Ewolucja mobilnego szkodliwego oprogramowania: 2013

Sektor mobilnego szkodliwego oprogramowania odnotowuje szybki wzrost, zar贸wno pod wzgl臋dem technologicznym jak i strukturalnym. Mo偶na 艣mia艂o powiedzie膰, 偶e wsp贸艂czesny cyberprzest臋pca to ju偶 nie samotny programista o z艂ych intencjach, ale ogniwo w powa偶nej operacji biznesowej. 

W bran偶y mobilnego szkodliwego oprogramowania dzia艂aj膮 r贸偶nego rodzaju aktorzy: tw贸rcy wirus贸w, testerzy, projektanci interfejs贸w zar贸wno szkodliwych aplikacji jak i stron internetowych, z kt贸rych s膮 rozprzestrzeniane, w艂a艣ciciele program贸w partnerskich s艂u偶膮cych do rozprzestrzeniania szkodliwego oprogramowania oraz w艂a艣ciciele botnet贸w mobilnych.  

Podzia艂 pracy w艣r贸d cyberprzest臋pc贸w znajduje r贸wnie偶 odzwierciedlenie w zachowaniu stworzonych przez nich trojan贸w. W 2013 roku pojawi艂 si臋 dow贸d na wsp贸艂prac臋 (prawdopodobnie na skal臋 komercyjn膮) pomi臋dzy r贸偶nymi grupami tw贸rc贸w wirus贸w. Botnet Trojan-SMS.AndroidOS.Opfake.a, opr贸cz w艂asnej aktywno艣ci rozprzestrzenia r贸wnie偶 trojana o nazwie Trojan-SMS.AndroidOS.Opfake.a, wysy艂a艂 do kontakt贸w z listy ofiary spam zawieraj膮cy odsy艂acz do szkodliwego oprogramowania.   

Nie ma ju偶 w膮tpliwo艣ci, 偶e wykszta艂ci艂a si臋 odr臋bna bran偶a, w kt贸rej wi臋kszy nacisk jest po艂o偶ony na zdobywanie zysk贸w, co wyra藕nie potwierdza funkcjonalno艣膰 tego szkodliwego oprogramowania.

Rok 2013 w liczbach

  • W ca艂ym 2013 r. wykryto 艂膮cznie 143 211 nowych modyfikacji szkodliwych program贸w, kt贸rych celem s膮 urz膮dzenia mobilne (wed艂ug stanu z dnia 1 stycznia 2014 r.)
  • W 2013 r. w celu do rozprzestrzenienia mobilnego szkodliwego oprogramowania cyberprzest臋pcy wykorzystali 3 905 502 pakiet贸w instalacyjnych. W latach 2012-2013 wykryli艣my 艂膮cznie oko艂o 10 000 000 unikatowych pakiet贸w instalacyjnych szkodliwego oprogramowania: 

mobile_treats_2013_01_auto.png
Liczba pakiet贸w instalacyjnych wykrytych w latach 2012-2013

R贸偶ne pakiety instalacyjne mog膮 instalowa膰 programy z t膮 sam膮 funkcjonalno艣ci膮, kt贸re r贸偶ni膮 si臋 jedynie pod wzgl臋dem interfejsu szkodliwej aplikacji i, na przyk艂ad, zawarto艣ci膮 rozprzestrzenianych wiadomo艣ci tekstowych.

  • Android pozostaje g艂贸wnym celem szkodliwych atak贸w. 98,05% wszystkich szkodliwych program贸w wykrytych w 2013 r. atakowa艂o w艂a艣nie t臋 platform臋, potwierdzaj膮c zar贸wno popularno艣膰 tego mobilnego systemu operacyjnego, jak i istnienie luk w zabezpieczeniach jego architektury. 

mobile_treats_2013_02_auto.png
Rozk艂ad mobilnego szkodliwego oprogramowania wykrytego w 2013 r. wed艂ug platformy 

  • Wi臋kszo艣膰 mobilnego szkodliwego oprogramowania zosta艂a stworzona w celu kradzie偶y pieni臋dzy u偶ytkownik贸w. Do tej grupy nale偶膮 trojany SMS, jak r贸wnie偶 wiele backdoor贸w i trojan贸w. 

mobile_treats_2013_03.jpg
 Rozk艂ad mobilnego szkodliwego oprogramowania wed艂ug kategorii

  • Na przestrzeni roku liczba modyfikacji mobilnego szkodliwego oprogramowania wykorzystywanych w celu przeprowadzenia atak贸w phishingowych, kradzie偶y informacji dotycz膮cych karty kredytowej oraz pieni臋dzy zwi臋kszy艂a si臋 19,7 razy. W roku 2013 produkty mobilne firmy Kaspersky Lab zapobieg艂y 2 500 infekcjom ze strony trojan贸w bankowych.   

Metody i techniki

W 2013 roku zauwa偶yli艣my nie tylko gwa艂towny wzrost liczby szkodliwych mobilnych program贸w, ale r贸wnie偶 aktywne wykorzystywanie przez cyberprzest臋pc贸w metod i technik umo偶liwiaj膮cych skuteczniejsze wykorzystywanie ich szkodliwego oprogramowania. Mo偶na wyr贸偶ni膰 kilka obszar贸w, w kt贸rych mobilne szkodliwe oprogramowanie odnotowa艂o post臋p.  

Dystrybucja

Cyberprzest臋pcy niekiedy wykorzystywali niezwykle wyrafinowane metody w celu infekowania urz膮dze艅 przeno艣nych.

