzają trojany spayware atakujące Androida.

W ciągłą produkcję backdoorów zaangażowani są chińscy twórcy wirusów. Większość z tych szkodników zawiera exploity, których jedynym celem jest uzyskiwanie przywilejów superużytkownika lub maksymalnych przywilejów na urządzeniu. Pozwala to cyberprzestępcy uzyskać pełną zdalną kontrolę nad całym smartfonem. Innymi słowy, po zainfekowaniu i wykonaniu exploita szkodliwy użytkownik może zdalnie wykonać dowolne działanie za pośrednictwem smartfonów.

To właśnie exploity roota dla Androida zaczęły masowo wykorzystywać luki w zabezpieczeniach mobilnych systemów operacyjnych i stanowią ulubione narzędzie chińskich twórców wirusów. Ponadto, większość wykorzystywanych obecnie exploitów istnieje już od dłuższego czasu i działa na przestarzałych wersjach Androida. Ponieważ jednak użytkownicy często zwlekają z aktualizacją systemów, wielu z nich może potencjalnie stać się ofiarami cyberprzestępców.

Być może najlepszy (i najpoważniejszy pod względem funkcji) przykład backdoora został wykryty na samym początku 2011 r. w bocie IRC – był to Backdoor.Linux.Foncy. Backdoor ten znajdował się w dropperze APK (Trojan-Dropper.AndroidOS.Foncy), który oprócz backdoora posiadał również exploita (Exploit.Linux.Lotoor.ac) umożliwiającego uzyskanie praw administratora (root) na smartfonie oraz trojana SMS (Trojan-SMS.AndroidOS.Foncy).

Dropper ten kopiuje exploita, bota IRC oraz trojana SMS do nowego foldera (/data/data/com.android.bot/files), a następnie uruchamia exploita roota. Jeżeli działanie to powiedzie się, exploit uruchomi backdoora, który z kolei zainstaluje trojana SMS Foncy (o czym szerzej napiszemy w sekcji o trojanach SMS). Warto podkreślić, że backdoor musi zainstalować i uruchomić plik APK trojana SMS; zanim to nastąpi, dropper po prostu kopiuje trojana do systemu:

 enlarge.gif
Trojan-SMS.AndroidOS.Foncy – proces instalacji

Po uruchomieniu trojana SMS backdoor próbuje połączyć się ze zdalnym serwerem IRC na kanale #andros przy użyciu losowej nazwy użytkownika. Następnie może akceptować wszelkie polecenia powłoki z serwera i wykonać je na zainfekowanym urządzeniu.

Szkodliwe oprogramowanie w sklepie Google Play

Kolejną bolączką 2011 roku stały się szkodliwe programy wykrywane w oficjalnym sklepie Google Play. Pierwszy taki przypadek został odnotowany na początku marca 2011 roku, po czym zagrożenia zaczęły pojawiać się w sklepie Google Play regularnie. Popularność platformy Android oraz łatwość rozwijania aplikacji dla tego systemu operacyjnego, w połączeniu z możliwością udostępniania ich za pośrednictwem oficjalnego źródła bez skutecznego systemu analizy zagrożeń sprawiły, że Google Play przerodził się w coś na kształt chorego żartu. Szkodliwi użytkownicy wykorzystali wszystkie te czynniki i w efekcie doszło do sytuacji, gdy zagrożenia były rozprzestrzeniane za pośrednictwem sklepu Google Play nie tylko przez kilka godzin czy dni, ale nawet przez okres tygodni lub nawet miesięcy, prowadząc do dużej liczby infekcji.

Trojany SMS

W 2011 r. nastąpiły pewne zmiany w sposobie rozwijania najbardziej rozpowszechnionego zachowania wśród zagrożeń mobilnych. Po pierwsze, trojany SMS przestały być wyłącznym problemem rosyjskojęzycznych użytkowników. Po drugie, lawinowo wzrosła liczba ataków na rosyjskich użytkowników. Po trzecie, platforma J2ME przestała być głównym środowiskiem trojanów SMS.

W pierwszej połowie 2011 r. trojany SMS nadal dominowały wśród innych typów zachowań zagrożeń mobilnych. Dopiero pod koniec roku przepaść ta zaczęła się nieco zmniejszać ze względu na nieustaną aktywność chińskich twórców wirusów produkujących backdoory i trojany spyware.

