Ewolucja mobilnego szkodliwego oprogramowania: 2012

 

Wprowadzenie

Poprzednia cz臋艣膰 naszego regularnego przegl膮du ewolucji mobilnego szkodliwego oprogramowania zosta艂a opublikowana rok temu, pora zatem przyjrze膰 si臋 wydarzeniom, jakie mia艂y miejsce w 2012 roku, i sprawdzi膰, jak dok艂adne by艂y nasze prognozy. Raport ten zawiera jako艣ciowe oraz ilo艣ciowe dane dotycz膮ce ewolucji szkodliwego oprogramowania oraz analiz臋 g艂贸wnych trend贸w, zar贸wno w zakresie szkodliwych program贸w jak i atak贸w szkodliwego oprogramowania. Prezentuje r贸wnie偶 prognozy firmy Kaspersky Lab dotycz膮ce dalszego rozwoju mobilnego szkodliwego oprogramowania w 2013 roku.

Jakie by艂y nasze prognozy na 2012 rok? W skr贸cie, spodziewali艣my si臋 wi臋kszego wzrostu liczby szkodliwych program贸w atakuj膮cych Androida, poniewa偶 na tej w艂a艣nie platformie koncentrowali si臋 g艂贸wnie cyberprzest臋pcy. Prognoza ta okaza艂a si臋 trafna - szkodliwi u偶ytkownicy rzeczywi艣cie skupili swoje wysi艂ki na rozwijaniu i rozprzestrzenianiu szkodliwych program贸w, kt贸rych celem jest system operacyjny Android.

Kaspersky Lab przewidywa艂, 偶e cyberprzest臋pcy rozszerz膮, poza rootkity dla Androida, sw贸j arsena艂 wykorzystywany w celu infekowania urz膮dze艅 i zdobycia pe艂nego dost臋pu do tego systemu operacyjnego; spodziewali艣my si臋 r贸wnie偶 pierwszych atak贸w drive-by wykorzystuj膮cych luki w systemie Android. Prognoza ta nie sprawdzi艂a si臋, prawdopodobnie dlatego, 偶e na tym etapie rozwoju szkodliwego oprogramowania atakuj膮cego Androida cyberprzest臋pcy po prostu nie musz膮 przeprowadza膰 tego typu atak贸w. Szanse, 偶e u偶ytkownicy nie艣wiadomie zainfekuj膮 swoje urz膮dzenia mobilne s膮 takie same jak wcze艣niej.

Kolejna niespe艂niona przepowiednia dotyczy艂a pojawienia si臋 pierwszych masowych robak贸w dla Androida - a konkretnie robak贸w SMS.

Sugerowali艣my r贸wnie偶, 偶e w 2012 roku nast膮pi wzrost liczby wykry膰 szkodliwego oprogramowania w oficjalnych sklepach z aplikacjami. Niestety, prognoza ta okaza艂a si臋 trafna. Co wi臋cej, r贸偶norodne zagro偶enia (liczba ofiar waha艂a si臋 od kilkudziesi臋ciu do dziesi膮tek tysi臋cy) pojawi艂y si臋 w Google Play i po raz pierwszy wykrywane by艂y szkodliwe programy dla iOS w App Store.

Sprawdzi艂a si臋 r贸wnie偶 przepowiednia Kaspersky Lab o pojawieniu si臋 pierwszych mobilnych botnet贸w dla Androida. Nale偶y jednak zaznaczy膰, 偶e botnety te znacznie r贸偶ni艂y si臋 pod wzgl臋dem tego, w jakim miejscu na 艣wiecie infekowane by艂y urz膮dzenia oraz liczby zainfekowanych urz膮dze艅 i funkcji szkodliwego oprogramowania.

Wymienione wy偶ej prognozy dotyczy艂y tylko najcz臋艣ciej wykorzystywanej dzi艣 platformy - Androida. Je偶eli chodzi o pozosta艂e platformy mobilne i systemy operacyjne, spodziewali艣my si臋, 偶e ataki ukierunkowane b臋d膮 nale偶a艂y do kluczowych zagro偶e艅 dla Symbiana, BlackBerry oraz innych mobilnych platform. Typowe ataki tego rodzaju zwykle obejmuj膮 ZitMo oraz SpitMo (ZeuS- i SpyEye-in-the-Mobile). W tym przypadku r贸wnie偶 mieli艣my racj臋. Co wi臋cej, rodzina zagro偶e艅 stworzonych w celu kradzie偶y kod贸w mTAN (ZitMo i SpitMo) zyska艂a nowy nabytek - szeroko rozpowszechniony trojan bankowy o nazwie Carberp posiada teraz wersj臋 mobiln膮 o nazwie CitMo, lub Carberp-in-the-Mobile.

Sprawdzi艂y si臋 r贸wnie偶 dwie inne - wprawdzie og贸lne, ale niezwykle wa偶ne - prognozy, kt贸re odegraj膮 kluczow膮 rol臋 w okre艣leniu przysz艂o艣ci atak贸w na platformy mobilne. Po pierwsze, powsta艂 w pe艂ni rozwini臋ty przemys艂 rozwoju mobilnego szkodliwego oprogramowania. Po drugie, mobilne szpiegostwo przesta艂o by膰 jedynie domen膮 organ贸w 艣ledczych oraz firm specjalizuj膮cych si臋 w pracy detektywistycznej.

Tematem najnowszej edycji raportu Kaspersky Lab dotycz膮cego ewolucji mobilnego szkodliwego oprogramowania s膮 g艂贸wne incydenty dotycz膮ce mobilnego szkodliwego oprogramowania w 2012 roku.

Dane statystyczne

W tej sekcji przyjrzymy si臋 statystykom dotycz膮cym mobilnych zagro偶e艅. Tym razem, opr贸cz informacji odnosz膮cych si臋 do wzrostu liczby szkodliwych program贸w, cz臋stotliwo艣ci, z jak膮 pojawiaj膮 si臋, oraz ich rozk艂adu wed艂ug platformy i zachowania, zamie艣cili艣my r贸wnie偶 dane otrzymane z opartej na chmurze us艂ugi KSN, kt贸ra jest obecnie dost臋pna w naszym mobilnym produkcie dla Androida.

G艂贸wne statystyki dla 2012 r.

