Ewolucja mobilnego szkodliwego oprogramowania w 2015 r.
Rok w liczbach
W 2015 roku Kaspersky Lab wykry艂 nast臋puj膮ce szkodniki:
- 2 961 727 szkodliwych pakiet贸w instalacyjnych
- 884 774 nowych szkodliwych program贸w mobilnych - trzykrotny wzrost w stosunku do poprzedniego roku
- 7 030 mobilnych trojan贸w bankowych
Trendy roku
- Wzrost liczby szkodliwych za艂膮cznik贸w niemo偶liwych do usuni臋cia przez u偶ytkownika.
- Aktywne wykorzystywanie przez cyberprzest臋pc贸w okien phishingowych w celu ukrywania legalnych aplikacji.
- Wzrost ilo艣ci oprogramowania ransomware.
- Programy wykorzystuj膮ce prawa super u偶ytkownika w celu wy艣wietlania agresywnych reklam.
- Wzrost ilo艣ci szkodliwego oprogramowania dla systemu iOS.
G艂贸wne metody zarabiania pieni臋dzy
Mobilne szkodliwe oprogramowanie nadal ewoluuje w kierunku monetyzacji, a tw贸rcy szkodliwego oprogramowania staraj膮 si臋, aby ich twory potrafi艂y zarabia膰 pieni膮dze na ich ofiarach.
Kradzie偶 pieni臋dzy z kont bankowych u偶ytkownik贸w
Trojany mobilne atakuj膮ce konta bankowe u偶ytkownik贸w nadal rozwijaj膮 si臋 - w 2015 roku wykryli艣my 7 030 nowych mobilnych trojan贸w bankowych. Niekt贸re szkodliwe programy mobilne wsp贸艂dzia艂aj膮 z trojanami opartymi na systemie Windows w celu przechwytywania hase艂 mTAN (jednorazowych hase艂 wykorzystywanych do uwierzytelnienia dwusk艂adnikowego), kt贸re s艂u偶膮 do uwierzytelniania transakcji bankowych. Wiele innych program贸w mobilnych s艂u偶膮cych do kradzie偶y pieni臋dzy z kont bankowych u偶ytkownik贸w dzia艂a niezale偶nie.
Cz臋艣膰 szkodliwego oprogramowania mobilnego potrafi przykry膰 ekran legalnej aplikacji bankowej oknem phishingowym, kt贸re imituje aplikacj臋. Najbardziej znanymi przyk艂adami tego typu program贸w s膮 trojan Trojan-SMS.AndroidOS.OpFake.cc oraz przedstawiciele rodziny Trojan-Banker.AndroidOS.Acecard. Jedna z modyfikacji OpFake.cc potrafi imitowa膰 interfejs ponad 100 legalnych aplikacji bankowych i finansowych. Rodzina Acecard potrafi podszywa膰 si臋 pod co najmniej 30 aplikacji bankowych i posiada r贸wnie偶 funkcjonalno艣膰 nak艂adania dowolnej aplikacji wskazanej przez serwer kontroli C&C.
W II kwartale 2015 roku pisali艣my o szkodniku o nazwie Trojan-Spy.AndroidOS.SmsThief.fc, kt贸rego szkodliwy kod zosta艂 osadzony w legalnej aplikacji bankowej, nie wp艂ywaj膮c na jej dzia艂anie. Dzi臋ki temu prawdopodobie艅stwo wykrycia szkodliwego oprogramowania przez u偶ytkownika by艂o bardzo niewielkie.
Autorzy mobilnego szkodliwego oprogramowania wykazuj膮 coraz bardziej zintegrowane podej艣cie do kradzie偶y pieni臋dzy, kt贸re nie ogranicza si臋 ju偶 do specjalnych trojan贸w bankowych atakuj膮cych aplikacje bankowe.
Przyk艂adem takiego podej艣cia jest Trojan-SMS.AndroidOS.FakeInst.ep. U偶ytkownik widzi komunikat, pochodz膮cy rzekomo od Google, nakazuj膮cy otwarcie Google Wallet oraz przej艣cie procedury "identyfikacji", kt贸ra obejmuje podanie danych dotycz膮cych karty kredytowej (jednym z podanych powod贸w jest konieczno艣膰 zwalczania cyberprzest臋pczo艣ci). Okna nie mo偶na usun膮膰, dop贸ki ofiara nie wprowadzi swoich danych dotycz膮cych karty kredytowej.
Dane podane przez u偶ytkownik贸w zostan膮 wys艂ane osobom atakuj膮cym, a okno - zamkni臋te. Tymczasem trojan nadal b臋dzie krad艂 informacje i wysy艂a艂 dodatkowe informacje swoim w艂a艣cicielom dotycz膮ce smartfonu i jego u偶ytkownika.
Na tle hamuj膮cego wzrostu liczby wyspecjalizowanych trojan贸w bankowych ro艣nie 艂膮czna liczba aplikacji potrafi膮cych kra艣膰 pieni膮dze u偶ytkownik贸w. Jednocze艣nie trojany bankowe staj膮 si臋 bardziej wyrafinowane i wszechstronne - cz臋sto potrafi膮 zaatakowa膰 klient贸w kilkudziesi臋ciu bank贸w zlokalizowanych w r贸偶nych pa艅stwach. To oznacza, 偶e cyberprzest臋pcy nie potrzebuj膮 wielu r贸偶nych plik贸w, aby atakowa膰 klient贸w r贸偶nych bank贸w.
Ransomware
Liczba rodzin trojan贸w ransomware podwoi艂a si臋 w 2015 roku w stosunku do zesz艂ego roku, podczas gdy liczba wykrytych modyfikacji wzros艂a 3,5 raza. To oznacza, 偶e niekt贸rzy przest臋pcy przechodz膮 na stosowanie ransomware w celu kradzie偶y pieni臋dzy, a ci, kt贸rzy ju偶 wcze艣niej je wykorzystywali, nadal tworz膮 nowe wersje tego szkodliwego oprogramowania. Kolejnym kluczowym wska藕nikiem potwierdzaj膮cym znaczenie zagro偶enia tej klasy jest liczba os贸b, kt贸re zosta艂y zaatakowane: w 2015 roku liczba ta zwi臋kszy艂a si臋 pi臋ciokrotnie.