Na początku 2011 r. wielu użytkowników urządzeń mobilnych było regularnie zalewanych wiadomościami tekstowymi, które informowały ich o tym, że wygrali prezent od niejakiej Katii. Jednak gdy próbowali pobrać ten „prezent”, otrzymywali plik JAR, który w rzeczywistości okazywał się trojanem SMS. Prawie wszystkie szkodliwe programy wykryte przez Kaspersky Lab pochodziły z rodziny Trojan-SMS.J2ME.Smmer. Trojany te są stosunkowo prymitywne pod względem funkcji, jednak biorąc pod uwagę ogromną skalę i częstotliwość ich wysyłania, prostota tego zagrożenia nie przeszkodziła szkodliwym użytkownikom zainfekować ogromnej liczby urządzeń mobilnych. Skala tych wysyłek była znacznie większa w porównaniu z poprzednimi atakami. Telefony komórkowe dziesiątek tysięcy użytkowników były regularnie zagrożone infekcją.

W 2008, 2009 i 2010 r. J2ME była główną platformą atakowaną przez trojany SMS. W 2011 r. nastąpiła zmiana i obecnie większość trojanów SMS jest tworzonych w celu przeprowadzania ataków na platformę Android. Nowe trojany są zasadniczo takie same jak ich odpowiedniki dla J2ME. Wykorzystują te same metody służące do maskowania się – zwykle polegają one na imitowaniu legalnej aplikacji, takiej jak Opera czy JIMM. Ponadto z trojanami J2ME łączy je również sposób rozprzestrzeniania się, zwykle przy pomocy programów partnerskich. Z reguły jeden program partnerski specjalizuje się zarówno w zagrożeniach J2ME oraz szkodliwym oprogramowaniu atakującym Androida.

Przed 2011 r. głównym celem trojanów SMS byli użytkownicy z Rosji, Ukrainy oraz Kazachstanu. Jednak w 2011 r. chińscy twórcy wirusów zaczęli tworzyć i rozprzestrzeniać również trojany SMS. Nie były to jednak szkodliwe programy działające wyłącznie jak trojany SMS. Wysyłanie wiadomości tekstowych na płatne numery stanowi obecnie „funkcję dodatkową”, dołączaną do innych chińskich zagrożeń.

Kaspersky Lab odnotował również pierwsze ataki na użytkowników w Europie i Ameryce Północnej. Jednym z pierwszych szkodników, który przekroczył granice, był trojan GGTracker atakujący użytkowników zlokalizowanych w Stanach Zjednoczonych. Program ten podszywa się pod narzędzie umożliwiające zmniejszenie zużycia baterii smartfonu, w rzeczywistości jednak rejestruje użytkownika na płatnym serwisie za pośrednictwem wiadomości tekstowej.

Kolejnym dobrym przykładem tego rodzaju szkodników jest rodzina trojanów SMS Foncy. Mimo jego prymitywnych funkcji Foncy stał się pierwszym zagrożeniem atakującym użytkowników w Europie Zachodniej i Kanadzie. Później modyfikacje tego trojana atakowały użytkowników w Europie Zachodniej, Kanadzie, Stanach Zjednoczonych, Sierra Leone oraz Maroku. Co więcej, na podstawie niektórych jego cech można stwierdzić, że autorzy tego szkodnika nie są zlokalizowani w Rosji.

Trojan Foncy posiada dwie specyficzne cechy. Po pierwsze, łatwo się integruje. Zagrożenie to potrafi określić państwo zainfekowanego urządzenia z karty SIM i w zależności od niego wybiera odpowiedni numer kierunkowy oraz numer, na który zostaną wysłane wiadomości tekstowe.


Niekompletna lista krótkich numerów dla różnych państw w ciele trojana Foncy

Po drugie, trojan przekazuje szkodliwym użytkownikom raport o swojej aktywności. Szkodnik wysyła też bez wiedzy użytkownika wiadomość tekstową na płatny numer, której celem jest zakup pewnych usług. Mogą one obejmować dostęp do strony internetowej lub archiwum, subskrypcję do listy mailingowej strony internetowej itd. W odpowiedzi otrzymywana jest wiadomość tekstowa stanowiąca potwierdzenie płatności, którą szkodliwy program ukrywa przed użytkownikiem. Tekst tych potwierdzeń oraz krótkie numery, z których pochodzą, przesyłane są dalej do właścicieli trojana. Na początku informacja ta była wysyłana za pośrednictwem wiadomości tekstowej do szkodliwych użytkowników. Kolejne modyfikacje trojana przesyłały te dane bezpośrednio na ich serwery.

 enlarge.gif
Przesyłanie niektórych przychodzących wiadomości tekstowych

W ten sposób szkodliwi użytkownicy uzyskują informację o liczbie wysyłanych płatnych wiadomości tekstowych oraz liczbie urządzeń zainfekowanych trojanem Foncy.

