Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Ewolucja mobilnego szkodliwego oprogramowania: 2012

Tagi:

 

Wprowadzenie

Poprzednia część naszego regularnego przeglądu ewolucji mobilnego szkodliwego oprogramowania została opublikowana rok temu, pora zatem przyjrzeć się wydarzeniom, jakie miały miejsce w 2012 roku, i sprawdzić, jak dokładne były nasze prognozy. Raport ten zawiera jakościowe oraz ilościowe dane dotyczące ewolucji szkodliwego oprogramowania oraz analizę głównych trendów, zarówno w zakresie szkodliwych programów jak i ataków szkodliwego oprogramowania. Prezentuje również prognozy firmy Kaspersky Lab dotyczące dalszego rozwoju mobilnego szkodliwego oprogramowania w 2013 roku.

Jakie były nasze prognozy na 2012 rok? W skrócie, spodziewaliśmy się większego wzrostu liczby szkodliwych programów atakujących Androida, ponieważ na tej właśnie platformie koncentrowali się głównie cyberprzestępcy. Prognoza ta okazała się trafna – szkodliwi użytkownicy rzeczywiście skupili swoje wysiłki na rozwijaniu i rozprzestrzenianiu szkodliwych programów, których celem jest system operacyjny Android.

Kaspersky Lab przewidywał, że cyberprzestępcy rozszerzą, poza rootkity dla Androida, swój arsenał wykorzystywany w celu infekowania urządzeń i zdobycia pełnego dostępu do tego systemu operacyjnego; spodziewaliśmy się również pierwszych ataków drive-by wykorzystujących luki w systemie Android. Prognoza ta nie sprawdziła się, prawdopodobnie dlatego, że na tym etapie rozwoju szkodliwego oprogramowania atakującego Androida cyberprzestępcy po prostu nie muszą przeprowadzać tego typu ataków. Szanse, że użytkownicy nieświadomie zainfekują swoje urządzenia mobilne są takie same jak wcześniej.

Kolejna niespełniona przepowiednia dotyczyła pojawienia się pierwszych masowych robaków dla Androida – a konkretnie robaków SMS.

Sugerowaliśmy również, że w 2012 roku nastąpi wzrost liczby wykryć szkodliwego oprogramowania w oficjalnych sklepach z aplikacjami. Niestety, prognoza ta okazała się trafna. Co więcej, różnorodne zagrożenia (liczba ofiar wahała się od kilkudziesięciu do dziesiątek tysięcy) pojawiły się w Google Play i po raz pierwszy wykrywane były szkodliwe programy dla iOS w App Store.

Sprawdziła się również przepowiednia Kaspersky Lab o pojawieniu się pierwszych mobilnych botnetów dla Androida. Należy jednak zaznaczyć, że botnety te znacznie różniły się pod względem tego, w jakim miejscu na świecie infekowane były urządzenia oraz liczby zainfekowanych urządzeń i funkcji szkodliwego oprogramowania.

Wymienione wyżej prognozy dotyczyły tylko najczęściej wykorzystywanej dziś platformy - Androida. Jeżeli chodzi o pozostałe platformy mobilne i systemy operacyjne, spodziewaliśmy się, że ataki ukierunkowane będą należały do kluczowych zagrożeń dla Symbiana, BlackBerry oraz innych mobilnych platform. Typowe ataki tego rodzaju zwykle obejmują ZitMo oraz SpitMo (ZeuS- i SpyEye-in-the-Mobile). W tym przypadku również mieliśmy rację. Co więcej, rodzina zagrożeń stworzonych w celu kradzieży kodów mTAN (ZitMo i SpitMo) zyskała nowy nabytek – szeroko rozpowszechniony trojan bankowy o nazwie Carberp posiada teraz wersję mobilną o nazwie CitMo, lub Carberp-in-the-Mobile.

Sprawdziły się również dwie inne - wprawdzie ogólne, ale niezwykle ważne - prognozy, które odegrają kluczową rolę w określeniu przyszłości ataków na platformy mobilne. Po pierwsze, powstał w pełni rozwinięty przemysł rozwoju mobilnego szkodliwego oprogramowania. Po drugie, mobilne szpiegostwo przestało być jedynie domeną organów śledczych oraz firm specjalizujących się w pracy detektywistycznej.

Tematem najnowszej edycji raportu Kaspersky Lab dotyczącego ewolucji mobilnego szkodliwego oprogramowania są główne incydenty dotyczące mobilnego szkodliwego oprogramowania w 2012 roku.

Dane statystyczne

W tej sekcji przyjrzymy się statystykom dotyczącym mobilnych zagrożeń. Tym razem, oprócz informacji odnoszących się do wzrostu liczby szkodliwych programów, częstotliwości, z jaką pojawiają się, oraz ich rozkładu według platformy i zachowania, zamieściliśmy również dane otrzymane z opartej na chmurze usługi KSN, która jest obecnie dostępna w naszym mobilnym produkcie dla Androida.