W wi臋kszo艣ci przypadk贸w zablokowania urz膮dzenia przez takie trojany, u偶ytkownik zostaje oskar偶any o pope艂nienie jakiego艣 rzekomego wykroczenia i musi zap艂aci膰 w celu odblokowania urz膮dzenia - okup mo偶e wynosi膰 od 12 do 100 dolar贸w. Zablokowane urz膮dzenie staje si臋 bezu偶yteczne - u偶ytkownik widzi tylko okno z 偶膮daniem okupu. Niekt贸re trojany potrafi膮 nak艂ada膰 si臋 na systemowe okna dialogowe, w tym te s艂u偶膮ce do wy艂膮czenia telefonu.
Okno otwarte przez Fusob
Pod koniec roku wykryli艣my kilka trojan贸w downloader贸w pobieraj膮cych do systemu oprogramowanie Ransom.AndroidOS.Pletor. Szkodniki te wykorzystuj膮 luki w systemie w celu uzyskania przywilej贸w super u偶ytkownika na urz膮dzeniu i zainstalowania oprogramowania typu trojan ransomware w folderze systemowym. Po zainstalowaniu trojan jest niemal nieusuwalny.
Trojany SMS pozostaj膮 powa偶nym zagro偶eniem, szczeg贸lnie w Rosji. Programy te wysy艂aj膮 bez wiedzy u偶ytkownika p艂atne wiadomo艣ci tekstowe z zainfekowanego urz膮dzenia. Chocia偶 ich udzia艂 w 艂膮cznym ruchu zagro偶e艅 mobilnych ci膮gle spada, absolutna liczba trojan贸w SMS nadal jest znacz膮ca.
Niekt贸re trojany SMS nie ograniczaj膮 si臋 do wysy艂ania wiadomo艣ci tekstowych na numery premium; potrafi膮 r贸wnie偶 po艂膮czy膰 u偶ytkownika z p艂atnymi subskrypcjami. W 2015 roku monitorowali艣my rozw贸j szkodnika o nazwie Trojan-SMS.AndroidOS.Podec - kt贸ry nadal stanowi jednego z najpopularniejszych trojan贸w w艣r贸d cyberprzest臋pc贸w. Trojan ten posiada nietypow膮 funkcj臋: jego g艂贸wna metoda monetyzacji obejmuje p艂atne subskrypcje. Szkodnik potrafi obchodzi膰 mechanizm Captcha, a jego najnowsze modyfikacje "utraci艂y" mo偶liwo艣膰 wysy艂ania wiadomo艣ci tekstowych, poniewa偶 jego tw贸rcy skoncentrowali si臋 na subskrypcjach.
Agresywna reklama
W 2015 roku odnotowali艣my wzrost liczby program贸w, kt贸re wykorzystuj膮 reklam臋 jako g艂贸wny spos贸b monetyzacji. Trendem roku by艂y trojany wykorzystuj膮ce przywileje super u偶ytkownika. W pierwszym kwartale 2015 roku ranking TOP 20 mobilnego szkodliwego oprogramowania zawiera艂 tylko jednego trojana tego typu; pod koniec roku stanowi艂y one ponad po艂ow臋 rankingu. Chocia偶 ich celem jest pobieranie i instalowanie aplikacji reklamuj膮cych bez wiedzy u偶ytkownika, trojany te mog膮 spowodowa膰 wiele problem贸w. Po zainstalowaniu pr贸buj膮 uzyska膰 dost臋p do urz膮dzenia na poziomie administratora i zainstalowa膰 w艂asne komponenty w systemie, co utrudnia ich usuni臋cie. Niekt贸re z nich pozostaj膮 na smartfonie nawet po przywr贸ceniu ustawie艅 fabrycznych. W efekcie, u偶ytkownik zostaje zasypany irytuj膮cymi reklamami na swoim urz膮dzeniu. Mog膮 r贸wnie偶 bez wiedzy u偶ytkownika instalowa膰 na urz膮dzeniu wiele innych program贸w, w tym szkodliwych. Znane s膮 przypadki, gdy tego rodzaju programy by艂y rozprzestrzeniane za po艣rednictwem oficjalnego firmware'u urz膮dze艅 lub preinstalowane na nowych telefonach.
Szkodliwe oprogramowanie w oficjalnych sklepach
Na pocz膮tku pa藕dziernika 2015 roku trafili艣my na kilka trojan贸w w oficjalnym sklepie Google Play Store, kt贸re krad艂y has艂a u偶ytkownik贸w z rosyjskiego portalu spo艂eczno艣ciowego VKontakte. By艂y to Trojan-PSW.AndroidOS.MyVk.a oraz Trojan-PSW.AndroidOS.Vkezo.a. Mniej wi臋cej miesi膮c p贸藕niej wykryli艣my now膮 modyfikacj臋 trojana Vkezo, kt贸ry r贸wnie偶 by艂 rozprzestrzeniany za po艣rednictwem Google Play Store. Osoby atakuj膮ce opublikowa艂y te trojany 10 razy w oficjalnym sklepie z aplikacjami pod r贸偶nymi nazwami w przeci膮gu kilku miesi臋cy. Liczba pobra艅 wszystkich wersji waha艂a si臋 od 100 000 do 500 000. Kolejnym trojanem wykrytym w sklepie Google Play Store by艂 Trojan-Downloader.AndroidOS.Leech; ten szkodnik r贸wnie偶 zosta艂 pobrany od 100 000 do 500 000 razy.
Szkodliwe oprogramowanie dla systemu iOS
W 2015 roku liczba szkodliwych program贸w dla systemu iOS zwi臋kszy艂a si臋 o 2,1 raza w por贸wnaniu z 2014 rokiem.
Niedawne pojawienie si臋 szkodliwych aplikacji w sklepie App Store po raz kolejny pokaza艂o, 偶e - wbrew powszechnej opinii - iOS nie jest odporny na szkodliwe oprogramowanie. Osoby atakuj膮ce nie w艂ama艂y si臋 do sklepu App Store, ale umie艣ci艂y w internecie szkodliw膮 wersj臋 Xcode firmy Apple, darmowego zestawu narz臋dzi wykorzystywanych przez tw贸rc贸w do tworzenia aplikacji dla systemu iOS.