Najistotniejsze dane statystyczne dla 2012 roku wi膮偶膮 si臋 z gwa艂townym wzrostem liczby nowych szkodliwych program贸w dla Androida. Oce艅cie sami - w 2011 roku Kaspersky Lab wykry艂 prawie 5 300 nowych szkodliwych program贸w dla wszystkich platform mobilnych; w ci膮gu kilku miesi臋cy w 2012 roku wykryto wi臋cej nowych szkodnik贸w stworzonych tylko dla Androida. Jednocze艣nie liczba unikatowych szkodliwych plik贸w przekroczy艂a 6 milion贸w!

艁膮czna liczba modyfikacji i rodzin mobilnego szkodliwego oprogramowania w kolekcji Kaspersky Lab na dzie艅 1 stycznia 2013 r.:

Platforma Modyfikacja Rodzina
Android 43600 255
J2ME 2257 64
Symbian 445 113
Windows Mobile 85 27
Inne 28 10
艁膮cznie 46415 469

Wsp贸艂czynnik wzrostu liczby zagro偶e艅 atakuj膮cych platformy mobilne zwi臋kszy艂 si臋 drastycznie: 40 059 z 46 415 modyfikacji i 138 z 469 rodzin mobilnego szkodliwego oprogramowania zosta艂o dodanych do naszej bazy danych w 2012 r!

Je偶eli chodzi o rozk艂ad mobilnych zagro偶e艅 wed艂ug platformy, sytuacj臋 bardzo jasno obrazuje poni偶szy diagram:


Rozk艂ad mobilnych zagro偶e艅 wed艂ug platformy, 2004 - 2012

Pod koniec 2011 roku platforma Android by艂 celem oko艂o 65% mobilnych zagro偶e艅; pod koniec 2012 roku odsetek ten wynosi艂 niemal 94%.

Jednocze艣nie, 99% wszystkich wykrytych mobilnych szkodliwych program贸w w 2012 roku stanowi艂y zagro偶enia atakuj膮ce urz膮dzenia z Androidem. W po艂owie roku sta艂o si臋 jasne, 偶e przynajmniej przez nast臋pne dwa lata mobilne szkodliwe oprogramowanie b臋dzie atakowa艂o g艂贸wnie Androida. Zdobywaj膮c pozycj臋 najpopularniejszego systemu operacyjnego dla urz膮dze艅 mobilnych, Android OS sta艂 si臋 jednocze艣nie g艂贸wnym celem tw贸rc贸w wirus贸w. Sprawdza si臋 tutaj stara zasada: "najbardziej rozpowszechniony system operacyjny" + "instalacja oprogramowania z przypadkowego 藕r贸d艂a" = "najwi臋ksza liczba zagro偶e艅".

Najbardziej rozpowszechnione zagro偶enia atakuj膮ce Androida

Wiosn膮 2012 roku Kaspersky Lab uruchomi艂 swoj膮 now膮 opart膮 na chmurze us艂ug臋 KSN dla urz膮dze艅 mobilnych pod kontrol膮 Android OS, kt贸ra pozwoli艂a nam zapewnia膰 dodatkow膮 ochron臋 u偶ytkownikom urz膮dze艅 z Androidem oraz zbiera膰 interesuj膮ce dane dotycz膮ce modyfikacji szkodliwych program贸w najcz臋艣ciej napotykanych przez u偶ytkownik贸w.

Najcz臋艣ciej wykrywane zagro偶enia na urz膮dzeniach z Androidem mo偶na podzieli膰 na trzy g艂贸wne grupy: trojany SMS, oprogramowanie adware oraz exploity, kt贸rych celem jest uzyskanie dost臋pu na poziomie root.


Najcz臋艣ciej wykrywane szkodliwe programy atakuj膮ce Androida

Najbardziej rozpowszechnionymi szkodliwymi programami dla Androida okaza艂y si臋 trojany SMS, kt贸re atakuj膮 g艂贸wnie u偶ytkownik贸w w Rosji. Nie jest to niespodziank膮, poniewa偶 wysy艂anie kosztownych wiadomo艣ci tekstowych z zainfekowanych urz膮dze艅 bez zgody u偶ytkownika nadal stanowi g艂贸wny spos贸b zarabiania dla cyberprzest臋pc贸w specjalizuj膮cych si臋 w platformach mobilnych.

Drug膮 grup臋 zagro偶e艅 w rankingu Top 10 tworzy Plangton i oprogramowanie adware Hamob. Rodzina Plangton jest wykrywana jako trojan - i istniej膮 po temu uzasadnione powody. Szkodnik ten jest cz臋sto wykrywany w darmowych aplikacjach i rzeczywi艣cie wy艣wietla reklamy. Jednak posiada jeszcze dodatkow膮 funkcj臋 - zmienia stron臋 startow膮 przegl膮darki bez powiadamiania ani zgody u偶ytkownika, co jest uznawane za szkodliwe zachowanie. Je偶eli chodzi o AdWare.AndroidOS.Hamob, jest to rodzaj aplikacji, kt贸ra wydaje si臋 u偶yteczna, podczas gdy tak naprawd臋 jej dzia艂anie ogranicza si臋 do wy艣wietlania reklam.

Trzecia i ostatnia grupa sk艂ada si臋 z r贸偶nych modyfikacji Lotoora - exploit贸w s艂u偶膮cych do uzyskania dost臋pu na poziomie root w smartfonach dzia艂aj膮cych pod kontrol膮 r贸偶nych wersji Androida.

Zagro偶enia dla u偶ytkownik贸w

Mimo 偶e liczba incydent贸w z udzia艂em szkodliwego oprogramowania atakuj膮cego Androida znacznie wzros艂a w 2012 roku, szkodliwi u偶ytkownicy nie ca艂kiem zapomnieli o innych mobilnych systemach operacyjnych. Najbardziej znacz膮ce z takich incydent贸w zostan膮 om贸wione w dalszej cz臋艣ci.

Mobilne botnety

Technicznie, pierwszy mobilny botnet pojawi艂 si臋 jesieni膮 2009 roku. Drugi najbardziej rozpowszechniony program atakuj膮cy urz膮dzenia z systemem iOS, kt贸re zosta艂y poddane jailbreakowi, zosta艂 wykryty niedawno. Potrafi艂 akceptowa膰 i wykonywa膰 polecenia ze zdalnej us艂ugi.

Pojawienie si臋 mobilnych botnet贸w w 2012 roku z艂o偶onych z urz膮dze艅 dzia艂aj膮cych pod kontrol膮 Androida nie stanowi艂 niespodzianki. Pierwszy pow贸d do niepokoju pojawi艂 si臋 w styczniu wraz z wykryciem bota IRC dla Androida, kt贸ry wsp贸艂dzia艂a艂 z trojanem SMS. Oba szkodniki otrzyma艂y nazw臋 Foncy.