Główne statystyki dla 2012 r.

Najistotniejsze dane statystyczne dla 2012 roku wiążą się z gwałtownym wzrostem liczby nowych szkodliwych programów dla Androida. Oceńcie sami – w 2011 roku Kaspersky Lab wykrył prawie 5 300 nowych szkodliwych programów dla wszystkich platform mobilnych; w ciągu kilku miesięcy w 2012 roku wykryto więcej nowych szkodników stworzonych tylko dla Androida. Jednocześnie liczba unikatowych szkodliwych plików przekroczyła 6 milionów!

Łączna liczba modyfikacji i rodzin mobilnego szkodliwego oprogramowania w kolekcji Kaspersky Lab na dzień 1 stycznia 2013 r.:

 

Platforma Modyfikacja Rodzina
Android 43600 255
J2ME 2257 64
Symbian 445 113
Windows Mobile 85 27
Inne 28 10
Łącznie 46415 469

 

Współczynnik wzrostu liczby zagrożeń atakujących platformy mobilne zwiększył się drastycznie: 40 059 z 46 415 modyfikacji i 138 z 469 rodzin mobilnego szkodliwego oprogramowania zostało dodanych do naszej bazy danych w 2012 r!

Jeżeli chodzi o rozkład mobilnych zagrożeń według platformy, sytuację bardzo jasno obrazuje poniższy diagram:

 

mobile_feb2013_pic01_auto.png
Rozkład mobilnych zagrożeń według platformy, 2004 – 2012

 

Pod koniec 2011 roku platforma Android była celem około 65% mobilnych zagrożeń; pod koniec 2012 roku odsetek ten wynosił niemal 94%.

Jednocześnie, 99% wszystkich wykrytych mobilnych szkodliwych programów w 2012 roku stanowiły zagrożenia atakujące urządzenia z Androidem. W połowie roku stało się jasne, że przynajmniej przez następne dwa lata mobilne szkodliwe oprogramowanie będzie atakowało głównie Androida. Zdobywając pozycję najpopularniejszego systemu operacyjnego dla urządzeń mobilnych, Android OS stał się jednocześnie głównym celem twórców wirusów. Sprawdza się tutaj stara zasada: „najbardziej rozpowszechniony system operacyjny” + „instalacja oprogramowania z przypadkowego źródła” = „największa liczba zagrożeń”.

Najbardziej rozpowszechnione zagrożenia atakujące Androida

Wiosną 2012 roku Kaspersky Lab uruchomił swoją nową opartą na chmurze usługę KSN dla urządzeń mobilnych pod kontrolą Android OS, która pozwoliła nam zapewniać dodatkową ochronę użytkownikom urządzeń z Androidem oraz zbierać interesujące dane dotyczące modyfikacji szkodliwych programów najczęściej napotykanych przez użytkowników.

Najczęściej wykrywane zagrożenia na urządzeniach z Androidem można podzielić na trzy główne grupy: trojany SMS, oprogramowanie adware oraz exploity, których celem jest uzyskanie dostępu na poziomie root.

 

mobile_feb2013_pic02_auto.png
Najczęściej wykrywane szkodliwe programy atakujące Androida

 

Najbardziej rozpowszechnionymi szkodliwymi programami dla Androida okazały się trojany SMS, które atakują głównie użytkowników w Rosji. Nie jest to niespodzianką, ponieważ wysyłanie kosztownych wiadomości tekstowych z zainfekowanych urządzeń bez zgody użytkownika nadal stanowi główny sposób zarabiania dla cyberprzestępców specjalizujących się w platformach mobilnych.

Drugą grupę zagrożeń w rankingu Top 10 tworzy Plangton i oprogramowanie adware Hamob. Rodzina Plangton jest wykrywana jako trojan – i istnieją po temu uzasadnione powody. Szkodnik ten jest często wykrywany w darmowych aplikacjach i rzeczywiście wyświetla reklamy. Jednak posiada jeszcze dodatkową funkcję – zmienia stronę startową przeglądarki bez powiadamiania ani zgody użytkownika, co jest uznawane za szkodliwe zachowanie. Jeżeli chodzi o AdWare.AndroidOS.Hamob, jest to rodzaj aplikacji, która wydaje się użyteczna, podczas gdy tak naprawdę jej działanie ogranicza się do wyświetlania reklam.

Trzecia i ostatnia grupa składa się z różnych modyfikacji Lotoora – exploitów służących do uzyskania dostępu na poziomie root w smartfonach działających pod kontrolą różnych wersji Androida.

Zagrożenia dla użytkowników

Mimo że liczba incydentów z udziałem szkodliwego oprogramowania atakującego Androida znacznie wzrosła w 2012 roku, szkodliwi użytkownicy nie całkiem zapomnieli o innych mobilnych systemach operacyjnych. Najbardziej znaczące z takich incydentów zostaną omówione w dalszej części.