Xcode Apple'a jest oficjalnie dystrybuowany przez firm臋 Apple, jednak nieoficjalnie jest rozprowadzany przez osoby trzecie. Niekt贸rzy chi艅scy producenci wol膮 pobiera膰 narz臋dzia rozwoju aplikacji z lokalnych serwer贸w. Wersja Xcode'a zawieraj膮ca szkodliwy XcodeGhost zosta艂a umieszczona na serwerze os贸b trzecich w Chinach. Szkodliwy kod jest osadzany w dowolnej aplikacji skompilowanej przy u偶yciu tej wersji Xcode'a.
XcodeGhost zainfekowa艂 dziesi膮tki aplikacji. Pocz膮tkowo uwa偶ano, 偶e 39 zainfekowanych aplikacji zdo艂a艂o obej艣膰 procedur臋 testow膮 firmy Apple i zosta艂o pobranych do sklepu App Store. Najpopularniejsz膮 z nich by艂 WeChat, darmowy komunikator zainstalowany na ponad 70 milionach urz膮dze艅 u偶ytkownik贸w. Apple usun膮艂 zainfekowane aplikacje. Jednak zhakowana wersja Xcode'a by艂a dost臋pna przez oko艂o sze艣膰 miesi臋cy, dlatego 艂膮czna liczba zainfekowanych aplikacji mo偶e by膰 znacznie wy偶sza, chocia偶by przez to 偶e kod 藕r贸d艂owy dla XcodeGhost zosta艂 opublikowany w Github.
Na pocz膮tku czerwca zosta艂 wykryty Trojan.IphoneOS.FakeTimer.a - szkodliwy program dla iPhone'a. Szkodnik ten atakuje u偶ytkownik贸w w Japonii i mo偶e zosta膰 zainstalowany na dowolnym iPhonie, poniewa偶 osoby atakuj膮ce wykorzysta艂y certyfikat przedsi臋biorstwa w celu podpisania trojana. Szkodnik ten wykorzystuje techniki phishingowe w celu kradzie偶y pieni臋dzy. Podobna wersja tego trojana dla Androida - Trojan.AndroidOS.FakeTimer.a.that - istnieje ju偶 od kilku lat.
Dane statystyczne
W 2015 roku liczba mobilnych szkodliwych program贸w wci膮偶 zwi臋ksza艂a si臋. W latach 2004-2013 wykryli艣my prawie 200 000 pr贸bek mobilnego szkodliwego kodu. W 2014 roku pojawi艂o si臋 295 539 nowych program贸w, podczas gdy w 2015 roku liczba ta wynosi艂a 884 774. Jednak te dane liczbowe nie pokazuj膮 ca艂ego obrazu, poniewa偶 ka偶da pr贸bka szkodliwego oprogramowania posiada kilka pakiet贸w instalacyjnych: w 2015 roku wykryli艣my 2 961 727 szkodliwych pakiet贸w instalacyjnych.
Od pocz膮tku stycznia do ko艅ca grudnia 2015 roku Kaspersky Lab zarejestrowa艂 prawie 17 milion贸w atak贸w przy u偶yciu szkodliwego oprogramowania mobilnego i ochroni艂 2 634 967 unikatowych u偶ytkownik贸w urz膮dze艅 opartych na Androidzie.
Liczba atak贸w zablokowanych przez rozwi膮zania Kaspersky Lab, 2015 rok
Liczba u偶ytkownik贸w chronionych za pomoc膮 rozwi膮za艅 Kaspersky Lab, 2015 rok
Geografia zagro偶e艅 mobilnych
Ataki przy u偶yciu szkodliwych program贸w mobilnych zosta艂y odnotowane w 200 krajach.
Rozk艂ad geograficzny zagro偶e艅 mobilnych wed艂ug liczby zaatakowanych u偶ytkownik贸w, 2015 rok
Liczba odnotowanych atak贸w w du偶ej mierze zale偶y od liczby u偶ytkownik贸w w danym pa艅stwie. Aby oceni膰 zagro偶enie infekcj膮 przez mobilne szkodliwe oprogramowanie w r贸偶nych pa艅stwach, obliczyli艣my odsetek naszych u偶ytkownik贸w, kt贸rzy trafili na szkodliwe aplikacje w 2015 roku.
TOP 10 pa艅stw wed艂ug odsetka zaatakowanych u偶ytkownik贸w
|
Pa艅stwo |
% zaatakowanych u偶ytkownik贸w* |
|
|
1 |
Chiny |
37 |
|
2 |
Nigeria |
37 |
|
3 |
Syria |
26 |
|
4 |
Malezja |
24 |
|
5 |
Wybrze偶e Ko艣ci S艂oniowej |
23 |
|
6 |
Wietnam |
22 |
|
7 |
Iran |
21 |
|
8 |
Rosja |
21 |
|
9 |
Indonezja |
19 |
|
10 |
Ukraina |
19 |
* Wykluczyli艣my pa艅stwa, w kt贸rych liczba u偶ytkownik贸w produkt贸w bezpiecze艅stwa mobilnego firmy Kaspersky Lab w badanym okresie wynosi艂a mniej ni偶 25 000.
** Odsetek zaatakowanych unikatowych u偶ytkownik贸w jako odsetek wszystkich u偶ytkownik贸w produkt贸w bezpiecze艅stwa mobilnego firmy Kaspersky Lab w danym pa艅stwie
Na szczycie rankingu znalaz艂y si臋 Chiny i Nigeria, w kt贸rych 37% u偶ytkownik贸w produkt贸w bezpiecze艅stwa mobilnego firmy Kaspersky Lab co najmniej jeden raz w ci膮gu roku trafi艂o na zagro偶enie mobilne. Wi臋kszo艣膰 atak贸w na u偶ytkownik贸w w Nigerii by艂o przeprowadzonych przy u偶yciu trojan贸w wy艣wietlaj膮cych reklamy z takich rodzin jak Ztrorg, Leech oraz Rootnik, kt贸re wykorzystuj膮 przywileje super u偶ytkownika, jak r贸wnie偶 przez oprogramowanie adware.