Ikonka MADDEN NFL 12 szkodnika Foncy po zainstalowaniu

Opr贸cz trojana SMS i bota IRC dropper ARK zawiera艂 r贸wnie偶 exploita roota. Po uruchomieniu na zainfekowanym systemie exploit ten zwi臋ksza艂 uprawnienia do poziomu root, a nast臋pnie uruchamia艂 bota IRC, kt贸ry z kolei instalowa艂 i uruchamia艂 trojana SMS. Po wykonaniu swojej funkcji trojan SMS przestawa艂 dzia艂a膰, w przeciwie艅stwie do bota IRC, kt贸ry czeka艂 na polecenia. Dzi臋ki temu bot IRC m贸g艂 kontrolowa膰 sytuacj臋 po infekcji smartfona. Wszystkie smartfony zainfekowane botem IRC Foncy tworzy艂y w pe艂ni rozwini臋ty botnet i mog艂y by膰 wykorzystywane do wykonywania niemal wszystkich dzia艂a艅 na polecenie w艂a艣ciciela botnetu.

Francuska policja zlokalizowa艂a i aresztowa艂a dw贸ch podejrzanych o udzia艂 w tworzeniu i rozprzestrzenianiu tego zagro偶enia. Wed艂ug danych policyjnych, zainfekowali oni ponad 2 000 urz膮dze艅 i zarobili na tym projekcie ponad 100 000 euro. By艂 to pierwszy przypadek aresztowania pod zarzutem rozprzestrzeniania szkodliwego oprogramowania atakuj膮cego urz膮dzenia mobilne.

W lutym wykryto mobilny botnet, kt贸ry mia艂 od 10 000 do 30 000 aktywnych zainfekowanych urz膮dze艅 jednocze艣nie. Ca艂kowita liczba zainfekowanych telefon贸w wynosi艂a setki tysi臋cy. Botnet ten zosta艂 stworzony przez chi艅skich tw贸rc贸w wirus贸w i opiera艂 si臋 na backdorze RootSmart, kt贸ry posiada r贸偶ne funkcje zdalnego kontrolowania urz膮dze艅 mobilnych z Androidem. Cyberprzest臋pcy wykorzystali wypr贸bowan膮 taktyk臋 w celu rozprzestrzenienia RootSmarta: spakowali go wraz z legalnymi programami przy u偶yciu paker贸w i wrzucili plik archiwum do nieoficjalnych sklep贸w z aplikacjami powszechnie wykorzystywanych w Chinach w celu pobierania aplikacji dla Androida. U偶ytkownicy pobieraj膮cy aplikacje maj膮ce rzekomo dostosowa膰 telefony do ich potrzeb pobierali w rzeczywisto艣ci backdoora, kt贸ry pod艂膮cza艂 ich urz膮dzenie do botnetu.

Skala infekcji RootSmarta pozwoli艂a szkodliwym u偶ytkownikom zarobi膰 na swojej sieci zainfekowanych telefon贸w. Zastosowali najcz臋艣ciej wykorzystywan膮 metod臋 w艣r贸d cyberprzest臋pc贸w w 艣wiecie mobilnym: wysy艂anie wiadomo艣ci tekstowych na kr贸tkie numery. Szkodliwi u偶ytkownicy stwierdzili, 偶e najta艅sze numery nie wzbudz膮 podejrze艅 w艣r贸d ich ofiar. Cyberprzest臋pcy zdobyli pe艂n膮 kontrol臋 nad mobilnymi urz膮dzeniami, co pozwoli艂o im ukrywa膰 szkodliwe oprogramowanie w telefonie przez d艂ugi czas i kra艣膰 艣rodki z kont ofiar.

W 2012 roku wykryli艣my backdoory, kt贸re - na szcz臋艣cie - nie potrafi艂y infekowa膰 du偶ej liczby urz膮dze艅. Mimo to, zagro偶enia te, jak r贸wnie偶 ich funkcje, s膮 do艣膰 interesuj膮ce.

Jedno z zagro偶e艅 atakuj膮cych Androida, znane jako Cawitt, jest interesuj膮ce przede wszystkim z tego wzgl臋du, 偶e zawiera mechanizm wykorzystywany do uzyskiwania nazwy domeny centrum kontroli za po艣rednictwem Twittera. Cia艂o tego szkodnika zawiera ci膮gi, z kt贸rych generuje pseudonimy u偶ytkownika na tym portalu spo艂eczno艣ciowym. Po wygenerowaniu fikcyjnych nazw u偶ytkownik贸w backdoor wysy艂a 偶膮dania do serwera Twittera w celu otrzymania ich tweet贸w. Tweety te zawieraj膮 nazwy domen centrum kontroli.


Przyk艂ady tweet贸w C&C

Aby rozpocz膮膰 otrzymywanie polece艅 z centrum kontroli C&C, Cawitt wysy艂a 偶膮danie POST do nazwy domeny otrzymywanej za po艣rednictwem Twittera, a nast臋pnie dodaje "/carbontetraiodide" na koniec. W odpowiedzi na to 偶膮danie bot otrzyma polecenie.

Innym interesuj膮cym zagro偶eniem wykrytym pod koniec 2012 roku jest SpamSold, bot spamowy, kt贸ry atakuje urz膮dzenia z Androidem. Jest to pierwszy szkodliwy program dla urz膮dze艅 mobilnych stworzony w celu wysy艂ania spamu SMS z zainfekowanych urz膮dze艅.

Backdoor ten pr贸buje ukry膰 swoj膮 obecno艣膰 w smartfonie poprzez usuni臋cie swojej ikonki oraz pobranie darmowej wersji gry, kt贸r膮 wykorzystuje jako przykrywk臋. Nast臋pnie SpamSold odpowiada na 偶膮dania GET serwera kontroli jak w przyk艂adzie poni偶ej:


呕膮danie GET SpamSold

W odpowiedzi otrzymuje wiadomo艣膰 tekstow膮 do rozes艂ania i pierwsze 100 numer贸w, na kt贸re nale偶y j膮 wys艂a膰.