Mobilne botnety

Technicznie, pierwszy mobilny botnet pojawił się jesienią 2009 roku. Drugi najbardziej rozpowszechniony program atakujący urządzenia z systemem iOS, które zostały poddane jailbreakowi, został wykryty niedawno. Potrafił akceptować i wykonywać polecenia ze zdalnej usługi.

Pojawienie się mobilnych botnetów w 2012 roku złożonych z urządzeń działających pod kontrolą Androida nie stanowił niespodzianki. Pierwszy powód do niepokoju pojawił się w styczniu wraz z wykryciem bota IRC dla Androida, który współdziałał z trojanem SMS. Oba szkodniki otrzymały nazwę Foncy.

 

mobile_feb2013_pic03.png
Ikonka MADDEN NFL 12 szkodnika Foncy po zainstalowaniu

 

Oprócz trojana SMS i bota IRC dropper ARK zawierał również exploita roota. Po uruchomieniu na zainfekowanym systemie exploit ten zwiększał uprawnienia do poziomu root, a następnie uruchamiał bota IRC, który z kolei instalował i uruchamiał trojana SMS. Po wykonaniu swojej funkcji trojan SMS przestawał działać, w przeciwieństwie do bota IRC, który czekał na polecenia. Dzięki temu bot IRC mógł kontrolować sytuację po infekcji smartfona. Wszystkie smartfony zainfekowane botem IRC Foncy tworzyły w pełni rozwinięty botnet i mogły być wykorzystywane do wykonywania niemal wszystkich działań na polecenie właściciela botnetu.

Francuska policja zlokalizowała i aresztowała dwóch podejrzanych o udział w tworzeniu i rozprzestrzenianiu tego zagrożenia. Według danych policyjnych, zainfekowali oni ponad 2 000 urządzeń i zarobili na tym projekcie ponad 100 000 euro. Był to pierwszy przypadek aresztowania pod zarzutem rozprzestrzeniania szkodliwego oprogramowania atakującego urządzenia mobilne.

W lutym wykryto mobilny botnet, który miał od 10 000 do 30 000 aktywnych zainfekowanych urządzeń jednocześnie. Całkowita liczba zainfekowanych telefonów wynosiła setki tysięcy. Botnet ten został stworzony przez chińskich twórców wirusów i opierał się na backdorze RootSmart, który posiada różne funkcje zdalnego kontrolowania urządzeń mobilnych z Androidem. Cyberprzestępcy wykorzystali wypróbowaną taktykę w celu rozprzestrzenienia RootSmarta: spakowali go wraz z legalnymi programami przy użyciu pakerów i wrzucili plik archiwum do nieoficjalnych sklepów z aplikacjami powszechnie wykorzystywanych w Chinach w celu pobierania aplikacji dla Androida. Użytkownicy pobierający aplikacje mające rzekomo dostosować telefony do ich potrzeb pobierali w rzeczywistości backdoora, który podłączał ich urządzenie do botnetu.

Skala infekcji RootSmarta pozwoliła szkodliwym użytkownikom zarobić na swojej sieci zainfekowanych telefonów. Zastosowali najczęściej wykorzystywaną metodę wśród cyberprzestępców w świecie mobilnym: wysyłanie wiadomości tekstowych na krótkie numery. Szkodliwi użytkownicy stwierdzili, że najtańsze numery nie wzbudzą podejrzeń wśród ich ofiar. Cyberprzestępcy zdobyli pełną kontrolę nad mobilnymi urządzeniami, co pozwoliło im ukrywać szkodliwe oprogramowanie w telefonie przez długi czas i kraść środki z kont ofiar.

W 2012 roku wykryliśmy backdoory, które – na szczęście – nie potrafiły infekować dużej liczby urządzeń. Mimo to, zagrożenia te, jak również ich funkcje, są dość interesujące.

Jedno z zagrożeń atakujących Androida, znane jako Cawitt, jest interesujące przede wszystkim z tego względu, że zawiera mechanizm wykorzystywany do uzyskiwania nazwy domeny centrum kontroli za pośrednictwem Twittera. Ciało tego szkodnika zawiera ciągi, z których generuje pseudonimy użytkownika na tym portalu społecznościowym. Po wygenerowaniu fikcyjnych nazw użytkowników backdoor wysyła żądania do serwera Twittera w celu otrzymania ich tweetów. Tweety te zawierają nazwy domen centrum kontroli.

 

mobile_feb2013_pic04.png
Przykłady tweetów C&C

 

Aby rozpocząć otrzymywanie poleceń z centrum kontroli C&C, Cawitt wysyła żądanie POST do nazwy domeny otrzymywanej za pośrednictwem Twittera, a następnie dodaje "/carbontetraiodide" na koniec. W odpowiedzi na to żądanie bot otrzyma polecenie.