W Chinach znaczna cz臋艣膰 atak贸w obejmowa艂a r贸wnie偶 trojany wy艣wietlaj膮ce reklamy, ale wi臋kszo艣膰 u偶ytkownik贸w trafi艂o na programy z rodziny RiskTool.AndroidOS.SMSreg. Nieostro偶ne wykorzystywanie tych program贸w mo偶e spowodowa膰 odp艂yw pieni臋dzy z konta mobilnego.
Typy mobilnego szkodliwego oprogramowania
W badanym okresie znacznie wzros艂a liczba wykrytych nowych plik贸w AdWare i RiskTool. W efekcie zauwa偶alnie zwi臋kszy艂 si臋 r贸wnie偶 ich udzia艂 w rozk艂adzie nowych mobilnych szkodliwych program贸w wed艂ug rodzaju - odpowiednio z 19,6% i 18,4% do 41,4% i 27,4%,
Rozk艂ad nowych mobilnych szkodliwych program贸w wed艂ug typu w 2014 i 2015 roku
Podczas rozprzestrzeniania program贸w adware wykorzystywane s膮 raczej prymitywne metody maj膮ce nak艂oni膰 u偶ytkownik贸w do zwr贸cenia uwagi na reklamy: aplikacje tworzone s膮 przy u偶yciu ikon oraz nazw popularnych gier lub przydatnych program贸w. Naturalnie istnieje mn贸stwo popularnych gier i legalnych aplikacji, dlatego mo偶na wygenerowa膰 wiele fa艂szywych aplikacji reklamowych. Im wi臋cej wykorzystuje si臋 fa艂szywych aplikacji, tym skuteczniejsza monetyzacja klikania. Innym sposobem rozprzestrzeniania oprogramowania adware jest osadzanie modu艂u reklamowego w legalnej aplikacji. Mo偶e tego dokona膰 autor aplikacji jak r贸wnie偶 osoby, kt贸re chc膮 zarobi膰 pieni膮dze, wykorzystuj膮c popularno艣膰 aplikacji: gdy modu艂 reklamowy zostanie osadzony bez wiedzy autora w "czystej" aplikacji, zyski z reklamy, zamiast do autora, trafi膮 do os贸b, kt贸re zamie艣ci艂y reklam臋. W przeciwie艅stwie do fa艂szywych aplikacji, ta z艂o偶ona aplikacja zawiera pewn膮 u偶yteczn膮 funkcjonalno艣膰.
Wzrost ilo艣ci oprogramowania adware spowodowany jest coraz wi臋ksz膮 konkurencj膮 w艣r贸d tw贸rc贸w tych program贸w. Legalne programy, kt贸re wykorzystuj膮 modu艂y reklamowe, cz臋sto s膮 zbyt agresywne. W coraz wi臋kszym stopniu modu艂y reklamowe dostarczaj膮 u偶ytkownikowi mo偶liwie najwi臋cej reklam na r贸偶ne sposoby, 艂膮cznie z instalacj膮 nowych program贸w adware. Czasami programy adware zainstalowane na urz膮dzeniu mog膮 sprawi膰, 偶e korzystanie z niego b臋dzie niemal niemo偶liwe, poniewa偶 u偶ytkownik b臋dzie nieustannie walczy艂 z oknami reklamowymi.
Programy RiskTool s膮 szczeg贸lnie popularne w Chinach. Wynika to z rozpowszechnienia p艂atno艣ci SMS za tre艣ci w tym kraju. Niemal ka偶da gra, kt贸ra przewiduje tzw. wewn臋trzne zakupy (np. za dodatkowe poziomy gry), zawiera modu艂 p艂atno艣ci SMS. W wi臋kszo艣ci przypadk贸w, u偶ytkownik zostaje powiadomiony o potencjalnych zagro偶eniach zwi膮zanych z takimi zakupami, jednak my r贸wnie偶 chcieliby艣my poinformowa膰 naszych u偶ytkownik贸w o ryzyku. Ze wzgl臋du na popularno艣膰 wspomnianych gier nieustannie ro艣nie liczba aplikacji RiskTool. G艂贸wnym czynnikiem przyczyniaj膮cym si臋 do tego wzrostu by艂a rodzina program贸w o nazwie RiskTool.AndroidOS.SMSReg.
Chocia偶 programy AdWare i RiskTool nie wyrz膮dzaj膮 bezpo艣redniej szkody u偶ytkownikom, mog膮 by膰 niezwykle irytuj膮ce, podczas gdy programy RiskTool zainstalowane na urz膮dzeniach mobilnych mog膮 prowadzi膰 do strat finansowych, je艣li b臋d膮 wykorzystywane w spos贸b nieostro偶ny lub manipulowane przez cyberprzest臋pc臋.
Odsetek trojan贸w SMS w og贸lnym ruchu zagro偶e艅 mobilnych zmniejszy艂 si臋 o niemal 2,4 raza - z 20,5% do 8,7%. Jednak w 2015 roku wykryli艣my jeszcze wi臋cej nowych trojan贸w SMS ni偶 w 2014 roku. Aktywno艣膰 tego rodzaju szkodliwych program贸w znacznie zmniejszy艂a si臋 w po艂owie 2014 roku. Przyczyn膮 by艂o wprowadzenie systemu AoC (Advice-of-Charge) przez rosyjskich operator贸w, kt贸ry spowodowa艂 spadek liczby tzw. program贸w afiliowanych s艂u偶膮cych do rozprzestrzeniania trojan贸w SMS, z kt贸rych wi臋kszo艣膰 atakowa艂a u偶ytkownik贸w w Rosji.