Infekowanie legalnych zasob贸w internetowych pomaga rozprzestrzenia膰 mobilne szkodliwe oprogramowanie za po艣rednictwem popularnych stron internetowych. Coraz wi臋cej w艂a艣cicieli smartfon贸w i tablet贸w odwiedza strony internetowe ze swoich urz膮dze艅, nie wiedz膮c, 偶e nawet ciesz膮ce si臋 dobr膮 reputacj膮 zasoby mog膮 pa艣膰 ofiar膮 ataku. Wed艂ug naszych danych, 0,4% stron internetowych odwiedzanych przez u偶ytkownik贸w naszych produkt贸w zosta艂o wcze艣niej zaatakowanych.  

Rozprzestrzenianie za po艣rednictwem nieoficjalnych sklep贸w z aplikacjami. W Azji dzia艂aj膮 liczne firmy produkuj膮ce urz膮dzenia oparte na Androidzie oraz aplikacje dla tego systemu. Wiele z nich prowadzi w艂asne sklepy z aplikacjami, oferuj膮c u偶ytkownikom programy, kt贸re nie s膮 dost臋pne w Google Play. Jedynie symboliczna kontrola aplikacji umieszczanych w takich sklepach oznacza, 偶e osoby atakuj膮ce mog膮 ukry膰 w aplikacjach trojany, sprawiaj膮c, 偶e wygl膮daj膮 one jak nieszkodliwe gry czy narz臋dzia. 

Rozprzestrzenianie za po艣rednictwem botnet贸w. Boty zazwyczaj rozprzestrzeniaj膮 si臋 samodzielnie poprzez wysy艂anie wiadomo艣ci tekstowych zawieraj膮cych szkodliwy odsy艂acz na adresy pobrane z ksi膮偶ki adresowej ofiary. Odnotowali艣my r贸wnie偶 przypadek mobilnego szkodliwego oprogramowania rozprzestrzeniaj膮cego si臋 za po艣rednictwem botnetu osoby trzeciej.  

Odporno艣膰 na ochron臋 przed szkodliwym oprogramowaniem

Mo偶liwo艣膰 nieprzerwanego dzia艂ania szkodnika na urz膮dzeniu mobilnym ofiary stanowi istotny aspekt rozwoju szkodliwego oprogramowania. Im d艂u偶ej trojan "przetrwa" w smartfonie, tym wi臋cej pieni臋dzy zarobi dla swojego w艂a艣ciciela. Jest to obszar, nad kt贸rym aktywnie pracuj膮 tw贸rcy wirus贸w, czego efektem jest du偶a liczba innowacji technologicznych.    

Przest臋pcy w coraz wi臋kszym stopniu stosuj膮 zaciemnianie, tj. celowe dzia艂anie polegaj膮ce na stworzeniu z艂o偶onego kodu w celu utrudnienia jego analizy. Im bardziej z艂o偶one zaciemnianie, tym wi臋cej czasu zajmie rozwi膮zaniu antywirusowemu zneutralizowanie szkodliwego kodu. Co istotne, wsp贸艂cze艣ni tw贸rcy wirus贸w opanowali wykorzystywanie komercyjnych narz臋dzi do zaciemniania. To oznacza, 偶e poczynili znaczne inwestycje. Na przyk艂ad, jedno z takich narz膮dzi, kt贸rego koszt wynosi 350 dolar贸w, zosta艂o wykorzystane w przypadku trojana i Opfak.bo Obad.a   

Luki w zabezpieczeniach systemu Android s膮 wykorzystywane przez cyberprzest臋pc贸w do trzech g艂贸wnych cel贸w: obej艣cie kontroli integralno艣ci kodu podczas instalowania aplikacji (luka Master Key); zwi臋kszenie przywilej贸w szkodliwych aplikacji, co pozwala znacznie rozszerzy膰 ich mo偶liwo艣ci; oraz utrudnienie usuwania szkodliwego oprogramowania. Na przyk艂ad, Svpeng wykorzystuje nieznan膮 wcze艣niej luk臋 w celu zabezpieczenia si臋 przed r臋cznym usuni臋ciem lub przy u偶yciu programu antywirusowego.     

Cyberprzest臋pcy wykorzystuj膮 r贸wnie偶 luk臋 Master Key i nauczyli si臋 osadza膰 niepodpisane pliki wykonywalne w pakietach instalacyjnych Androida. Weryfikacj臋 podpisu cyfrowego mo偶na obej艣膰 poprzez nadanie szkodliwemu plikowi dok艂adnie takiej samej nazwy, jak膮 posiada legalny plik oraz umieszczenia go na tym samym poziomie w archiwum. System weryfikuje podpis legalnego pliku, ale instaluje szkodliwy plik.    

Niestety, specyficzna cecha luk w systemie Android sprawia, 偶e mo偶na je usun膮膰 jedynie poprzez otrzymanie aktualizacji od producent贸w urz膮dzenia. Jednak wielu u偶ytkownik贸w nie spieszy si臋 z aktualizacj膮 system贸w operacyjnych swoich produkt贸w. Je偶eli smartfon lub tablet zosta艂 wprowadzony do sprzeda偶y ponad rok temu, prawdopodobnie nie jest ju偶 obj臋ty wsparciem producenta, kt贸ry nie dostarcza ju偶 艂at dla luk. W takim przypadku jedyna pomoc mo偶e przyj艣膰 ze strony rozwi膮zania antywirusowego, np. Kaspersky Internet Security for Android.    