Man-in-the-M(iddle)obile

Pierwszy atak z wykorzystaniem technologii Man-in-the-Mobile miał miejsce w 2010 r. Jednak ich złoty okres przypadł na 2011 rok, gdy pojawiły się wersje ZitMo czy SpitMo dla różnych platform (ZitMo dla Windows Mobile oraz ZitMo i SpitMo dla Androida), a szkodliwi użytkownicy wciąż usprawniali funkcje swoich programów.

Trojany ZitMo (ZeuS-in-the-Mobile) oraz SpitMo (SpyEye-in-the-Mobile) (http://www.securelist.com/en/analysis/204792194/ZeuS_in_the_Mobile_Facts_and_Theories) działają w połączeniu ze zwykłymi programami ZeuS i SpyEye i stanowią jedne z najbardziej złożonych mobilnych zagrożeń, jakie zostały ostatnio wykryte. Ich funkcje charakteryzują się:

  • Działaniem w tandemie: osobno, ZitMo oraz SpitMo to typowe programy spyware potrafiące wysyłać wiadomości tekstowe. Jednak wykorzystane wraz z „klasycznym” trojanem ZeuS czy SpyEye pozwalają szkodliwym użytkownikom pokonać bariery bezpieczeństwa chroniące użytkowników dokonujących transakcji bankowych z wykorzystaniem kodów mTAN.
  • Wąskim obszarem specjalizacji: przesyłanie przychodzących wiadomości z kodem mTAN do szkodliwych użytkowników lub ich serwerów. Kody mTAN są następnie wykorzystywane przez cyberprzestępców do potwierdzania operacji finansowych przy użyciu zhakowanych kont bankowych.
  • Działaniem na wielu różnych platformach: wykryto wersje ZitMo dla systemów Symbian, Windows Mobile, BlackBerry oraz Android, z kolei SpitMo pojawił się w wersji dla Symbiana oraz Androida.

Być może jednym z najważniejszych wydarzeń zeszłego roku było potwierdzenie istnienia ZitMo dla BlackBerry oraz pojawienie się wersji ZitMo oraz SpitMo dla Androida. Szczególnie interesujące jest pojawienie się ZitMo oraz SpitMo dla Androida, ponieważ autorzy tych zagrożeń zdawali się pomijać tę najpopularniejszą platformę mobilną przez stosunkowo długi czas.

Ataki przy użyciu ZitMo, SpitMo oraz podobnych zagrożeń będą kontynuowane w przyszłości w celu kradzieży kodów mTAN (lub innych poufnych danych przesyłanych za pośrednictwem wiadomości tekstowych). Jednak ataki te prawdopodobnie staną się bardziej ukierunkowane, a liczba ich ofiar zacznie wzrastać.

Kody QR: nowy sposób rozprzestrzeniania zagrożeń

Kody QR stają się coraz bardziej rozpowszechnione i szeroko wykorzystywane np. w różnych formach reklamy w celu zapewnienia szybkiego, łatwego dostępu do konkretnych informacji. Dlatego też pierwsze ataki z wykorzystaniem kodów QR nie były wielkim zaskoczeniem.

Dzisiaj użytkownicy smartfonów często szukają oprogramowania dla swoich urządzeń przy użyciu tradycyjnych komputerów. W takich przypadkach trzeba ręcznie wprowadzić adres URL do przeglądarki swojego urządzenia mobilnego. Sposób ten może być bardzo niewygodny, dlatego strony internetowe oferujące aplikacje dla smartfonów zwykle posiadają kody QR.

Wiele szkodliwych programów dla urządzeń mobilnych (a zwłaszcza trojany SMS) jest rozprzestrzenianych na stronach internetowych, na których wszystkie programy są zainfekowane. Na stronach tych, oprócz bezpośrednich odsyłaczy prowadzących do zagrożeń, cyberprzestępcy zaczęli również wykorzystywać szkodliwe kody QR z zaszyfrowanym odsyłaczem do tego samego szkodliwego oprogramowania.