Top 20 szkodliwych program贸w mobilnych
Nale偶y zaznaczy膰, 偶e poni偶szy ranking szkodliwych program贸w nie zawiera potencjalnie niechcianych program贸w, takich jak RiskTool czy AdWare.
|
Nazwa |
% wszystkich zaatakowanych u偶ytkownik贸w* |
|
|
1 |
DangerousObject.Multi.Generic |
44,2 |
|
2 |
Trojan-SMS.AndroidOS.Podec.a |
11,2 |
|
3 |
Trojan-Downloader.AndroidOS.Leech.a |
8,0 |
|
4 |
Trojan.AndroidOS.Ztorg.a |
7,6 |
|
5 |
Trojan.AndroidOS.Rootnik.d |
6,9 |
|
6 |
Exploit.AndroidOS.Lotoor.be |
6,1 |
|
7 |
Trojan-SMS.AndroidOS.OpFake.a |
5,6 |
|
8 |
Trojan-Spy.AndroidOS.Agent.el |
4,0 |
|
9 |
Trojan.AndroidOS.Guerrilla.a |
3,7 |
|
10 |
Trojan.AndroidOS.Mobtes.b |
3,6 |
|
11 |
Trojan-Dropper.AndroidOS.Gorpo.a |
3,6 |
|
12 |
Trojan.AndroidOS.Rootnik.a |
3,5 |
|
13 |
Trojan.AndroidOS.Fadeb.a |
3,2 |
|
14 |
Trojan.AndroidOS.Ztorg.pac |
2,8 |
|
15 |
Backdoor.AndroidOS.Obad.f |
2,7 |
|
16 |
Backdoor.AndroidOS.Ztorg.c |
2,2 |
|
17 |
Exploit.AndroidOS.Lotoor.a |
2,2 |
|
18 |
Backdoor.AndroidOS.Ztorg.a |
2,0 |
|
19 |
Trojan-Ransom.AndroidOS.Small.o |
1,9 |
|
20 |
Trojan.AndroidOS.Guerrilla.b |
1,8 |
* Odsetek u偶ytkownik贸w zaatakowanych przez dane szkodliwe oprogramowanie w stosunku do wszystkich zaatakowanych u偶ytkownik贸w
Pierwsze miejsce zajmuje DangerousObject.Multi.Generic (44,2%), wykorzystywany w szkodliwych programach wykrywanych za pomoc膮 technologii opartych na chmurze. Technologie te s膮 wykorzystywane wtedy, gdy antywirusowa baza danych nie zawiera ani sygnatur ani heurystyki umo偶liwiaj膮cych wykrycie szkodliwego programu, za to chmura firmy antywirusowej zawiera ju偶 informacje dotycz膮ce obiektu. W艂a艣nie w ten spos贸b wykrywane jest najnowsze szkodliwe oprogramowanie.
Trojan-SMS.AndroidOS.Stealer.a, kt贸ry w 2014 roku stanowi艂 lidera rankingu TOP 20, w 2015 roku znalaz艂 si臋 na 28 miejscu.
Cztery miejsca w rankingu TOP 20 zajmuj膮 trojany, kt贸re w ramach swojej g艂贸wnej metody monetyzacji kradn膮 pieni膮dze z kont bankowych lub mobilnych. S膮 to Trojan-SMS.AndroidOS.Podec.a, Trojan-SMS.AndroidOS.OpFake.a, Trojan.AndroidOS.Mobtes.b oraz Backdoor.AndroidOS.Obad.f. Trojan-SMS.AndroidOS.Podec.a (11,2%), kt贸re uplasowa艂y si臋 na drugim miejscu. Trojan ten utrzyma艂 si臋 w艣r贸d trzech najpopularniejszych zagro偶e艅 mobilnych w 2015 roku. Podsumowuj膮c, najnowsze wersje tego trojana nie wysy艂aj膮 ju偶 p艂atnych wiadomo艣ci tekstowych. Trojan ten jest obecnie ca艂kowicie zorientowany na p艂atne subskrypcje, wykorzystuj膮c system rozpoznawania CAPTCHA. Trojan-SMS.AndroidOS.OpFake.a (5,6%) na si贸dmym miejscu to kolejny weteran rankingu TOP 20. W 2014 roku uplasowa艂 si臋 na 8 miejscu i utrzyma艂 si臋 w rankingu przez ca艂y 2015 rok.
Kolejny trojan - Trojan-Ransom.AndroidOS.Small.o (1,9%) - blokuje telefon ofiary i 偶膮da pieni臋dzy za jego odblokowanie. Ten mobilny Trojan-Ransom by艂 niezwykle popularny pod koniec 2015 roku i stanowi艂 jedyny program ransomware, kt贸remu uda艂o si臋 wej艣膰 do zestawienia TOP 20. Po raz pierwszy pojawi艂 si臋 w rankingu w trzecim kwartale 2015 roku, zajmuj膮c 11 miejsce; w og贸lnej klasyfikacji TOP 20 dla 2015 roku znalaz艂 si臋 na 19 pozycji. Trojan ten rozprzestrzenia si臋 g艂贸wnie jako odtwarzacz film贸w wideo i atakuje rosyjskoj臋zycznych u偶ytkownik贸w.
Ponad po艂owa (12 z 20) szkodnik贸w w rankingu to trojany, kt贸re jako sw贸j g艂贸wny spos贸b monetyzacji stosuj膮 agresywn膮 reklam臋. S膮 to Trojan-Downloader.AndroidOS.Leech.a, Trojan-Spy.AndroidOS.Agent.el, Trojan-Dropper.AndroidOS.Gorpo.a, Trojan.AndroidOS.Fadeb.a oraz po dwie modyfikacje program贸w Trojan.AndroidOS.Guerrilla, Trojan.AndroidOS.Rootnik, Trojan.AndroidOS.Ztorg oraz Backdoor.AndroidOS.Ztorg. W przeciwie艅stwie do zwyk艂ych modu艂贸w reklamowych, programy te nie zawieraj膮 偶adnej przydatnej funkcjonalno艣ci. Ich celem jest dostarczenie u偶ytkownikowi mo偶liwie najwi臋kszej liczby reklam przy u偶yciu r贸偶nych metod, 艂膮cznie z instalowaniem nowych program贸w reklamowych. Trojany te mog膮 wykorzystywa膰 przywileje super u偶ytkownika w celu ukrycia swojej obecno艣ci w folderze systemowym, z kt贸rego przemieszczenie ich b臋dzie bardzo trudne. Trafili艣my na takie trojany ju偶 wcze艣niej, g艂贸wnie w Chinach. W 2015 roku mia艂a miejsce eksplozja aktywno艣ci takich program贸w: wi臋kszo艣膰 z nich atakowa艂o u偶ytkownik贸w w Chinach, mimo 偶e trojany te zacz臋艂y by膰 aktywnie rozprzestrzeniane na ca艂ym 艣wiecie. Ich kod cz臋sto zawiera艂 s艂owo oversea.