Osadzanie szkodliwego kodu w legalnych programach pomaga ukry膰 infekcj臋 przed ofiar膮. Naturalnie nie oznacza to, 偶e mo偶na wykorzysta膰 podpis cyfrowy tw贸rcy oprogramowania. Poniewa偶 jednak nie istniej膮 centra certyfikacji weryfikuj膮ce podpis cyfrowy program贸w dla Androida, nic nie stoi cyberprzest臋pcom na przeszkodzie, aby doda膰 w艂asny podpis. W efekcie, mo偶e okaza膰 si臋, 偶e kopia Angry Birds pobrana z nieoficjalnego sklepu z aplikacjami lub z forum mo偶e zawiera膰 szkodliw膮 funkcjonalno艣膰.     

Mo偶liwo艣ci i funkcjonalno艣膰

W 2013 r. wykryli艣my kilka innowacji technologicznych opracowanych i wykorzystywanych przez przest臋pc贸w w szkodliwym oprogramowaniu. Poni偶ej znajduj膮 si臋 opisy kilku najbardziej interesuj膮cych.

Kontrola szkodliwego oprogramowania z jednego centrum zapewnia maksymaln膮 elastyczno艣膰. Na botnetach mo偶na zarobi膰 znacznie wi臋cej pieni臋dzy ni偶 na autonomicznych trojanach. Nie jest zatem niespodziank膮, 偶e wiele trojan贸w SMS zawiera funkcjonalno艣膰 bota. Wed艂ug naszych szacunk贸w, oko艂o 60% mobilnego szkodliwego oprogramowania stanowi elementy zar贸wno du偶ych jak i ma艂ych botnet贸w mobilnych.   

Przy u偶yciu Google Cloud Messaging w艂a艣ciciele botnetu mog膮 obs艂ugiwa膰 go bez wykorzystywania serwera kontroli (C&C), co eliminuje ryzyko wykrycia i zablokowania botnetu przez organy 艣cigania. Google Cloud Messaging s艂u偶y do wysy艂ania kr贸tkich wiadomo艣ci (do 4 KB) na urz膮dzenia mobilne za po艣rednictwem us艂ug Google. Deweloper musi tylko zarejestrowa膰 si臋 i uzyska膰 niepowtarzalny identyfikator dla swoich aplikacji. Polecenia otrzymywane za po艣rednictwem GCM nie mog膮 by膰 natychmiast zablokowane na zainfekowanym urz膮dzeniu.      

Wykryli艣my kilka szkodliwych program贸w wykorzystuj膮cych GCM w celu kontroli - s膮 to m.in. szeroko rozpowszechniony Trojan-SMS.AndroidOS.FakeInst.a, Trojan-SMS.AndroidOS.Agent.ao i Trojan-SMS.AndroidOS.OpFake.a. Google aktywnie walczy z wykorzystywaniem swojej us艂ugi do takich cel贸w, niezw艂ocznie reaguj膮c na doniesienia od firm antywirusowych i blokuj膮c identyfikatory cyberprzest臋pc贸w.   

Ataki na system Windows XP pozwalaj膮 mobilnemu szkodliwemu oprogramowaniu zainfekowa膰 komputer PC po pod艂膮czeniu do niego smartfona lub tabletu. Na pocz膮tku 2013 roku wykryli艣my dwie identyczne aplikacje w sklepie Google Play, kt贸re mia艂y rzekomo wyczy艣ci膰 system operacyjny urz膮dze艅 z Androidem z niepotrzebnych proces贸w. W rzeczywisto艣ci, celem takich aplikacji by艂o pobieranie pliku autorun.inf, pliku ikonki oraz pliku win32-Trojan, kt贸ry mobilny szkodliwy program lokalizuje w katalogu g艂贸wnym karty SD. Po po艂膮czeniu smartfona w trybie emulacji dysku USB do komputera dzia艂aj膮cego pod kontrol膮 Windows XP system automatycznie uruchamia trojana (je艣li nie zosta艂 wy艂膮czony AutoPlay na no艣nikach zewn臋trznych) i zostaje zainfekowany. Trojan ten pozwala przest臋pcom zdalnie kontrolowa膰 komputer ofiary i potrafi nagrywa膰 d藕wi臋k z mikrofonu. Podkre艣lamy, 偶e taka metoda ataku dzia艂a tylko z wersjami systemu Windows XP oraz z Androidem wcze艣niejszym ni偶 2.2.             

Najbardziej zaawansowanymi mobilnymi szkodliwymi programami s膮 dzisiaj trojany atakuj膮ce konta u偶ytkownik贸w bank贸w - kt贸re stanowi膮 najatrakcyjniejsze 藕r贸d艂o przychod贸w przest臋pc贸w.  

Trend roku: mobilne trojany bankowe

Rok 2013 odznacza艂 si臋 gwa艂townym wzrostem liczby trojan贸w bankowych dla Androida. Cyberprzemys艂 mobilnego szkodliwego oprogramowania w coraz wi臋kszym stopniu koncentruje si臋 na generowaniu zysk贸w w spos贸b bardziej efektywny, tj. poprzez mobilny phishing, kradzie偶 informacji dotycz膮cych kart kredytowych, przelewanie pieni臋dzy z kart bankowych na telefony mobilne oraz z telefon贸w do elektronicznych portfeli przest臋pc贸w. Cyberprzest臋pcy maj膮 "obsesj臋" na punkcie tej metody uzyskiwania nielegalnych dochod贸w: na pocz膮tku roku znali艣my jedynie 67 trojan贸w bankowych, jednak ju偶 pod koniec roku istnia艂o ju偶 1 321 unikatowych pr贸bek. Produkty mobilne firmy Kaspersky Lab zapobieg艂y 2 500 infekcjom, kt贸rych sprawcami by艂y trojany bankowe.    