Odpowied藕 serwera

Po otrzymaniu odpowiedzi bot pr贸buje wys艂a膰 zawart膮 w poleceniu wiadomo艣膰 tekstow膮 na podane numery, a gdy zabraknie mu numer贸w, wysy艂a 偶膮danie do serwera po nowy zestaw numer贸w i now膮 wiadomo艣膰 tekstow膮. Tymczasem, program ukrywa wysy艂ane wiadomo艣ci tekstowe, a tym samym swoj膮 obecno艣膰 i dzia艂ania.

Na szcz臋艣cie szkodliwym u偶ytkownikom nie uda艂o si臋 jeszcze zbudowa膰 botnetu na du偶膮 skal臋. Jednak ju偶 sam fakt, 偶e mobilne szkodliwe oprogramowanie jest obecnie wykorzystywane do rozsy艂ania wiadomo艣ci tekstowych sugeruje, 偶e w 2013 roku pojawi si臋 wi臋cej ni偶 jeden szkodliwy program o podobnych funkcjach.

Polowanie na kody mTan

W atakach ukierunkowanych w 2012 roku wykorzystano kilka nowych zagro偶e艅, takich jak ataki przeprowadzane przy u偶yciu ZitMo oraz SpitMo (ZeuS- i SpyEye-in-the-Mobile). Celem tych zagro偶e艅 jest przechwytywanie wiadomo艣ci tekstowych z serwis贸w bankowo艣ci online zawieraj膮cych numery s艂u偶膮ce do autoryzacji transakcji, tzw. mTAN-y.

Nowe wersje ZitMo i SpitMo pojawiaj膮 si臋 regularnie, zar贸wno dla Androida jak i innych system贸w operacyjnych. W celu ukrycia swoich zagro偶e艅 tw贸rcy wirus贸w wykorzystuj膮 te same metody co dwa lata temu. Zwykle jest to podszywanie si臋 pod "certyfikat bezpiecze艅stwa" lub oprogramowanie bezpiecze艅stwa dla smartfona. W efekcie zamiast aplikacji antywirusowej u偶ytkownicy pobieraj膮 na swoje urz膮dzenia szkodliwe oprogramowanie.


ZitMo podszywaj膮cy si臋 pod aplikacj臋 bezpiecze艅stwa

To, 偶e Android jest obecnie tak popularny, nie oznacza, 偶e nikt nie korzysta z pozosta艂ych system贸w operacyjnych. Wiedz膮 o tym tw贸rcy wirus贸w, kt贸rzy zignorowali pog艂oski o nieuchronnym ko艅cu platformy BlackBerry. W 2012 roku pojawi艂y si臋 nowe wersje ZitMo dla BlackBerry'ego; w jednym ataku cyberprzest臋pcy wykorzystali zagro偶enia atakuj膮ce zar贸wno platform臋 BlackBerry jak i Android (w obu numery C&C by艂y takie same).

Kilka nowych modyfikacji ZitMo dla Androida zacz臋艂o bardziej przypomina膰 swoich "braci" tworzonych dla innych platform. Wcze艣niej ZitMo dla Androida posiada艂 stosunkowo prymitywne funkcje (g艂贸wnie potrafi艂 wysy艂a膰 przychodz膮ce wiadomo艣ci zawieraj膮ce kody mTAN). Jednak najnowsze wersje tego trojana zawiera艂y rozszerzon膮 list臋 polece艅 wykorzystywanych przez tw贸rc贸w tego szkodnika do kontroli i zarz膮dzania operacjami tego zagro偶enia.


Przyk艂ad niekt贸rych polece艅 w ZitMo dla Androida

Przed 2012 rokiem ataki przeprowadzane w celu kradzie偶y kod贸w mTAN by艂y wykrywane w zaledwie kilku europejskich krajach: Hiszpanii, we W艂oszech, w Niemczech, Polsce i kilku innych. Ofiarami tych atak贸w byli u偶ytkownicy r贸偶nych platform mobilnych: Androida, BlackBerry, Symbiana i Windows Mobile. Pod koniec 2012 roku jednym z cel贸w takich atak贸w sta艂a si臋 Rosja, w kt贸rej coraz cz臋艣ciej korzysta si臋 z bankowo艣ci online - fakt, kt贸ry nie umkn膮艂 uwadze tw贸rc贸w wirus贸w. Rozpowszechniony trojan Carberp, kt贸ry dzia艂a w podobny spos贸b co ZeuS, zyska艂 swoj膮 w艂asn膮 wersj臋 mobiln膮: Trojan-Spy.AndroidOS.Citmo.

Podobnie jak jego wsp贸lnik w przest臋pstwie ZeuS ZitMo, trojan CitMo potrafi ukrywa膰 przychodz膮ce wiadomo艣ci tekstowe zawieraj膮ce kody mTAN i wysy艂a膰 je szkodliwym u偶ytkownikom. R贸偶ne wersje CitMo przesy艂aj膮 przechwycone wiadomo艣ci tekstowe zar贸wno na numery telefonu cyberprzest臋pc贸w jak i ich zdalne serwery.

Jedna wersja Carberpa zmienia艂a stron臋 docelow膮 systemu bankowo艣ci online jednego z rosyjskich bank贸w. U偶ytkownik贸w proszono o pobranie i zainstalowanie programu, kt贸ry by艂 rzekomo niezb臋dny do uzyskania dost臋pu do systemu. U偶ytkownicy mogli wybra膰 spos贸b otrzymania odsy艂acza do programu za po艣rednictwem wiadomo艣ci tekstowej: podaj膮c wcze艣niej sw贸j numer telefonu lub skanuj膮c kod QR.


Kody QR stanowi膮 jeden ze sposob贸w pobierania szkodliwego oprogramowania

Odsy艂acz w tym przyk艂adzie prowadzi艂 do aplikacji AberSafe, pod kt贸r膮 w rzeczywisto艣ci kry艂 si臋 Trojan-Spy.AndroidOS.Citmo, kt贸ry znalaz艂 si臋 w sklepie Google Play w ci膮gu dw贸ch tygodni.

Po uruchomieniu szkodliwego programu potencjalne ofiary by艂y proszone o podanie swojego numeru telefonu. Numery by艂y zapisywane w pliku auth.txt i wysy艂ane na zdalny serwer prowadzony przez szkodliwych u偶ytkownik贸w. Po jakim艣 czasie u偶ytkownicy otrzymywali wiadomo艣膰 tekstow膮 z pi臋ciocyfrowym kodem, kt贸ry nale偶a艂o wpisa膰 w aplikacji. Kod ten by艂 zapisywany w pliku authcode.txt i wykorzystywany wraz z numerem telefonu jako numer identyfikacyjny danych, kt贸ry szkodnik wysy艂a艂 nast臋pnie do zdalnego serwera.