Innym interesującym zagrożeniem wykrytym pod koniec 2012 roku jest SpamSold, bot spamowy, który atakuje urządzenia z Androidem. Jest to pierwszy szkodliwy program dla urządzeń mobilnych stworzony w celu wysyłania spamu SMS z zainfekowanych urządzeń.

Backdoor ten próbuje ukryć swoją obecność w smartfonie poprzez usunięcie swojej ikonki oraz pobranie darmowej wersji gry, którą wykorzystuje jako przykrywkę. Następnie SpamSold odpowiada na żądania GET serwera kontroli jak w przykładzie poniżej:

 

mobile_feb2013_pic05.png
Żądanie GET SpamSold

 

W odpowiedzi otrzymuje wiadomość tekstową do rozesłania i pierwsze 100 numerów, na które należy ją wysłać.

 

mobile_feb2013_pic06_auto.png
Odpowiedź serwera

 

Po otrzymaniu odpowiedzi bot próbuje wysłać zawartą w poleceniu wiadomość tekstową na podane numery, a gdy zabraknie mu numerów, wysyła żądanie do serwera po nowy zestaw numerów i nową wiadomość tekstową. Tymczasem, program ukrywa wysyłane wiadomości tekstowe, a tym samym swoją obecność i działania.

Na szczęście szkodliwym użytkownikom nie udało się jeszcze zbudować botnetu na dużą skalę. Jednak już sam fakt, że mobilne szkodliwe oprogramowanie jest obecnie wykorzystywane do rozsyłania wiadomości tekstowych sugeruje, że w 2013 roku pojawi się więcej niż jeden szkodliwy program o podobnych funkcjach.

Polowanie na kody mTan

W atakach ukierunkowanych w 2012 roku wykorzystano kilka nowych zagrożeń, takich jak ataki przeprowadzane przy użyciu ZitMo oraz SpitMo (ZeuS- i SpyEye-in-the-Mobile). Celem tych zagrożeń jest przechwytywanie wiadomości tekstowych z serwisów bankowości online zawierających numery służące do autoryzacji transakcji, tzw. mTAN-y.

Nowe wersje ZitMo i SpitMo pojawiają się regularnie, zarówno dla Androida jak i innych systemów operacyjnych. W celu ukrycia swoich zagrożeń twórcy wirusów wykorzystują te same metody co dwa lata temu. Zwykle jest to podszywanie się pod „certyfikat bezpieczeństwa” lub oprogramowanie bezpieczeństwa dla smartfona. W efekcie zamiast aplikacji antywirusowej użytkownicy pobierają na swoje urządzenia szkodliwe oprogramowanie.

 

mobile_feb2013_pic07.png
ZitMo podszywający się pod aplikację bezpieczeństwa

 

To, że Android jest obecnie tak popularny, nie oznacza, że nikt nie korzysta z pozostałych systemów operacyjnych. Wiedzą o tym twórcy wirusów, którzy zignorowali pogłoski o nieuchronnym końcu platformy BlackBerry. W 2012 roku pojawiły się nowe wersje ZitMo dla BlackBerry’ego; w jednym ataku cyberprzestępcy wykorzystali zagrożenia atakujące zarówno platformę BlackBerry jak i Android (w obu numery C&C były takie same).

Kilka nowych modyfikacji ZitMo dla Androida zaczęło bardziej przypominać swoich „braci” tworzonych dla innych platform. Wcześniej ZitMo dla Androida posiadał stosunkowo prymitywne funkcje (głównie potrafił wysyłać przychodzące wiadomości zawierające kody mTAN). Jednak najnowsze wersje tego trojana zawierały rozszerzoną listę poleceń wykorzystywanych przez twórców tego szkodnika do kontroli i zarządzania operacjami tego zagrożenia.

 

mobile_feb2013_pic08_auto.png
Przykład niektórych poleceń w ZitMo dla Androida

 

Przed 2012 rokiem ataki przeprowadzane w celu kradzieży kodów mTAN były wykrywane w zaledwie kilku europejskich krajach: Hiszpanii, we Włoszech, w Niemczech, Polsce i kilku innych. Ofiarami tych ataków byli użytkownicy różnych platform mobilnych: Androida, BlackBerry, Symbiana i Windows Mobile. Pod koniec 2012 roku jednym z celów takich ataków stała się Rosja, w której coraz częściej korzysta się z bankowości online – fakt, który nie umknął uwadze twórców wirusów. Rozpowszechniony trojan Carberp, który działa w podobny sposób co ZeuS, zyskał swoją własną wersję mobilną: Trojan-Spy.AndroidOS.Citmo.

Podobnie jak jego wspólnik w przestępstwie ZeuS ZitMo, trojan CitMo potrafi ukrywać przychodzące wiadomości tekstowe zawierające kody mTAN i wysyłać je szkodliwym użytkownikom. Różne wersje CitMo przesyłają przechwycone wiadomości tekstowe zarówno na numery telefonu cyberprzestępców jak i ich zdalne serwery.