mobile_treats_2013_04_auto.png
Liczba mobilnych trojan贸w bankowych w naszej kolekcji

Mobilne trojany bankowe mog膮 wsp贸艂dzia艂a膰 z trojanami Win-32, aby obej艣膰 uwierzytelnienie dwusk艂adnikowe - czy dokona膰 kradzie偶y mTAN (kradzie偶 kod贸w weryfikacji bankowej wysy艂anych przez banki do swoich klient贸w w wiadomo艣ciach SMS). Jednak w 2013 r. autonomiczne mobilne trojany bankowe rozwin臋艂y si臋 jeszcze dalej. Obecnie trojany te atakuj膮 ograniczon膮 liczb臋 klient贸w bank贸w, spodziewamy si臋 jednak, 偶e cyberprzest臋pcy opracuj膮 nowe techniki, kt贸re pozwol膮 im zwi臋kszy膰 liczb臋 i zasi臋g geograficzny potencjalnych ofiar.      

mobile_treats_2013_05_auto.png
Infekcje spowodowane przez mobilne trojany bankowe

Obecnie celem wi臋kszo艣ci atak贸w przy u偶yciu trojan贸w bankowych s膮 u偶ytkownicy z Rosji i Wsp贸lnoty Niepodleg艂ych Pa艅stw. Jednak taka sytuacja nie potrwa d艂ugo: bior膮c pod uwag臋 zainteresowanie cyberprzest臋pc贸w kontami bankowymi u偶ytkownik贸w, spodziewamy si臋, 偶e w 2014 r. aktywno艣膰 mobilnych trojan贸w bankowych wzro艣nie r贸wnie偶 w innych pa艅stwach.  

Jak ju偶 wspominali艣my wcze艣niej, trojany bankowe s膮 prawdopodobnie najbardziej z艂o偶one  spo艣r贸d wszystkich zagro偶e艅 mobilnych, a Svpeng to jeden z najbardziej znamiennych przyk艂ad贸w.  

Svpeng

W po艂owie lipca wykryli艣my program o nazwie Trojan-SMS.AndroidOS.Svpeng.a, kt贸ry, w przeciwie艅stwie do swoich troja艅skich odpowiednik贸w SMS-owych, jest wykorzystywany g艂贸wnie do kradzie偶y pieni臋dzy z konta bankowego ofiary zamiast z jego telefonu kom贸rkowego. Nie mo偶e funkcjonowa膰 niezale偶nie i dzia艂a zgodnie z poleceniami otrzymywanymi z serwera kontroli (C&C). Szkodnik ten rozprzestrzenia si臋 za po艣rednictwem spamu SMS oraz ze zhakowanych legalnych stron, kt贸re przekierowuj膮 u偶ytkownik贸w mobilnych do szkodliwego zasobu. Tam u偶ytkownik jest nak艂aniany do pobrania i zainstalowania trojana imituj膮cego aktualizacj臋 Adobe Flash Playera. 

Svpeng potrafi robi膰 wiele rzeczy.

Zbiera informacje o smartfonie (IMEI, pa艅stwo, dostawca us艂ugi, j臋zyk systemu operacyjnego) i wysy艂a je do hosta za po艣rednictwem protoko艂u HTTP POST. Jest to konieczne w celu okre艣lenia liczby bank贸w, z jakich mo偶e korzysta膰 ofiara. Obecnie Svpeng atakuje jedynie klient贸w rosyjskich bank贸w. Cyberprzest臋pcy zwykle najpierw testuj膮 technologi臋 na rosyjskim sektorze internetu, a dopiero potem wprowadzaj膮 j膮 na skal臋 globaln膮, atakuj膮c u偶ytkownik贸w w innych pa艅stwach.      

Kradnie wiadomo艣ci SMS i informacje o po艂膮czeniach g艂osowych. Pomaga osobie atakuj膮cej ustali膰, do kt贸rych bank贸w dzwoni w艂a艣ciciel smartfona - trojan otrzymuje list臋 numer贸w telefonu bank贸w ze swojego serwera kontroli (C&C).

Kradnie pieni膮dze z konta bankowego ofiary. W Rosji niekt贸re du偶e banki oferuj膮 swoim klientom specjaln膮 us艂ug臋, dzi臋ki kt贸rej mog膮 oni przela膰 pieni膮dze ze swojej karty bankowej na konto swojego telefonu kom贸rkowego. Klienci musz膮 wys艂a膰 wiadomo艣膰 tekstow膮 ze swojego telefonu na okre艣lony numer konta bankowego. Svpeng wysy艂a odpowiednie wiadomo艣ci do serwis贸w SMS dw贸ch bank贸w. W ten spos贸b chce sprawdzi膰, czy karty z tych bank贸w s膮 powi膮zane z numerem zainfekowanego telefonu, i dowiedzie膰 si臋, jakie jest saldo na rachunku. Je偶eli telefon jest powi膮zany z kart膮 bankow膮, z serwera kontroli (C&C) wysy艂ane s膮 polecenia zawieraj膮ce instrukcje przelania pieni臋dzy z konta bankowego u偶ytkownika na jego konto mobilne. Nast臋pnie cyberprzest臋pcy przelewaj膮 te pieni膮dze do cyfrowego portfela lub na numer premium i deponuj膮 je. 