Podczas ataku i kradzie偶y kod贸w mTAN trojan musia艂 ukrywa膰 wiadomo艣ci przychodz膮ce z systemu bankowo艣ci online. W przeciwnym razie, gdy szkodliwi u偶ytkownicy pr贸bowaliby przela膰 艣rodki z konta, takie wiadomo艣ci wzbudzi艂yby ich podejrzenia.

CitMo pobiera艂 informacje z serwera szkodliwych u偶ytkownik贸w o numerach zwi膮zanych z przychodz膮cymi wiadomo艣ciami tekstowymi, kt贸re musia艂y by膰 ukryte. Przesy艂a艂 te dane na zdalny serwer (zapisane w pliku hide.txt) wraz z danymi dotycz膮cymi numer贸w zwi膮zanych z wiadomo艣ciami przychodz膮cymi, kt贸re nie musia艂y by膰 ukrywane (zapisane w pliku view.txt). Po otrzymaniu przychodz膮cej wiadomo艣ci tekstowej CitMo sprawdza艂 nadawc臋. Je偶eli dane nadawcy znajdowa艂y si臋 na li艣cie ukryj, wtedy wiadomo艣膰 by艂a ukrywana i zapisywana w pliku messages.txt, kt贸ry by艂 wysy艂any do zdalnego serwera szkodliwych u偶ytkownik贸w.

Trojany SMS

Najpowszechniejsze metody stosowane przez szkodliwych u偶ytkownik贸w w celu zarabiania na mobilnych zagro偶eniach wci膮偶 ewoluuj膮. Jeszcze w 2011 roku jednym z najbardziej interesuj膮cych trend贸w by艂o pojawienie si臋 trojan贸w SMS atakuj膮cych u偶ytkownik贸w w Europie i Ameryce P贸艂nocnej. W 2012 roku Kaspersky Lab wykry艂 programy afiliacyjne wykorzystywane do rozprzestrzeniania trojan贸w SMS w艣r贸d u偶ytkownik贸w w tych samych regionach. Programy afiliacyjne, jak dobrze wiadomo, stanowi膮 jedne z najbardziej skutecznych narz臋dzi tworzenia, rozprzestrzeniania i zarabiania na szkodliwych programach.

W 2012 roku zosta艂a wykryta rodzina trojan贸w SMS dla Androida (o nazwie Vidro) atakuj膮ca g艂贸wnie u偶ytkownik贸w z Polski. Trojan ten nie wyr贸偶nia艂 si臋 niczym szczeg贸lnym na tle innych z wyj膮tkiem jednego ma艂ego szczeg贸艂u: zagro偶enie to rozprzestrzenia艂o si臋 za po艣rednictwem stron zawieraj膮cych tre艣ci dla doros艂ych zwi膮zanych z mobilnymi programami afiliacyjnymi, kt贸re zarabia艂y na ruchu zwi膮zanym z tre艣ciami dla doros艂ych.

Zagro偶enie to by艂o pobierane ze szkodliwej domeny vid4droid.com. Domena ta by艂a kontrolowana przez dwa serwery nazw o adresie carmunity.de oraz serwer pocztowy vid4droid.com na tecmedia.eu. Istnieje kilka host贸w (m.in. sex-goes-mobile.biz, sexgoesmobile.biz, sexgoesmobil.com) gdzie serwery nazw i poczty s膮 takie same jak na vid4droid.com. Gdyby potencjalna ofiara odwiedzi艂a jeden z nich, zosta艂aby przekierowana do sexgoesmobile.com. Strona ta zosta艂a stworzona w ramach programu afiliacyjnego w celu zarabiania na ruchu zwi膮zanym z tre艣ciami dla doros艂ych generowanym z urz膮dze艅 mobilnych.


Strona domowa programu afiliacyjnego SexGoesMobile.com

Wiele mobilnych program贸w afiliacyjnych (przynajmniej te rosyjskie) oferuje pe艂ny dost臋p do tzw. narz臋dzi promocyjnych dla wszystkich swoich uczestnik贸w i SexGoesMobile nie jest tutaj wyj膮tkiem. Ka偶dy uczestnik SexGoesMobile posiada numer identyfikacyjny. Uczestnik mo偶e stworzy膰 mobiln膮 stron臋 przy u偶yciu gotowego szablonu (ka偶dy szablon posiada w艂asn膮 nazw臋 domeny) i wygenerowa膰 unikatowy adres URL z w艂asnym numerem identyfikacyjnym, kt贸ry nast臋pnie prowadzi do vid4droid.com, i umie艣ci膰 ten adres URL na swojej stronie.

Jak tylko potencjalna ofiara kliknie jedn膮 z takich standardowych stron, zostanie przekierowana do vid4droid.com. Jednocze艣nie, na zdalnym serwerze zostanie wygenerowany na podstawie informacji referrera unikatowy ci膮g liter i liczb (unikatowy adres URL i numer identyfikacyjny uczestnika). Strona zach臋ci nast臋pnie u偶ytkownik贸w do pobrania rzekomej aplikacji zwi膮zanej z tre艣ciami dla doros艂ych (vid4droid.com), kt贸ra w rzeczywisto艣ci stanowi trojana Vidro.

Po zainstalowaniu si臋 na urz膮dzeniu mobilnym trojan ten wysy艂a wiadomo艣膰 tekstow膮 na p艂atny numer w Polsce72908 zawieraj膮c膮 tekst "ZAP艁A膯 {unikatowa sekwencja liter i liczb}" - ta sama unikatowa sekwencja liter i liczb jak ta wygenerowana przy u偶yciu adresu URL i numeru identyfikacyjnego uczestnika. W ten spos贸b ka偶dy uczestnik programu afiliacyjnego ukrad艂 pieni膮dze u偶ytkownika przy u偶yciu "w艂asnego" trojana SMS, kt贸ry wysy艂a艂 wiadomo艣ci tekstowe zawieraj膮ce unikatowy ci膮g. Pojawienie si臋 podobnych program贸w afiliacyjnych poza Rosj膮 i Ukrain膮 wskazuje na istnienie w pe艂ni rozwini臋tego przemys艂u mobilnego szkodliwego oprogramowania - nie tylko w Rosji ale r贸wnie偶 w innych pa艅stwach.