Pierwsza próba wykorzystania tej technologii została podjęta przez rosyjskich cyberprzestępców, którzy w kodach QR ukryli trojany SMS dla Androida i J2ME.


Przykład szkodliwego kodu QR
(wystarczy wprowadzić następujący odsyłacz do przeglądarki twojego telefonu)

Na szczęście, ataki wykorzystujące kody QR nadal są rzadkością. Jednak coraz większe rozpowszechnienie tej technologii wśród użytkowników oznacza, że mogą ona stać się równie popularne wśród cyberprzestępców. Co więcej, szkodliwe kody QR są wykorzystywane nie tylko przez twórców wirusów (lub grupy twórców wirusów), ale również coraz częściej są wykorzystywane przez programy partnerskie, co wkrótce może zwiększyć ich popularność wśród cyberprzestępców.

Mobilny haktywizm: początki

W ciągu 2011 roku Kaspersky Lab zaobserwował wzrost aktywności wśród szkodliwych użytkowników, której głównym celem nie było generowanie pieniędzy, ale protest, a nawet zemsta na politykach, agencjach rządowych, dużych korporacjach i państwach. Hakerzy działający z pobudek politycznych przeniknęli nawet najbezpieczniejsze systemy i opublikowali dane setek tysięcy osób na całym świecie. Nawet najbardziej zaawansowane technicznie serwisy padły ofiarą ataków DDoS przeprowadzonych przy użyciu największych botnetów kontrolowanych lub wynajmowanych przez haktywistów.

Haktywizm obejmuje również szkodliwe programy tworzone z wyraźnie politycznych pobudek. Ten rodzaj szkodliwego oprogramowania pojawił się w świecie mobilnym.

Zagrożenia wykrywane przez Kaspersky Lab, takie jak Trojan-SMS.AndroidOS.Arspam, atakują użytkowników w krajach arabskich. Ta „strojanizowana” aplikacja rozprzestrzeniana była na arabskojęzycznych forach. Główną funkcją trojana jest wysyłanie wiadomości tekstowych z odsyłaczem prowadzącym do forum poświęconego Mohamedowi Bouazizi (http://en.wikipedia.org/wiki/Mohamed_Bouazizi) do losowo wybranych kontaktów na zainfekowanym urządzeniu. (Mohamed Bouazizi podpalił się w Tunezji, prowokując masowe protesty, które następnie przerodziły się w rewolucję).

Co więcej, Arspam próbował również określić kod ISO państwa, w którym wykorzystywany jest smartfon. Jeżeli kodem tym był BN (Bahrajn), szkodliwy program próbował pobrać plik PDF zawierający raport bahrańskiej niezależnej komisji dochodzeniowej o łamaniu praw obywatelskich.

Obecnie wydaje się, że jest to jedyny przykład mobilnego haktywizmu – możliwe jednak, że w 2012 roku pojawią się również inne.

Wnioski

Podsumowując zeszły rok można powiedzieć, że jak dotąd stanowi on jeden z najbardziej krytycznych pod względem ewolucji mobilnych zagrożeń. Jednym z czynników jest stały wzrost liczby szkodliwych programów atakujących urządzenia mobilne. Drugi związany jest z tym, że szkodliwi użytkownicy zainteresowali się Androidem jako platformą stanowiącą główny cel ich ataków. Ponadto, rok 2011 był tym, w którym szkodliwi użytkownicy zasadniczo zautomatyzowali produkcję oraz rozprzestrzenianie mobilnych zagrożeń.

Co czeka nas w 2012 roku? W skrócie, spodziewamy się następujących trendów:

  • Zainteresowanie systemem operacyjnym Android nadal będzie rosło wśród twórców zagrożeń mobilnych, których wysiłki będą skoncentrowane głównie na atakowaniu tej konkretnej platformy.
  • Wzrost liczby ataków wykorzystujących luki w zabezpieczeniach. Obecnie exploity są wykorzystywane jedynie do uzyskania dostępu na poziomie administratora na smartfonie, jednak w 2012 roku możemy spodziewać się pierwszych ataków, w których exploity będą wykorzystywane do infekowania mobilnego systemu operacyjnego.
  • Wzrost liczby incydentów z udziałem szkodliwych programów wykrytych w oficjalnych sklepach z aplikacjami, głównie w Google Play.
  • Pierwsze masowe robaki dla Androida.
  • Rozpowszechnienie szpiegostwa mobilnego.

Źródło:
Kaspersky Lab