Kradnie loginy i has艂a do kont system贸w bankowo艣ci online, podmieniaj膮c okno wy艣wietlane przez aplikacj臋 bankow膮. Obecnie jego celem s膮 wy艂膮cznie banki rosyjskie, jednak technologia wykorzystywana przez Svpenga mo偶e 艂atwo zosta膰 wykorzystana w odniesieniu do innych aplikacji bankowych.         

Kradnie informacje dotycz膮ce kart bankowych (numer, data wyga艣ni臋cia, CVC2/CVV2), imituj膮c proces rejestracji karty bankowej w Google Play. Je偶eli u偶ytkownik uruchomi艂 Play Market, trojan przechwytuje to zdarzenie i wy艣wietla na g贸rze okna Google Play pole zach臋caj膮ce do podania danych dotycz膮cych karty bankowej w fa艂szywym oknie. Dane wprowadzone przez u偶ytkownika zostaj膮 wys艂ane cyberprzest臋pcom.    

mobile_treats_2013_06_auto.png

Wy艂udza pieni膮dze od u偶ytkownik贸w, gro偶膮c zablokowaniem smartfona: wy艣wietla komunikat z 偶膮daniem wp艂acenia 500 dolar贸w ameryka艅skich za odblokowanie urz膮dzenia. W rzeczywisto艣ci trojan niczego nie blokuje i telefon mo偶e by膰 bez problem贸w wykorzystywany.      

Ukrywa 艣lady swojej aktywno艣ci, maskuj膮c wiadomo艣ci wychodz膮ce i przychodz膮ce i blokuj膮c po艂膮czenia oraz wiadomo艣ci z numer贸w nale偶膮cych do banku. Trojan pobiera list臋 numer贸w telefon贸w banku z serwera kontroli (C&C). 

Zabezpiecza si臋 przed usuni臋ciem, 偶膮daj膮c podczas instalacji praw administratora urz膮dzenia. W efekcie przycisk usuni臋cia trojana z listy aplikacji staje si臋 nieaktywny, co dla niedo艣wiadczonych u偶ytkownik贸w mo偶e stanowi膰 problem. Bez u偶ycia wyspecjalizowanych narz臋dzi (takich jak Kaspersky Internet Security for Android) nie da si臋 pozbawi膰 trojana takich przywilej贸w. Aby zabezpieczy膰 si臋 przed usuni臋ciem, Svpeng wykorzystuje nieznan膮 wcze艣niej luk臋 w zabezpieczeniach Androida. Szkodnik wykorzystuje t臋 sam膮 sztuczk臋, aby uniemo偶liwi膰 przywr贸cenie ustawie艅 fabrycznych smartfona.      

Trojan ten jest rozprzestrzeniany w Rosji i krajach Wsp贸lnoty Niepodleg艂ych Pa艅stw. Jednak, jak ju偶 wspomnieli艣my wcze艣niej, przest臋pcy mogliby z 艂atwo艣ci膮 skierowa膰 uwag臋 na u偶ytkownik贸w w innych krajach.

Perkele i Wroba

Trojan dla Androida o nazwie Perkele atakuje nie tylko u偶ytkownik贸w rosyjskich, ale r贸wnie偶 klient贸w kilku europejskich bank贸w. Szkodnik ten jest interesuj膮cy g艂贸wnie dlatego, 偶e dzia艂a we wsp贸艂pracy z r贸偶nymi trojanami bankowymi dla 32-bitowych system贸w Windows. Jego g艂贸wnym zadaniem jest obej艣cie uwierzytelnienia dwusk艂adnikowego klienta w systemie bankowo艣ci online.   

Ze wzgl臋du na specyficzny charakter swojego dzia艂ania Perkele jest rozprzestrzeniany w raczej nietypowy spos贸b. Gdy u偶ytkownik wejdzie na stron臋 internetow膮 banku na komputerze, kt贸ry zosta艂 zainfekowany szkodliwym oprogramowaniem bankowym (ZeuS, Citadel), do kodu strony uwierzytelniania wstrzykiwane jest zapytanie o numer smartfona oraz typ systemu operacyjnego. Dane te s膮 niezw艂ocznie wysy艂ane cyberprzest臋pcom, a komputer wy艣wietla kod QR zawieraj膮cy odsy艂acz do rzekomego certyfikatu systemu bankowo艣ci online. Po przeskanowaniu kodu QR i zainstalowaniu pobranego z odsy艂acza komponentu u偶ytkownik infekuje smartfon programem troja艅skim, kt贸ry posiada funkcjonalno艣膰 o istotnym znaczeniu dla os贸b atakuj膮cych.  

Perkele przechwytuje kody mTAN (jednorazowe kody potwierdzaj膮ce operacje bankowe) wysy艂ane przez bank za po艣rednictwem wiadomo艣ci tekstowej. Wykorzystuj膮c login i has艂o, kt贸re zosta艂y skradzione z przegl膮darki, trojan przeznaczony dla systemu Windows inicjuje fa艂szyw膮 transakcj臋, podczas gdy Perkele przechwytuje (poprzez serwer kontroli) kod mTAN wysy艂any przez bank do u偶ytkownika. W ten spos贸b pieni膮dze znikaj膮 z konta ofiary i zostaj膮 zdeponowane bez wiedzy w艂a艣ciciela konta. 