Pozosta艂e dwa miejsca w rankingu TOP 20 zajmuj膮 modyfikacje Exploit.AndroidOS.Lotoor wykorzystywane do uzyskania lokalnych przywilej贸w super u偶ytkownika.
Mobilne trojany bankowe
W 2015 roku wykryli艣my 7 030 mobilnych trojan贸w bankowych, czyli 2,6 raza mniej ni偶 w 2014 roku, kiedy wykryli艣my ich 16 586. Nale偶y zauwa偶y膰, 偶e chocia偶 liczba nowych szkodliwych program贸w zmniejszy艂a si臋 w stosunku do poprzedniego roku, programy te sta艂y si臋 bardziej profesjonalne i szkodliwe, a obszary zainteresowania cyberprzest臋pc贸w obejmuj膮 obecnie banki w wielu pa艅stwach. Wiele trojan贸w bankowo艣ci mobilnej dzia艂a w spos贸b niezale偶ny, nie wymagaj膮c 偶adnego komponentu komputerowego, i atakuje klient贸w kilkudziesi臋ciu bank贸w na ca艂ym 艣wiecie.
Liczba mobilnych trojan贸w bankowych wykrytych przez rozwi膮zania firmy Kaspersky Lab w 2015 roku
56 194 u偶ytkownik贸w zosta艂o zaatakowanych przez mobilne trojany bankowe co najmniej jeden raz w ci膮gu roku.
Rozk艂ad geograficzny banker贸w mobilnych
Liczba atakowanych pa艅stw wzrasta: ataki przy u偶yciu mobilnych trojan贸w bankowych zosta艂y zarejestrowane w 137 krajach i terytoriach na ca艂ym 艣wiecie. Dla por贸wnania, w 2014 roku liczba tych kraj贸w wynosi艂a jedynie 90.
Rozk艂ad geograficzny mobilnych zagro偶e艅 bankowych w 2015 roku (liczba zaatakowanych u偶ytkownik贸w)
Top 10 pa艅stw zaatakowanych przez mobilne trojany bankowe (uszeregowanych wed艂ug liczby zaatakowanych u偶ytkownik贸w):
|
Pa艅stwo |
Liczba zaatakowanych u偶ytkownik贸w |
|
|
1 |
Rosja |
45690 |
|
2 |
Niemcy |
1532 |
|
3 |
Ukraina |
1206 |
|
4 |
US |
967 |
|
5 |
Kazachstan |
804 |
|
6 |
Australia |
614 |
|
7 |
Korea Po艂udniowa |
527 |
|
8 |
Francja |
404 |
|
9 |
Bia艂oru艣 |
380 |
|
10 |
Polska |
324 |
Podobnie jak w poprzednim roku, Rosja zaj臋艂a pierwsze miejsce rankingu pa艅stw atakowanych przez mobilne trojany bankowe. W艣r贸d nowo艣ci znalaz艂a si臋 Korea Po艂udniowa, Australia, Francja oraz Polska. Pierwsz膮 dziesi膮tk臋 opu艣ci艂a Litwa, Azerbejd偶an, Bu艂garia oraz Uzbekistan.
O popularno艣ci mobilnych trojan贸w bankowych w艣r贸d cyberprzest臋pc贸w w poszczeg贸lnych pa艅stwach 艣wiadczy odsetek u偶ytkownik贸w, kt贸rzy zostali zaatakowani przez te trojany w badanym okresie w stosunku do wszystkich zaatakowanych u偶ytkownik贸w.
TOP 10 pa艅stw wed艂ug odsetka u偶ytkownik贸w zaatakowanych przez mobilne trojany bankowe w stosunku do wszystkich zaatakowanych u偶ytkownik贸w
|
Pa艅stwo |
% wszystkich zaatakowanych u偶ytkownik贸w* |
|
|
1 |
Korea Po艂udniowa |
13,8 |
|
2 |
Australia |
8,9 |
|
3 |
Rosja |
5,1 |
|
4 |
Austria |
3,0 |
|
5 |
Bia艂oru艣 |
1,9 |
|
6 |
US |
1,8 |
|
7 |
Tad偶ykistan |
1,7 |
|
8 |
Ukraina |
1,6 |
|
9 |
Francja |
1,6 |
|
10 |
Uzbekistan |
1,6 |
* Odsetek u偶ytkownik贸w zaatakowanych przez mobilne trojany bankowe w stosunku do wszystkich zaatakowanych u偶ytkownik贸w produkt贸w bezpiecze艅stwa mobilnego Kaspersky Lab w danym pa艅stwie.
Znaczna cz臋艣膰 atak贸w na bankowo艣膰 mobiln膮 w Korei Po艂udniowej zosta艂a przeprowadzona przez przedstawicieli rodziny Trojan-Banker.AndroidOS.Wroba. Celem tych trojan贸w jest kradzie偶 mobilnych kont bankowych najwi臋kszych bank贸w korea艅skich jak r贸wnie偶 kod贸w mTan.
W Australii rodzina Trojan-Banker.AndroidOS.Acecard odpowiada艂a za wi臋kszo艣膰 pr贸b infekcji. Stanowi ona nowy etap w ewolucji szkodnika Backdoor.AndroidOS.Torec.a, pierwszego trojana dla Androida, kt贸ry wykorzystywa艂 sie膰 Tor. Wykryli艣my go na pocz膮tku 2014 roku, natomiast pierwsze modyfikacje bankowe pojawi艂y si臋 w po艂owie 2014 roku. W tym czasie trojan ten by艂 dystrybuowany g艂贸wnie w Rosji, dopiero w 2015 roku zacz膮艂 rozprzestrzenia膰 si臋 aktywnie w Australii. Jedna z modyfikacji, kt贸r膮 wykryli艣my w listopadzie 2015 r., potrafi na艂o偶y膰 okno phishingowe na interfejsy 24 aplikacji bankowych. Pi臋膰 spo艣r贸d tych aplikacji nale偶y do australijskich bank贸w, kolejne cztery nale偶膮 do bank贸w zlokalizowanych w Hong Kongu, Austrii oraz Nowej Zelandii, trzy do bank贸w w Niemczech i Singapurze. Jest te偶 aplikacja dla PayPala. Ponadto, istniej膮 modyfikacje, kt贸rych celem s膮 banki w Stanach Zjednoczonych i Rosji.