Incydenty dotycz膮ce oficjalnych sklep贸w z aplikacjami

Mimo wprowadzenia przez Google nowego modu艂u antywirusowego Google Bouncer, kt贸ry automatycznie skanuje wszystkie nowe aplikacje na Google Play (wcze艣niej znany jako Android Market), 艣rednia liczba i skala incydent贸w w tym sklepie nie zmieni艂a si臋 znacz膮co.

Nasz膮 uwag臋 zwraca zwykle najwi臋ksza liczba infekcji, tak jak w przypadku incydentu z udzia艂em Dougalek, kt贸ry zainfekowa艂 dziesi膮tki tysi臋cy u偶ytkownik贸w (g艂贸wnie w Japonii). Doprowadzi艂o to do jednego z najwi臋kszych wyciek贸w prywatnych danych spowodowanych infekcj膮 urz膮dzenia mobilnego. Wkr贸tce po tym incydencie policja w Tokio aresztowa艂a pi臋膰 os贸b podejrzanych o tworzenie i rozprzestrzenianie tego zagro偶enia. By艂 to drugi incydent dotycz膮cy mobilnego szkodliwego oprogramowania, kt贸ry zako艅czy艂 si臋 aresztowaniem w 2012 roku.

W 2012 roku mia艂o miejsce kolejne g艂o艣ne wydarzenie: w sklepie Apple'a App Store zosta艂 wykryty pierwszy szkodliwy program dla iOS. Na pocz膮tku lipca wykryto podejrzan膮 aplikacj臋 o nazwie "Find and Call". Jej kopie znaleziono zar贸wno w App Store jak i Android Market.


Find and Call zainstalowany na telefonie z iOS

Po pobraniu i uruchomieniu aplikacji pojawia艂o si臋 偶膮danie zarejestrowania programu, co wymaga艂o podania adresu e-mail i numeru telefonu. Po wykonaniu tego polecenia, je偶eli u偶ytkownik spr贸bowa艂by znale藕膰 przyjaci贸艂 w艣r贸d swoich kontakt贸w przy u偶yciu tej aplikacji, wszystkie jego kontakty zosta艂yby przes艂ane na zdalny serwer - bez wzbudzania podejrze艅 u偶ytkownika - w nast臋puj膮cym formacie.

http://abonent.findandcall.com/system/profile/phoneBook?sid=

Ka偶dy numer skradziony z kontakt贸w otrzymywa艂by nast臋pnie spamowe wiadomo艣ci tekstowe z odsy艂aczem proponuj膮cym odbiorcy pobranie aplikacji Find and Call.

Po opublikowaniu informacji o tym incydencie Kaspersky Lab zacz膮艂 otrzymywa膰 pytania o to, dlaczego aplikacja ta zosta艂a zaklasyfikowana jako szkodliwa. A zatem, jest ona uwa偶ana za szkodliw膮, poniewa偶 ukrywa fakt pobierania informacji kontaktowych u偶ytkownika na zdalny serwer, aby nast臋pnie wysy艂a膰 na nie wiadomo艣ci tekstowe.

Na szcz臋艣cie incydent ten jest jak na razie jedynym potwierdzonym przypadkiem wykrycia szkodliwego programu w sklepie iOS App Store.

Cyberszpiegostwo

W 2012 roku spodziewali艣my si臋 wi臋kszej liczby przypadk贸w kradzie偶y danych z telefon贸w mobilnych oraz 艣ledzenia ludzi przy u偶yciu ich telefon贸w i us艂ug GPS. Niestety, mieli艣my racj臋. Liczba szkodliwych program贸w wykazuj膮cych zachowanie trojan贸w szpieguj膮cych lub backdoor贸w zwi臋kszy艂a si臋 sze艣ciokrotnie. Wzrasta r贸wnie偶 liczba aplikacji komercyjnych s艂u偶膮cych do monitorowania, kt贸re trudno odr贸偶ni膰 od szkodliwych program贸w.

Historia o szpiegostwie mobilnym zawiera wiele niezwyk艂ych epizod贸w. Czytelnicy by膰 mo偶e przypominaj膮 sobie incydent z 2009 roku, kiedy jeden z najwi臋kszych operator贸w w Zjednoczonych Emiratach Arabskich rozsy艂a艂 wiadomo艣膰 tekstow膮 zawieraj膮c膮 odsy艂acz do oprogramowania spyware pod pretekstem aktualizacji bezpiecze艅stwa dla BlackBerry. Kolejnym istotnym aspektem jest zainteresowanie rz膮du uzyskaniem dost臋pu do bezpiecznych transmisji wykorzystywanych w smartfonach BlackBerry.

Najbardziej znacz膮ce i wywo艂uj膮ce najwi臋kszy skandal incydenty zwi膮zane ze szpiegostwem mobilnym w 2012 roku to:

  • wykrycie mobilnej wersji modu艂u szpiegowskiego FinSpy, opracowanego przez brytyjsk膮 firm臋 Gamma International;
  • ujawnienie szczeg贸艂贸w technicznych dotycz膮cych operacji cyberwywiadowczych, znanych pod nazw膮 Czerwony Pa藕dziernik - incydent, w kt贸rym dane i tajne informacje by艂y zbierane nie tylko z komputer贸w i sprz臋tu sieciowego atakowanych organizacji (agencji dyplomatycznych i rz膮dowych), ale r贸wnie偶 z urz膮dze艅 mobilnych ich pracownik贸w.

Oba te incydenty zas艂uguj膮 na g艂臋bsz膮 analiz臋.

FinSpy

Mobilne wersje FinSpy stanowi膮 cz臋艣膰 oferty Gamma International. Dane o istnieniu tego pakietu narz臋dzi do zdalnego monitoringu po raz pierwszy pojawi艂y si臋 jeszcze w pierwszej po艂owie 2011 roku. Tego samego roku okaza艂o si臋, 偶e istniej膮 mobilne wersje FinSpy. Nast臋pnie, w 2012 roku, The Citizen Lab zdoby艂o do analizy mobilne wersje FinSpy'a dla Androida, iOSa, Windowsa Mobile, Symbiana oraz BlackBerry'ego.

Modyfikacje FinSpy'a dla r贸偶nych platform posiadaj膮 wiele wsp贸lnych funkcji:

  • rejestrowanie po艂膮cze艅 przychodz膮cych i wychodz膮cych;
  • ukryte po艂膮czenia w celu pods艂uchiwania otoczenia celu;
  • kradzie偶 informacji ze smartfon贸w (rejestry po艂膮cze艅, wiadomo艣ci tekstowe i multimedialne, kontakty itd.);
  • 艣ledzenie wsp贸艂rz臋dnych geograficznych;
  • komunikacja z centrum kontroli za po艣rednictwem Internetu i wiadomo艣ci tekstowych.