Korea艅skie szkodliwe oprogramowanie Wroba, opr贸cz tradycyjnego wektora infekcji poprzez serwisy wsp贸艂dzielenia plik贸w, rozprzestrzenia si臋 za po艣rednictwem nieoficjalnych sklep贸w z aplikacjami. Po zainfekowaniu urz膮dzenia Wroba zachowuje si臋 bardzo agresywnie. Szuka aplikacji bankowo艣ci mobilnej, usuwa je i umieszcza fa艂szywe wersje. Na pierwszy rzut oka aplikacji tych nie da si臋 odr贸偶ni膰 od legalnych. Nie posiadaj膮 jednak funkcji bankowych, a jedynie kradn膮 loginy i has艂a podawane przez u偶ytkownik贸w.

Top 10 mobilnych zagro偶e艅 wykrytych w 2013 r.

 

Nazwa*

% wszystkich atak贸w

1

DangerousObject.Multi.Generic

40,42%

2

Trojan-SMS.AndroidOS.OpFake.bo

21,77%

3

AdWare.AndroidOS.Ganlet.a

12,40%

4

Trojan-SMS.AndroidOS.FakeInst.a

10,37%

5

RiskTool.AndroidOS.SMSreg.cw

8,80%

6

Trojan-SMS.AndroidOS.Agent.u

8,03%

7

Trojan-SMS.AndroidOS.OpFake.a

5,49%

8

Trojan.AndroidOS.Plangton.a

5,37%

9

Trojan.AndroidOS.MTK.a

4,25%

10

AdWare.AndroidOS.Hamob.a

3,39% 

1. DangerousObject.Multi.Generic. Werdykt ten oznacza, 偶e jeste艣my 艣wiadomi szkodliwego charakteru aplikacji, ale z tego czy innego powodu nie dostarczyli艣my naszym u偶ytkownikom sygnatur umo偶liwiaj膮cych jej wykrycie. W takich wypadkach wykrycie jest mo偶liwe poprzez technologie chmury zaimplementowane przez firm臋 w sieci Kaspersky Security Network, kt贸ra pozwala naszym produktom zminimalizowa膰 czas potrzebny na reakcj臋 na nowe i nieznane zagro偶enia.    

2. Trojan-SMS.AndroidOS.OpFake.bo. Jest to jeden z najbardziej wyrafinowanych trojan贸w SMS. Wyr贸偶nia go dobrze zaprojektowany interfejs oraz chciwo艣膰 jego tw贸rc贸w. Po uruchomieniu trojan kradnie pieni膮dze w艂a艣ciciela urz膮dzenia mobilnego - od 9 dolar贸w do ca艂ej kwoty na koncie u偶ytkownika. Istnieje r贸wnie偶 ryzyko, 偶e numer telefonu u偶ytkownika zostanie zdyskredytowany, poniewa偶 trojan potrafi pobra膰 numery z listy kontakt贸w i wys艂a膰  na nie wiadomo艣ci SMS. Celem tego szkodnika s膮 g艂贸wnie osoby rosyjskoj臋zyczne i u偶ytkownicy z pa艅stw Wsp贸lnoty Niepodleg艂ych Pa艅stw.     

3. AdWare.AndroidOS.Ganlet.a. Modu艂 reklamowy, kt贸ry posiada funkcjonalno艣膰 niezb臋dn膮 do zainstalowania innych aplikacji.

4. Trojan-SMS.AndroidOS.FakeInst.a. Szkodnik ten ewoluowa艂 w ci膮gu ostatnich dw贸ch lat z prostego trojana SMS do w pe艂ni funkcjonalnego bota kontrolowanego za po艣rednictwem r贸偶nych kana艂贸w (w tym Google Cloud Messaging). Trojan ten potrafi kra艣膰 pieni膮dze z konta u偶ytkownika i wysy艂a膰 wiadomo艣ci na numery znajduj膮ce si臋 na li艣cie kontakt贸w ofiary.

5. RiskTool.AndroidOS.SMSreg.cw. Ten modu艂 p艂atno艣ci jest szeroko rozpowszechniony w Chinach. Jest elementem r贸偶nych gier, w kt贸rych stanowi modu艂 umo偶liwiaj膮cy dokonywanie zakup贸w online za po艣rednictwem SMS-贸w w ramach aplikacji. Usuwa on, bez wiedzy u偶ytkownika, wiadomo艣ci potwierdzaj膮ce z systemu rozlicze艅. Ofiary nie maj膮 poj臋cia, 偶e z ich urz膮dzenia mobilnego zosta艂y skradzione pieni膮dze, dop贸ki nie sprawdz膮 salda. 

6. Trojan-SMS.AndroidOS.Agent.u. Jest to pierwszy trojan, kt贸ry wykorzysta艂 luk臋 w zabezpieczeniu systemu Android w celu uzyskania przywilej贸w administratora urz膮dzenia, co znacznie utrudnia艂o usuni臋cie go. Ponadto, szkodnik ten potrafi odrzuci膰 po艂膮czenia przychodz膮ce i samodzielnie wykonywa膰 po艂膮czenia telefoniczne. Potencjalne szkody: wysy艂anie du偶ej liczby wiadomo艣ci SMS o ca艂kowitym koszcie 9 dolar贸w lub wy偶szym.    

7. Trojan.AndroidOS.Plangton.a. Ten modu艂 reklamowy wysy艂a prywatne informacje u偶ytkownika (bez jego zgody) na serwer "reklamowy", tak aby wydawa艂o si臋, 偶e jest to ukierunkowana kampania reklamowa. Wyrz膮dzone przez niego szkody obejmuj膮 dyskredytacj臋 numeru kom贸rkowego u偶ytkownika, konta w Google oraz innych danych. Trojan ten zmienia r贸wnie偶 w losowy spos贸b stron臋 g艂贸wn膮 przegl膮darki i dodaje zak艂adki reklamowe.    