Jedna wersja Carberpa zmieniała stronę docelową systemu bankowości online jednego z rosyjskich banków. Użytkowników proszono o pobranie i zainstalowanie programu, który był rzekomo niezbędny do uzyskania dostępu do systemu. Użytkownicy mogli wybrać sposób otrzymania odsyłacza do programu za pośrednictwem wiadomości tekstowej: podając wcześniej swój numer telefonu lub skanując kod QR.

 

mobile_feb2013_pic09_auto.png
Kody QR stanowią jeden ze sposobów pobierania szkodliwego oprogramowania

 

Odsyłacz w tym przykładzie prowadził do aplikacji AberSafe, pod którą w rzeczywistości krył się Trojan-Spy.AndroidOS.Citmo, który znalazł się w sklepie Google Play w ciągu dwóch tygodni.

Po uruchomieniu szkodliwego programu potencjalne ofiary były proszone o podanie swojego numeru telefonu. Numery były zapisywane w pliku auth.txt i wysyłane na zdalny serwer prowadzony przez szkodliwych użytkowników. Po jakimś czasie użytkownicy otrzymywali wiadomość tekstową z pięciocyfrowym kodem, który należało wpisać w aplikacji. Kod ten był zapisywany w pliku authcode.txt i wykorzystywany wraz z numerem telefonu jako numer identyfikacyjny danych, który szkodnik wysyłał następnie do zdalnego serwera.

Podczas ataku i kradzieży kodów mTAN trojan musiał ukrywać wiadomości przychodzące z systemu bankowości online. W przeciwnym razie, gdy szkodliwi użytkownicy próbowaliby przelać środki z konta, takie wiadomości wzbudziłyby ich podejrzenia.

CitMo pobierał informacje z serwera szkodliwych użytkowników o numerach związanych z przychodzącymi wiadomościami tekstowymi, które musiały być ukryte. Przesyłał te dane na zdalny serwer (zapisane w pliku hide.txt) wraz z danymi dotyczącymi numerów związanych z wiadomościami przychodzącymi, które nie musiały być ukrywane (zapisane w pliku view.txt). Po otrzymaniu przychodzącej wiadomości tekstowej CitMo sprawdzał nadawcę. Jeżeli dane nadawcy znajdowały się na liście ukryj, wtedy wiadomość była ukrywana i zapisywana w pliku messages.txt, który był wysyłany do zdalnego serwera szkodliwych użytkowników.

Trojany SMS

Najpowszechniejsze metody stosowane przez szkodliwych użytkowników w celu zarabiania na mobilnych zagrożeniach wciąż ewoluują. Jeszcze w 2011 roku jednym z najbardziej interesujących trendów było pojawienie się trojanów SMS atakujących użytkowników w Europie i Ameryce Północnej. W 2012 roku Kaspersky Lab wykrył programy afiliacyjne wykorzystywane do rozprzestrzeniania trojanów SMS wśród użytkowników w tych samych regionach. Programy afiliacyjne, jak dobrze wiadomo, stanowią jedne z najbardziej skutecznych narzędzi tworzenia, rozprzestrzeniania i zarabiania na szkodliwych programach.

W 2012 roku została wykryta rodzina trojanów SMS dla Androida (o nazwie Vidro) atakująca głównie użytkowników z Polski. Trojan ten nie wyróżniał się niczym szczególnym na tle innych z wyjątkiem jednego małego szczegółu: zagrożenie to rozprzestrzeniało się za pośrednictwem stron zawierających treści dla dorosłych związanych z mobilnymi programami afiliacyjnymi, które zarabiały na ruchu związanym z treściami dla dorosłych.

Zagrożenie to było pobierane ze szkodliwej domeny vid4droid.com. Domena ta była kontrolowana przez dwa serwery nazw o adresie carmunity.de oraz serwer pocztowy vid4droid.com na tecmedia.eu. Istnieje kilka hostów (m.in. sex-goes-mobile.biz, sexgoesmobile.biz, sexgoesmobil.com) gdzie serwery nazw i poczty są takie same jak na vid4droid.com. Gdyby potencjalna ofiara odwiedziła jeden z nich, zostałaby przekierowana do sexgoesmobile.com. Strona ta została stworzona w ramach programu afiliacyjnego w celu zarabiania na ruchu związanym z treściami dla dorosłych generowanym z urządzeń mobilnych.

 

mobile_feb2013_pic10.png
Strona domowa programu afiliacyjnego SexGoesMobile.com

 

Wiele mobilnych programów afiliacyjnych (przynajmniej te rosyjskie) oferuje pełny dostęp do tzw. narzędzi promocyjnych dla wszystkich swoich uczestników i SexGoesMobile nie jest tutaj wyjątkiem. Każdy uczestnik SexGoesMobile posiada numer identyfikacyjny. Uczestnik może stworzyć mobilną stronę przy użyciu gotowego szablonu (każdy szablon posiada własną nazwę domeny) i wygenerować unikatowy adres URL z własnym numerem identyfikacyjnym, który następnie prowadzi do vid4droid.com, i umieścić ten adres URL na swojej stronie.