Jednocze艣nie, ka偶da wersja dla okre艣lonej platformy posiada r贸wnie偶 kilka specjalnych funkcji. Na przyk艂ad FinSpy dla Symbiana potrafi wykonywa膰 zrzuty ekranu; FinSpy dla BlackBerry potrafi r贸wnie偶 monitorowa膰 komunikacj臋 za po艣rednictwem komunikatora BlackBerry Messenger; wersja dla Androida mo偶e w艂膮cza膰 i wy艂膮cza膰 tryb samolotowy, FinSpy dla iOSa mo偶e zosta膰 zainstalowany z ograniczonym asortymentem urz膮dze艅 i okre艣lonych unikatowych identyfikator贸w, natomiast wersja dla Windows Mobile zmienia polityki bezpiecze艅stwa.

Ciekawym aspektem wszystkich mobilnych wersji FinSpya jest tworzenie i wykorzystywanie pliku konfiguracyjnego 84c.dat. Wykorzystywane do wygenerowania go mechanizmy r贸偶ni膮 si臋 w zale偶no艣ci od systemu operacyjnego, ostatecznie jednak zawiera on dane niezb臋dne do dzia艂ania modu艂u spyware (adres serwera kontroli, numer mobilnego C&C, wykorzystywane porty oraz inne dane).


Fragment pliku konfiguracyjnego 84c.dat dla Androida, zaszyfrowany przy u偶yciu base64

G艂贸wna funkcja wszystkich modu艂贸w mobilnych FinSpy'a nie jest niczym nowym czy unikatowym. Podobny zestaw funkcji widywali艣my ju偶 wielokrotnie w komercyjnym oprogramowaniu spyware takim jak FlexiSpy czy MobileSpy. Tym, co wyr贸偶nia FinSpy'a, jest jego tw贸rca: firma, kt贸ra jest oficjalnie zarejestrowana w Wielkiej Brytanii i - jak wynika z informacji o firmie zamieszczonych na jej oficjalnej stronie internetowej - rozwija narz臋dzia do zdalnego monitoringu dla agencji rz膮dowych.

Obecnie nie wiadomo, kto zam贸wi艂 ataki przy u偶yciu FinSpy'a ani kim by艂y konkretnie ich ofiary i wszelkie pytania prawdopodobnie pozostan膮 bez odpowiedzi. Jednak nawet przy braku tych informacji pojawienie si臋 FinSpy'a otworzy艂o nowy rozdzia艂 w historii mobilnego szkodliwego oprogramowania.

Czerwony Pa藕dziernik

Pod koniec 2012 roku je偶eli ktokolwiek mia艂 jeszcze w膮tpliwo艣ci odno艣nie znaczenia mobilnego oprogramowania spyware, z pewno艣ci膮 zosta艂y one rozwiane po pojawieniu si臋 informacji o operacjach Czerwony Pa藕dziernik: urz膮dzenia mobilne sta艂y si臋 - podobnie jak konwencjonalne komputery - celem atak贸w szpiegowskich.

Mamy dowody na to, 偶e stosuj膮ce za t膮 operacj膮 nieznane osoby s膮 zainteresowane przechwytywaniem danych z urz膮dze艅 mobilnych. Dost臋p do takich informacji mog膮 uzyskiwa膰 nie tylko przy u偶yciu mobilnego szkodliwego oprogramowania ale r贸wnie偶 modu艂贸w dla Windowsa, kt贸re dzia艂aj膮 wtedy, gdy urz膮dzenia s膮 pod艂膮czone do zainfekowanego komputera. W tej sekcji podsumujemy informacje, jakie posiadamy na temat mobilnych modu艂贸w Czerwonego Pa藕dziernika, jak r贸wnie偶 inne dane, kt贸re mog膮 by膰 istotne.

Jeden z modu艂贸w Czerwonego Pa藕dziernika - RegConn - odpowiada za gromadzenie danych o systemie i informacji o zainstalowanym i wykorzystywanym na zainfekowanym komputerze oprogramowaniu. Dane te s膮 przechwytywane poprzez odczytywanie okre艣lonych kluczy rejestru (lista kluczy jest zawarta w samym module). Spo艣r贸d kluczy wyr贸偶niaj膮 si臋 nast臋puj膮ce:


Klucze rejestru w module RegConn

W ten czy inny spos贸b wszystkie te klucze rejestru s膮 powi膮zane z oprogramowaniem, kt贸re dzia艂a z urz膮dzeniami mobilnymi (iTunes, Nokia PC Suite itd.), kt贸re mo偶e zosta膰 zainstalowane na zainfekowanym komputerze.

Inny komponent Czerwonego Pa藕dziernika zosta艂 stworzony dla iPhone'a. Celem tego modu艂u jest przechwytywanie informacji ze smartfona, gdy jest pod艂膮czony do zainfekowanego nim komputera. Wykorzystuje on plik katalogu iTunes'a CoreFoundation.dll. Warto zauwa偶y膰, 偶e modu艂 ten potrafi uruchomi膰 jedn膮 z dw贸ch r贸偶nych us艂ug: jedn膮 dla telefon贸w, kt贸re poddano jailbreakowi, i jedn膮 dla telefon贸w, kt贸re nie zosta艂y w ten spos贸b z艂amane. W obu przypadkach modu艂 b臋dzie pr贸bowa艂 gromadzi膰:

  • informacje dotycz膮ce samego urz膮dzenia, pocz膮wszy od EMEI, a sko艅czywszy na wersji firmware'a;
  • pliki z nast臋puj膮cymi rozszerzeniami: .jpg, .jpeg, .txt, .doc, .docx, .xls, .xlsx, .ppt, .pptx, .dot, .dotx, .odt, .djvu, .odts, .reg, .rtf, .zip, .rar, .pdf, .7z, .wab, .pab, .vcf, .ost, .wav, .mp4, .m4a, .amr, .log, .cer, .em, .msg, .arc, .key, .pgp, .gpg;
  • zawarto艣膰 plik贸w z danymi dotycz膮cymi wiadomo艣ci SMS, kontakty, rejestry po艂膮cze艅, notatki, kalendarz, poczt臋 g艂osow膮, histori臋 przegl膮darki Safari oraz poczt臋 e-mail.