8. Trojan-SMS.AndroidOS.OpFake.a. Ten wielofunkcyjny bot pomaga w rozprzestrzenianiu zaawansowanego szkodliwego oprogramowania dla systemu Android o nazwie Backdoor.AndroidOS.Obad.a. Po艂膮czenie obu tych szkodnik贸w jest niezwykle niebezpieczne ze wzgl臋du na:  

  • Szeroki zakres mo偶liwo艣ci: kradzie偶 to偶samo艣ci, wysy艂anie wiadomo艣ci tekstowych na dowolny numer. Zainstalowanie tego rodzaju aplikacji mo偶e spowodowa膰 kradzie偶 pieni臋dzy z konta mobilnego. Mo偶e r贸wnie偶 spowodowa膰 utrat臋 dobrego imienia w艂a艣ciciela numeru, w przypadku gdy jego numery kontaktowe zostan膮 wykorzystane do wysy艂ania wiadomo艣ci tekstowych. Ponadto lista kontakt贸w zostanie wys艂ana do serwera przest臋pc贸w.
  • Bardzo z艂o偶one mechanizmy autoochrony oraz 艣rodki zapobiegaj膮ce usuni臋ciu. Z powodu wykorzystania luki w systemie Android trojan ten nie mo偶e zosta膰 usuni臋ty bez u偶ycia specjalnego programu, takiego jak Kaspersky Internet Security for Android.   

Nale偶y wspomnie膰, 偶e zasi臋g wyst臋powania szkodnika o nazwie Trojan-SMS.AndroidOS.OpFake.a obejmuje wi臋kszy obszar geograficzny ni偶 w przypadku pozosta艂ych lider贸w zestawienia Top 10. Cz臋sto odnotowujemy pr贸by zainfekowania urz膮dze艅 nie tylko w krajach Wsp贸lnoty Niepodleg艂ych Pa艅stw, ale r贸wnie偶 w Europie.   

9. Trojan.AndroidOS.MTK.a. Jest to wyrafinowany program troja艅ski o szerokiej funkcjonalno艣ci i wyrafinowanych metodach szyfrowania. Jego g艂贸wnym zadaniem jest uruchomienie szkodliwych aplikacji, kt贸re zosta艂y pobrane na zainfekowane urz膮dzenie.  

10. AdWare.AndroidOS.Hamob.a to aplikacja, kt贸ra imituje legalne programy (wykorzystuj膮c w tym celu nazw臋 i ikon臋, np. WinRAR), podczas gdy jej funkcjonalno艣膰 ogranicza si臋 jedynie do  wy艣wietlania reklam.

W zestawieniu Top 10 znalaz艂y si臋 cztery trojany SMS. Jednak niekt贸re z nich posiadaj膮 mechanizmy kontroli pozwalaj膮ce zmieni膰 zainfekowane urz膮dzenia w boty. 

Geografia zagro偶e艅 

mobile_treats_2013_07_auto.png
Pa艅stwa, w kt贸rych u偶ytkownicy napotykaj膮 na najwi臋ksze ryzyko infekcji mobilnym szkodliwym oprogramowaniem (odsetek wszystkich zaatakowanych u偶ytkownik贸w) 

TOP 10 pa艅stw wed艂ug liczby zaatakowanych u偶ytkownik贸w: 

 

Pa艅stwo

% wszystkich zaatakowanych u偶ytkownik贸w

1

Rosja

40,34%

2

Indie

7,90%

3

Wietnam

3,96%

4

Ukraina

3,84%

5

Wielka Brytania

3,42%

6

Niemcy

3,20%

7

Kazachstan

2,88%

8

Stany Zjednoczone

2,13%

9

Malezja

2,12%

10

Iran

2,01% 

Zagro偶enia mobilne posiadaj膮 regionalne cechy specyficzne - osoby atakuj膮ce wykorzystuj膮 r贸偶ne kategorie mobilnego szkodliwego oprogramowania w zale偶no艣ci od regionu lub pa艅stwa. Poni偶ej przedstawiono kilka przyk艂ad贸w rozk艂adu mobilnego szkodliwego oprogramowania wed艂ug pa艅stwa.

Rosja

W Rosji cyberprzest臋pczo艣膰 mobilna jest szczeg贸lnie rozpowszechniona - 40,3% wszystkich u偶ytkownik贸w zaatakowanych na ca艂ym 艣wiecie w 2013 r. znajdowa艂a si臋 w tym pa艅stwie.

Top 5 rodzin mobilnego szkodliwego oprogramowania rozprzestrzenianego w Rosji

Rodzina

% wszystkich zaatakowanych u偶ytkownik贸w

Trojan-SMS.AndroidOS.OpFake

40,19%

Trojan-SMS.AndroidOS.FakeInst

28,57%

Trojan-SMS.AndroidOS.Agent

27,11%

DangerousObject.Multi.Generic

25,30%

Trojan-SMS.AndroidOS.Stealer

15,98%

W 2013 r. Rosja po raz kolejny znalaz艂a si臋 na prowadzeniu pod wzgl臋dem liczby infekcji trojanami SMS i obecnie nic nie wskazuje na to, 偶e sytuacja ulegnie poprawie. Jak ju偶 wspomniano wcze艣niej, celem wi臋kszo艣ci mobilnych trojan贸w bankowych s膮 u偶ytkownicy rosyjscy.      