Jak tylko potencjalna ofiara kliknie jedną z takich standardowych stron, zostanie przekierowana do vid4droid.com. Jednocześnie, na zdalnym serwerze zostanie wygenerowany na podstawie informacji referrera unikatowy ciąg liter i liczb (unikatowy adres URL i numer identyfikacyjny uczestnika). Strona zachęci następnie użytkowników do pobrania rzekomej aplikacji związanej z treściami dla dorosłych (vid4droid.com), która w rzeczywistości stanowi trojana Vidro.

Po zainstalowaniu się na urządzeniu mobilnym trojan ten wysyła wiadomość tekstową na płatny numer w Polsce72908 zawierającą tekst „ZAPŁAĆ { unikatowa sekwencja liter i liczb}” – ta sama unikatowa sekwencja liter i liczb jak ta wygenerowana przy użyciu adresu URL i numeru identyfikacyjnego uczestnika. W ten sposób każdy uczestnik programu afiliacyjnego ukradł pieniądze użytkownika przy użyciu „własnego” trojana SMS, który wysyłał wiadomości tekstowe zawierające unikatowy ciąg. Pojawienie się podobnych programów afiliacyjnych poza Rosją i Ukrainą wskazuje na istnienie w pełni rozwiniętego przemysłu mobilnego szkodliwego oprogramowania – nie tylko w Rosji ale również w innych państwach.

Incydenty dotyczące oficjalnych sklepów z aplikacjami

Mimo wprowadzenia przez Google nowego modułu antywirusowego Google Bouncer, który automatycznie skanuje wszystkie nowe aplikacje na Google Play (wcześniej znany jako Android Market), średnia liczba i skala incydentów w tym sklepie nie zmieniła się znacząco.

Naszą uwagę zwraca zwykle największa liczba infekcji, tak jak w przypadku incydentu z udziałem Dougalek, który zainfekował dziesiątki tysięcy użytkowników (głównie w Japonii). Doprowadziło to do jednego z największych wycieków prywatnych danych spowodowanych infekcją urządzenia mobilnego. Wkrótce po tym incydencie policja w Tokio aresztowała pięć osób podejrzanych o tworzenie i rozprzestrzenianie tego zagrożenia. Był to drugi incydent dotyczący mobilnego szkodliwego oprogramowania, który zakończył się aresztowaniem w 2012 roku.

W 2012 roku miało miejsce kolejne głośne wydarzenie: w sklepie Apple’a App Store został wykryty pierwszy szkodliwy program dla iOS. Na początku lipca wykryto podejrzaną aplikację o nazwie „Find and Call”. Jej kopie znaleziono zarówno w App Store jak i Android Market.

 

mobile_feb2013_pic11.png
Find and Call zainstalowany na telefonie z iOS

 

Po pobraniu i uruchomieniu aplikacji pojawiało się żądanie zarejestrowania programu, co wymagało podania adresu e-mail i numeru telefonu. Po wykonaniu tego polecenia, jeżeli użytkownik spróbowałby znaleźć przyjaciół wśród swoich kontaktów przy użyciu tej aplikacji, wszystkie jego kontakty zostałyby przesłane na zdalny serwer – bez wzbudzania podejrzeń użytkownika – w następującym formacie.

http://abonent.findandcall.com/system/profile/phoneBook?sid=

Każdy numer skradziony z kontaktów otrzymywałby następnie spamowe wiadomości tekstowe z odsyłaczem proponującym odbiorcy pobranie aplikacji Find and Call.

Po opublikowaniu informacji o tym incydencie Kaspersky Lab zaczął otrzymywać pytania o to, dlaczego aplikacja ta została zaklasyfikowana jako szkodliwa. A zatem, jest ona uważana za szkodliwą, ponieważ ukrywa fakt pobierania informacji kontaktowych użytkownika na zdalny serwer, aby następnie wysyłać na nie wiadomości tekstowe.

Na szczęście incydent ten jest jak na razie jedynym potwierdzonym przypadkiem wykrycia szkodliwego programu w sklepie iOS App Store.

Cyberszpiegostwo

W 2012 roku spodziewaliśmy się większej liczby przypadków kradzieży danych z telefonów mobilnych oraz śledzenia ludzi przy użyciu ich telefonów i usług GPS. Niestety, mieliśmy rację. Liczba szkodliwych programów wykazujących zachowanie trojanów szpiegujących lub backdoorów zwiększyła się sześciokrotnie. Wzrasta również liczba aplikacji komercyjnych służących do monitorowania, które trudno odróżnić od szkodliwych programów.