Okna phishingowe trojana Acecard
Kradzie偶 login贸w i hase艂 u偶ytkownika poprzez wy艣wietlanie okna phishingowego zamiast rzeczywistego interfejsu aplikacji nie jest now膮 sztuczk膮. Po raz pierwszy natkn臋li艣my si臋 na ni膮 jeszcze w 2013 roku przy okazji szkodnika o nazwie Trojan-SMS.AndroidOS.Svpeng. W naszym raporcie dotycz膮cym ewolucji zagro偶e艅 IT w I kwartale 2015 roku wspominali艣my szkodnika o nazwie Trojan-SMS.AndroidOS.OpFake.cc, kt贸ry potrafi艂 zaatakowa膰 co najmniej 29 aplikacji bankowych i finansowych. Najnowsza modyfikacja tego trojana potrafi zaatakowa膰 114 aplikacji bankowych i finansowych. Jej g艂贸wnym celem jest kradzie偶 danych uwierzytelniaj膮cych logowanie do kont bankowych. Nak艂ada ona r贸wnie偶 okna kilku popularnych aplikacji pocztowych.
W Rosji, kt贸ra znalaz艂a si臋 na trzecim miejscu w rankingu TOP 10, Trojan-Banker.AndroidOS.Faketoken oraz Trojan-Banker.AndroidOS.Marcher stanowi艂y najpopularniejsze programy wykorzystywane przez osoby atakuj膮ce. Od kwietnia odnotowali艣my gwa艂towny spadek liczby pr贸b zainfekowania u偶ytkownik贸w szkodliwymi programami z rodziny Trojan-Banker.AndroidOS.Marcher. W ci膮gu pi臋ciu miesi臋cy, od kwietnia do sierpnia, liczba atak贸w z wykorzystaniem tego trojana zmniejszy艂a si臋 pi臋ciokrotnie. Mo偶liwe, 偶e cyberprzest臋pcy przygotowywali w tym czasie ataki na u偶ytkownik贸w w innych pa艅stwach, poniewa偶 do wrze艣nia 2015 roku aktywno艣膰 tej rodziny ogranicza艂a si臋 niemal wy艂膮cznie do Rosji. Jednak od wrze艣nia celem oko艂o 30% atak贸w przy u偶yciu tego trojana byli u偶ytkownicy w Australii, Niemczech oraz Francji.
Wspomniany wcze艣niej Trojan-Spy.AndroidOS.SmsThief.fc rozprzestrzenia艂 si臋 w Rosji. Osoby atakuj膮ce doda艂y sw贸j kod do oryginalnej aplikacji bankowej, kt贸ry nie mia艂 wp艂ywu na jej dzia艂anie, a tym samym by艂 trudniejszy do wykrycia.
Mobilny Trojan-Ransom
W 2015 roku liczba rodzin Trojan-Ransom wzros艂a dwukrotnie w stosunku do 2014 roku. Liczba modyfikacji wykrytych w tym samym okresie zwi臋kszy艂a si臋 3,5 raza i wynosi艂a 6 924.
W badanym okresie mobilne oprogramowanie ransomware zaatakowa艂o 94 344 unikatowych u偶ytkownik贸w - czyli pi臋ciokrotnie wi臋cej ni偶 w 2014 roku (18 478). Udzia艂 unikatowych u偶ytkownik贸w zaatakowanych przez programy Trojan-Ransom w stosunku do wszystkich u偶ytkownik贸w zaatakowanych przez mobilne szkodliwe oprogramowanie zwi臋kszy艂 si臋 z 1,1% do 3,8% w ci膮gu roku.
Ataki przy u偶yciu mobilnego oprogramowania ransomware zosta艂y co najmniej jeden raz odnotowane w 156 pa艅stwach i terytoriach w ci膮gu roku.
TOP 10 pa艅stw zaatakowanych przez szkodliwe oprogramowanie Trojan-Ransom wed艂ug liczby zaatakowanych u偶ytkownik贸w:
|
Pa艅stwo |
Liczba zaatakowanych u偶ytkownik贸w |
|
|
1 |
Rosja |
44951 |
|
2 |
Niemcy |
15950 |
|
3 |
Kazachstan |
8374 |
|
4 |
US |
5371 |
|
5 |
Ukraina |
4250 |
|
6 |
Wielka Brytania |
2878 |
|
7 |
W艂ochy |
1313 |
|
8 |
Hiszpania |
1062 |
|
9 |
Iran |
866 |
|
10 |
Indie |
757 |
Rosja, Niemcy i Kazachstan stanowi艂y pa艅stwa najcz臋艣ciej atakowane przez oprogramowanie ransomware.
W Rosji i Kazachstanie najaktywniejsza by艂a rodzina Trojan-Ransom.AndroidOS.Small, w szczeg贸lno艣ci modyfikacja Trojan-Ransom.AndroidOS.Small.o, kt贸ra stanowi艂a najpopularnijeszy program typu Trojan-Ransom w 2015 roku.
Rodzina Trojan-Ransom.AndroidOS.Pletor r贸wnie偶 pozosta艂a bardzo popularna w 2015 r. Co ciekawe, pierwszy mobilny trojan szyfruj膮cy zosta艂 opracowany przez t臋 sam膮 grup臋 cyberprzest臋pc贸w co Trojan-Banker.AndroidOS.Acecard.
W Niemczech Trojan-Ransom.AndroidOS.Fusob stanowi艂 najaktywniej rozprzestrzenian膮 rodzin臋.
Okna otwierane przez trojana Fusob
Stany Zjednoczone uplasowa艂y si臋 na czwartym miejscu w rankingu. Szczeg贸lnie popularna w tym pa艅stwie by艂a rodzina Trojan-Ransom.AndroidOS.Fusob, chocia偶 rodzina Trojan-Ransom.AndroidOS.Svpeng r贸wnie偶 by艂a aktywnie wykorzystywana.