Rosja i kraje Wsp贸lnoty Niepodleg艂ych Pa艅stw cz臋sto pe艂ni膮 funkcj臋 poligonu do艣wiadczalnego dla nowych technologii: udoskonaliwszy swoje technologie w rosyjskoj臋zycznym sektorze internetu, cyberprzest臋pcy kieruj膮 uwag臋 na u偶ytkownik贸w z innych pa艅stw.   

Niemcy

Niemcy to jedno z pa艅stw Europy Zachodniej, w kt贸rym trojany SMS s膮 do艣膰 aktywne. W 2013 r. Europa by艂a wyra藕nie celem rosyjskich tw贸rc贸w wirus贸w, poniewa偶 ich oszustwa wykorzystuj膮ce wiadomo艣ci tekstowe wysy艂ane na numery premium sprawdzaj膮 si臋 w tym regionie. W Niemczech odnotowujemy ci膮g艂e pr贸by infekcji za pomoc膮 trojan贸w SMS, zw艂aszcza rodziny Agent.   

Trojany bankowo艣ci mobilnej r贸wnie偶 s膮 aktywnie wykorzystywane w tym kraju: Niemcy znajduj膮 si臋 na pierwszym miejscu w艣r贸d pa艅stw Europy Zachodniej pod wzgl臋dem liczby zaatakowanych u偶ytkownik贸w (6 miejsce w rankingu og贸lno艣wiatowym).  

Top 5 rodzin mobilnego szkodliwego oprogramowania rozprzestrzenianego w Niemczech

Rodzina

% wszystkich zaatakowanych u偶ytkownik贸w

RiskTool.AndroidOS.SMSreg

25,88%

DangerousObject.Multi.Generic

20,83%

Trojan-SMS.AndroidOS.Agent

9,25%

Trojan.AndroidOS.MTK

8,58%

AdWare.AndroidOS.Ganlet

5,92%

Stany Zjednoczone

Inaczej wygl膮da sytuacja w Stanach Zjednoczonych. Nie ma tu oszustw, kt贸rych celem s膮 zyski finansowe, wykorzystuj膮cych wiadomo艣ci tekstowe, co oznacza brak wyra藕nej dominacji mobilnych trojan贸w SMS. W艣r贸d lider贸w znajduj膮 si臋 boty zbieraj膮ce dane dotycz膮ce zainfekowanych smartfon贸w.

Top 5 rodzin mobilnego szkodliwego oprogramowania rozprzestrzenianego w Stanach Zjednoczonych

Rodzina

% wszystkich zaatakowanych u偶ytkownik贸w  

DangerousObject.Multi.Generic

19,75%

RiskTool.AndroidOS.SMSreg

19,24%

Monitor.AndroidOS.Walien

11,24%

Backdoor.AndroidOS.GinMaster

8,05%

AdWare.AndroidOS.Ganlet

7,29%

Chiny

W Chinach obserwujemy du偶膮 liczb臋 modu艂贸w reklamowych zintegrowanych z "czystymi", a nawet szkodliwymi aplikacjami. Modu艂y reklamowe posiadaj膮 r贸偶norodne funkcje, obejmuj膮ce nawet pobieranie szkodliwego oprogramowania na telefon ofiary. W Chinach bardzo popularne s膮 r贸wnie偶 trojany SMS oraz backdoory.   

Top 5 rodzin mobilnego szkodliwego oprogramowania rozprzestrzenianego w Chinach

Rodzina

% wszystkich zaatakowanych u偶ytkownik贸w

RiskTool.AndroidOS.SMSreg

46,43%

AdWare.AndroidOS.Dowgin

19,18%

DangerousObject.Multi.Generic

13,89%

Trojan-SMS.AndroidOS.Agent

10,55%

Trojan.AndroidOS.MTK

10,13%

Podsumowanie

Szkodliwe oprogramowanie atakuj膮ce u偶ytkownik贸w kont bankowo艣ci mobilnej nadal rozwija si臋 i liczba takich program贸w szybko ro艣nie. Nie ma w膮tpliwo艣ci, 偶e trend ten utrzyma si臋 i pojawi si臋 wi臋cej mobilnych trojan贸w bankowych oraz nowych technologii stworzonych w celu unikni臋cia wykrycia oraz usuni臋cia. 

Spo艣r贸d wszystkich pr贸bek mobilnego szkodliwego oprogramowania wykrytych w 2013 r. boty stanowi艂y najliczniejsz膮 kategori臋. Osoby atakuj膮ce wyra藕nie dostrzegaj膮 korzy艣ci, jakie nios膮 botnety mobilne je艣li chodzi o generowanie zysk贸w. W najbli偶szej przysz艂o艣ci mog膮 pojawi膰 si臋 nowe mechanizmy kontroli botnet贸w mobilnych.

W 2014 r. spodziewamy si臋 aktywnego wykorzystywania wszelkiego rodzaju luk w zabezpieczeniach, zapewniaj膮cych szkodliwemu oprogramowaniu dost臋p do urz膮dze艅 na poziomie praw administratora, co jeszcze bardziej utrudnia usuni臋cie szkodnika.

W 2013 r. mia艂 miejsce pierwszy atak szkodliwego oprogramowania na komputer PC przeprowadzony z urz膮dzenia mobilnego. Przewidujemy, 偶e w przysz艂o艣ci b臋d膮 przeprowadzane ataki Wi-Fi z urz膮dze艅 mobilnych na s膮siaduj膮ce stacje robocze oraz szersz膮 infrastruktur臋.

Trojany SMS zostan膮 prawdopodobnie liderami w艣r贸d mobilnego szkodliwego oprogramowania, a nawet zdob臋d膮 nowe terytoria.

殴ród艂o:
Kaspersky Lab