Historia o szpiegostwie mobilnym zawiera wiele niezwykłych epizodów. Czytelnicy być może przypominają sobie incydent z 2009 roku, kiedy jeden z największych operatorów w Zjednoczonych Emiratach Arabskich rozsyłał wiadomość tekstową zawierającą odsyłacz do oprogramowania spyware pod pretekstem aktualizacji bezpieczeństwa dla BlackBerry. Kolejnym istotnym aspektem jest zainteresowanie rządu uzyskaniem dostępu do bezpiecznych transmisji wykorzystywanych w smartfonach BlackBerry.

Najbardziej znaczące i wywołujące największy skandal incydenty związane ze szpiegostwem mobilnym w 2012 roku to:

  • wykrycie mobilnej wersji modułu szpiegowskiego FinSpy, opracowanego przez brytyjską firmę Gamma International;
  • ujawnienie szczegółów technicznych dotyczących operacji cyberwywiadowczych, znanych pod nazwą Czerwony Październik – incydent, w którym dane i tajne informacje były zbierane nie tylko z komputerów i sprzętu sieciowego atakowanych organizacji (agencji dyplomatycznych i rządowych), ale również z urządzeń mobilnych ich pracowników.

 

Oba te incydenty zasługują na głębszą analizę.

FinSpy

Mobilne wersje FinSpy stanowią część oferty Gamma International. Dane o istnieniu tego pakietu narzędzi do zdalnego monitoringu po raz pierwszy pojawiły się jeszcze w pierwszej połowie 2011 roku. Tego samego roku okazało się, że istnieją mobilne wersje FinSpy. Następnie, w 2012 roku, The Citizen Lab zdobyło do analizy mobilne wersje FinSpy’a dla Androida, iOSa, Windowsa Mobile, Symbiana oraz BlackBerry’ego.

Modyfikacje FinSpy’a dla różnych platform posiadają wiele wspólnych funkcji:

  • rejestrowanie połączeń przychodzących i wychodzących;
  • ukryte połączenia w celu podsłuchiwania otoczenia celu;
  • kradzież informacji ze smartfonów (rejestry połączeń, wiadomości tekstowe i multimedialne, kontakty itd.);
  • śledzenie współrzędnych geograficznych;
  • komunikacja z centrum kontroli za pośrednictwem Internetu i wiadomości tekstowych.

 

Jednocześnie, każda wersja dla określonej platformy posiada również kilka specjalnych funkcji. Na przykład FinSpy dla Symbiana potrafi wykonywać zrzuty ekranu; FinSpy dla BlackBerry potrafi również monitorować komunikację za pośrednictwem komunikatora BlackBerry Messenger; wersja dla Androida może włączać i wyłączać tryb samolotowy, FinSpy dla iOSa może zostać zainstalowany z ograniczonym asortymentem urządzeń i określonych unikatowych identyfikatorów, natomiast wersja dla Windows Mobile zmienia polityki bezpieczeństwa.

Ciekawym aspektem wszystkich mobilnych wersji FinSpya jest tworzenie i wykorzystywanie pliku konfiguracyjnego 84c.dat. Wykorzystywane do wygenerowania go mechanizmy różnią się w zależności od systemu operacyjnego, ostatecznie jednak zawiera on dane niezbędne do działania modułu spyware (adres serwera kontroli, numer mobilnego C&C, wykorzystywane porty oraz inne dane).

 

mobile_feb2013_pic12.png
Fragment pliku konfiguracyjnego 84c.dat dla Androida, zaszyfrowany przy użyciu base64

 

Główna funkcja wszystkich modułów mobilnych FinSpy’a nie jest niczym nowym czy unikatowym. Podobny zestaw funkcji widywaliśmy już wielokrotnie w komercyjnym oprogramowaniu spyware takim jak FlexiSpy czy MobileSpy. Tym, co wyróżnia FinSpy’a, jest jego twórca: firma, która jest oficjalnie zarejestrowana w Wielkiej Brytanii i – jak wynika z informacji o firmie zamieszczonych na jej oficjalnej stronie internetowej – rozwija narzędzia do zdalnego monitoringu dla agencji rządowych.

Obecnie nie wiadomo, kto zamówił ataki przy użyciu FinSpy’a ani kim były konkretnie ich ofiary i wszelkie pytania prawdopodobnie pozostaną bez odpowiedzi. Jednak nawet przy braku tych informacji pojawienie się FinSpy’a otworzyło nowy rozdział w historii mobilnego szkodliwego oprogramowania.

Czerwony Październik

Pod koniec 2012 roku jeżeli ktokolwiek miał jeszcze wątpliwości odnośnie znaczenia mobilnego oprogramowania spyware, z pewnością zostały one rozwiane po pojawieniu się informacji o operacjach Czerwony Październik: urządzenia mobilne stały się – podobnie jak konwencjonalne komputery - celem ataków szpiegowskich.

Mamy dowody na to, że stosujące za tą operacją nieznane osoby są zainteresowane przechwytywaniem danych z urządzeń mobilnych. Dostęp do takich informacji mogą uzyskiwać nie tylko przy użyciu mobilnego szkodliwego oprogramowania ale również modułów dla Windowsa, które działają wtedy, gdy urządzenia są podłączone do zainfekowanego komputera. W tej sekcji podsumujemy informacje, jakie posiadamy na temat mobilnych modułów Czerwonego Października, jak również inne dane, które mogą być istotne.