Modu艂 dla Nokii posiada podobn膮 funkcj臋 i r贸wnie偶 przechwytuje dane dotycz膮ce samego urz膮dzenia, wiadomo艣ci tekstowe i multimedialne, kalendarz, kontakty oraz zainstalowane aplikacje. Ponadto pr贸buje zlokalizowa膰 i przechwyci膰 pliki o nast臋puj膮cych rozszerzeniach: .txt, .cdb, .doc, .docx, .xls, .xlsx, .ppt, .pptx, .dot, .dotx, .odt, .djvu, .odts, .reg, .rtf, .zip, .rar, .pdf, .7z, .wab, .pab, .vcf, .ost, .jpg, .waw, .mp4, .m4a, .amr, .exe, .log, .cer, .eml, .msg, .arc, .key, .pgp, .gpg. Wykorzystuje ConnAPI.dll z PC Connectivity Solution w celu interakcji z mobilnymi urz膮dzeniami .

Warto wspomnie膰 r贸wnie偶 o komponentach Czerwonego Pa藕dziernika, kt贸re dzia艂aj膮 w systemie Windows Mobile. Modu艂y te mo偶na podzieli膰 na dwie grupy:

  1. modu艂y dzia艂aj膮ce na zainfekowanych komputerach z systemem Windows (wykorzystywane do infekowania/aktualizacji urz膮dze艅 z systemem Windows Mobile pod艂膮czonych do zainfekowanego komputera);
  2. modu艂y zainstalowane na pod艂膮czonych smartfonach z systemem Windows Mobile przez komponent windowsowy.

W przypadku pierwszej grupy, celem nie jest przechwytywanie informacji z pod艂膮czonego urz膮dzenia z systemem Windows Mobile, a instalowanie backdoora na smartfonie (lub aktualizacja ju偶 zainstalowanego). Komponent backdoora, kt贸ry instaluje modu艂 na smartfonie w pierwszej kategorii jest okre艣lany w pewnych kr臋gach jako "zak艂adka" lub "bookmark".

Opr贸cz backdoor贸w komponent windowsowy pobiera na urz膮dzenia r贸wnie偶 inne pliki wykonywalne. Takie pliki .exe s膮 wykorzystywane do zmiany konfiguracji urz膮dzenia oraz uruchamiania, uaktualniania i usuwania backdoor贸w. Potrafi膮 r贸wnie偶 kopiowa膰 specjalny plik konfiguracyjny z .ex (winupdate.cfg) z komputera na smartfon.

Plik ten by艂 pierwotnie zaszyfrowany. Odszyfrowany plik wygl膮da tak:


winupdate.cfg po odszyfrowaniu

Plik ten zawiera dane dotycz膮ce kod贸w MCC/MNC (MCC = Mobile Country Code; MNC = Mobile Network Code - czyli kod pa艅stwa i kod dostawcy us艂ug telefonii kom贸rkowej). Doliczyli艣my si臋 艂膮cznie 129 r贸偶nych pa艅stw i ponad 350 dostawc贸w us艂ug telefonii kom贸rkowej w tych pa艅stwach.

Komponent backdoora zak艂adka ustala MCC/MNC smartfona, a nast臋pnie por贸wnuje zebrane dane z danymi z pliku winupdate.cfg i zapisuje wszystko do pliku dziennika.

W swoich operacjach z centrum kontroli (C&C) modu艂 zak艂adka pr贸buje wys艂a膰 偶膮danie POST na adresy centrum kontroli wyszczeg贸lnione w module (win-check-update.com lub, je艣li ta domena jest niedost臋pna, mobile-update.com):

'POST %s HTTP/1.0 Accept: */* User-Agent: Mozilla/4.0 Content-Length: %d Host: %s'

W odpowiedzi modu艂 ten otrzymuje plik ze zdalnego serwera, kt贸ry nast臋pnie przechowuje w \Windows\%u.exe i uruchamia.

Je偶eli chodzi o domeny C&C - opr贸cz win-check-update.com i mobile-update.com, Kaspersky Lab wykry艂 nast臋puj膮ce nazwy podejrzanych centr贸w kontroli:

  • cydiasoft.com
  • htc-mobile-update.com
  • mobile-update.com
  • playgoogle-market.com
  • security-mobile.com
  • world-mobile-congress.com

W skr贸cie, mo偶na wysun膮膰 nast臋puj膮ce wnioski:

Po pierwsze, wiemy, 偶e istnieje kilka modu艂贸w Czerwonego Pa藕dziernika, kt贸rych celem jest kradzie偶 informacji z r贸偶nych rodzaj贸w urz膮dze艅 mobilnych.

Po drugie, istniej膮 niebezpo艣rednie wskaz贸wki (lista kluczy rejestru, nazwy domen) istnienia innych modu艂贸w Czerwonego Pa藕dziernika stworzonych w celu wsp贸艂pracy z innymi urz膮dzeniami mobilnymi, 艂膮cznie z tymi dzia艂aj膮cymi na Androidzie i BlackBerry. Jednak w momencie publikacji tego artyku艂u nie wykryli艣my modu艂贸w dla tych platform.

Podsumowanie

Od czasu pojawienia si臋 mobilnego szkodliwego oprogramowania ka偶dego roku maj膮 miejsce wydarzenia i incydenty, kt贸re wp艂ywaj膮 na kolejny etap ewolucji tych zagro偶e艅 - a rok 2012 mo偶na uzna膰 za jeden z najbardziej znamiennych. Dlaczego?

Po pierwsze, liczba mobilnych zagro偶e艅 gwa艂townie wzros艂a w 2012 roku.

Po drugie, Android sta艂 si臋 mobilnym celem numer jeden w艣r贸d cyberprzest臋pc贸w.

Po trzecie, zagro偶enia mobilne tworzone s膮 na skal臋 mi臋dzynarodow膮. Obecnie cyberprzest臋pcy nie ograniczaj膮 si臋 ju偶 do u偶ytkownik贸w urz膮dze艅 mobilnych w Rosji i Chinach. Powa偶ne incydenty powoduj膮ce niema艂e szkody mia艂y miejsce w wielu krajach.

Wreszcie, mamy dow贸d, 偶e urz膮dzenia mobilne oraz przechowywane na nich dane stanowi膮 cel nie tylko zwyk艂ych cyberprzest臋pc贸w, ale r贸wnie偶 r贸偶nych organizacji stoj膮cych za atakami takimi jak Czerwony Pa藕dziernik.

殴ród艂o:
Kaspersky Lab