Ranking ten zale偶y w du偶ym stopniu od liczby u偶ytkownik贸w w poszczeg贸lnym pa艅stwie, dlatego interesuj膮ce mo偶e by膰 zestawienie pokazuj膮ce stosunek u偶ytkownik贸w zaatakowanych przez szkodliwe oprogramowanie Trojan-Ransom w stosunku do wszystkich zaatakowanych u偶ytkownik贸w w danym pa艅stwie.
TOP 10 pa艅stw zaatakowanych przez szkodliwe oprogramowanie Trojan-Ransom - udzia艂 u偶ytkownik贸w w stosunku do wszystkich zaatakowanych u偶ytkownik贸w w kraju.
|
Pa艅stwo |
% wszystkich zaatakowanych u偶ytkownik贸w* |
|
|
1 |
Kazachstan |
15,1 |
|
2 |
Niemcy |
14,5 |
|
3 |
US |
10,3 |
|
4 |
Kanada |
8,9 |
|
5 |
Holandia |
8,8 |
|
6 |
Wielka Brytania |
8,3 |
|
7 |
Szwajcaria |
6,9 |
|
8 |
Austria |
6,4 |
|
9 |
Ukraina |
5,9 |
|
10 |
Australia |
5,5 |
* Odsetek u偶ytkownik贸w zaatakowanych przez szkodliwe oprogramowanie Trojan-Ransom w stosunku do wszystkich zaatakowanych u偶ytkownik贸w produkt贸w bezpiecze艅stwa mobilnego firmy Kaspersky Lab w danym pa艅stwie.
Do rankingu TOP 10 nie zakwalifikowa艂a si臋 Rosja, kt贸ra odpowiada艂a za najwi臋ksz膮 liczb臋 zaatakowanych u偶ytkownik贸w. W艣r贸d lider贸w tego zestawienia znalaz艂 si臋 Kazachstan, Niemcy oraz Stany Zjednoczone.
Zako艅czenie
Chocia偶 pierwsze trojany reklamowe wykorzystuj膮ce przywileje super u偶ytkownika do w艂asnych cel贸w pojawi艂y si臋 kilka lat temu, w 2015 roku ich liczba znacznie wzros艂a i programy te zacz臋艂y si臋 szybko rozprzestrzenia膰. W pierwszym kwartale 2015 roku w艣r贸d najpopularniejszych zagro偶e艅 znalaz艂 si臋 tylko jeden trojan tego typu, jednak pod koniec roku programy te stanowi艂y ponad po艂ow臋 szkodnik贸w w rankingu TOP 20. Trojany te s膮 rozprzestrzeniane przy u偶yciu wszelkich dost臋pnych sposob贸w - za po艣rednictwem innych program贸w reklamowych, sklep贸w z aplikacjami, a nawet mog膮 by膰 preinstalowane na niekt贸rych urz膮dzeniach. Liczba trojan贸w reklamowych wykorzystuj膮cych przywileje super u偶ytkownika prawdopodobnie nadal b臋dzie wzrasta膰 w 2016 roku.
Zauwa偶yli艣my ju偶 przypadki, gdy trojany reklamowe by艂y wykorzystywane do rozprzestrzeniania szkodliwych program贸w mobilnych. Jest wiele powod贸w, aby s膮dzi膰, 偶e osoby atakuj膮ce b臋d膮 w coraz wi臋kszym stopniu wykorzystywa艂y takie trojany do infekowania urz膮dze艅 mobilnych szkodliwym oprogramowaniem.
Trafili艣my r贸wnie偶 na przypadki, gdy przywileje super u偶ytkownika by艂y wykorzystywane przez inne rodzaje szkodliwego oprogramowania, zw艂aszcza ransomware.
Szkodliwe oprogramowanie klasy Trojan-Ransom b臋dzie prawdopodobnie ewoluowa艂o w 2016 roku. Spodziewamy si臋 wzrostu popularno艣ci tych program贸w w艣r贸d atakuj膮cych jak r贸wnie偶 zwi臋kszenia ich globalnego zasi臋gu.
Kolejnym rodzajem trojana, kt贸ry zamierzamy nadal 艣ci艣le monitorowa膰 w 2016 roku jest Trojan-Banker. Ju偶 teraz istnieje wiele trojan贸w bankowych, kt贸re nie wymagaj膮 dodatkowego oprogramowania na komputerze ofiary. Trojany te dzia艂aj膮 w spos贸b niezale偶ny i w celu kradzie偶y pieni臋dzy u偶ytkownika musz膮 jedynie zainfekowa膰 jego telefon. Potrafi膮 kra艣膰 loginy i has艂a do kont w serwisach bankowo艣ci mobilnej poprzez nak艂adanie okna phishingowego na legalne interfejsy aplikacji bankowych. Trojany te potrafi膮 r贸wnie偶 kra艣膰 dane dotycz膮ce karty kredytowej przy pomocy okien phishingowych. Ponadto, ich funkcjonalno艣膰 obejmuje przechwytywanie komunikacji pomi臋dzy klientem a bankiem - kradzie偶 przychodz膮cych wiadomo艣ci tekstowych i przekierowanie po艂膮cze艅 do osoby atakuj膮cej. W 2016 roku trojany bankowe b臋d膮 atakowa膰 jeszcze wi臋cej instytucji bankowych i wykorzystywa膰 nowe kana艂y dystrybucji oraz nowe technologie kradzie偶y danych.
Wraz ze wzrostem funkcjonalno艣ci urz膮dze艅 oraz serwis贸w mobilnych, zwi臋kszy si臋 r贸wnie偶 apetyt cyberprzest臋pc贸w, kt贸rzy zarabiaj膮 na szkodliwym oprogramowaniu. Autorzy szkodliwego oprogramowania nadal b臋d膮 udoskonala膰 swoje twory, rozwija膰 nowe technologie i szuka膰 nowych sposob贸w rozprzestrzeniania mobilnego szkodliwego oprogramowania. Ich g艂贸wnym celem jest zarabianie pieni臋dzy. W takiej sytuacji, zaniedbanie ochrony urz膮dzenia mobilnego jest niezwykle ryzykowne.
殴ród艂o: Kaspersky Lab