Jeden z modułów Czerwonego Października – RegConn – odpowiada za gromadzenie danych o systemie i informacji o zainstalowanym i wykorzystywanym na zainfekowanym komputerze oprogramowaniu. Dane te są przechwytywane poprzez odczytywanie określonych kluczy rejestru (lista kluczy jest zawarta w samym module). Spośród kluczy wyróżniają się następujące:

 

mobile_feb2013_pic13_auto.png
Klucze rejestru w module RegConn

 

W ten czy inny sposób wszystkie te klucze rejestru są powiązane z oprogramowaniem, które działa z urządzeniami mobilnymi (iTunes, Nokia PC Suite itd.), które może zostać zainstalowane na zainfekowanym komputerze.

Inny komponent Czerwonego Października został stworzony dla iPhone’a. Celem tego modułu jest przechwytywanie informacji ze smartfona, gdy jest podłączony do zainfekowanego nim komputera. Wykorzystuje on plik katalogu iTunes’a CoreFoundation.dll. Warto zauważyć, że moduł ten potrafi uruchomić jedną z dwóch różnych usług: jedną dla telefonów, które poddano jailbreakowi, i jedną dla telefonów, które nie zostały w ten sposób złamane. W obu przypadkach moduł będzie próbował gromadzić:

  • informacje dotyczące samego urządzenia, począwszy od EMEI, a skończywszy na wersji firmware’a;
  • pliki z następującymi rozszerzeniami: .jpg, .jpeg, .txt, .doc, .docx, .xls, .xlsx, .ppt, .pptx, .dot, .dotx, .odt, .djvu, .odts, .reg, .rtf, .zip, .rar, .pdf, .7z, .wab, .pab, .vcf, .ost, .wav, .mp4, .m4a, .amr, .log, .cer, .em, .msg, .arc, .key, .pgp, .gpg;
  • zawartość plików z danymi dotyczącymi wiadomości SMS, kontakty, rejestry połączeń, notatki, kalendarz, pocztę głosową, historię przeglądarki Safari oraz pocztę e-mail.

 

Moduł dla Nokii posiada podobną funkcję i również przechwytuje dane dotyczące samego urządzenia, wiadomości tekstowe i multimedialne, kalendarz, kontakty oraz zainstalowane aplikacje. Ponadto próbuje zlokalizować i przechwycić pliki o następujących rozszerzeniach: .txt, .cdb, .doc, .docx, .xls, .xlsx, .ppt, .pptx, .dot, .dotx, .odt, .djvu, .odts, .reg, .rtf, .zip, .rar, .pdf, .7z, .wab, .pab, .vcf, .ost, .jpg, .waw, .mp4, .m4a, .amr, .exe, .log, .cer, .eml, .msg, .arc, .key, .pgp, .gpg. Wykorzystuje ConnAPI.dll z PC Connectivity Solution w celu interakcji z mobilnymi urządzeniami .

Warto wspomnieć również o komponentach Czerwonego Października, które działają w systemie Windows Mobile. Moduły te można podzielić na dwie grupy:

  1. moduły działające na zainfekowanych komputerach z systemem Windows (wykorzystywane do infekowania/aktualizacji urządzeń z systemem Windows Mobile podłączonych do zainfekowanego komputera);
  2. moduły zainstalowane na podłączonych smartfonach z systemem Windows Mobile przez komponent windowsowy.

 

W przypadku pierwszej grupy, celem nie jest przechwytywanie informacji z podłączonego urządzenia z systemem Windows Mobile, a instalowanie backdoora na smartfonie (lub aktualizacja już zainstalowanego). Komponent backdoora, który instaluje moduł na smartfonie w pierwszej kategorii jest określany w pewnych kręgach jako „zakładka” lub „bookmark”.

Oprócz backdoorów komponent windowsowy pobiera na urządzenia również inne pliki wykonywalne. Takie pliki .exe są wykorzystywane do zmiany konfiguracji urządzenia oraz uruchamiania, uaktualniania i usuwania backdoorów. Potrafią również kopiować specjalny plik konfiguracyjny z .ex (winupdate.cfg) z komputera na smartfon.

Plik ten był pierwotnie zaszyfrowany. Odszyfrowany plik wygląda tak:

 

mobile_feb2013_pic14.png
winupdate.cfg po odszyfrowaniu

 

Plik ten zawiera dane dotyczące kodów MCC/MNC (MCC = Mobile Country Code; MNC = Mobile Network Code – czyli kod państwa i kod dostawcy usług telefonii komórkowej). Doliczyliśmy się łącznie 129 różnych państw i ponad 350 dostawców usług telefonii komórkowej w tych państwach.

Komponent backdoora zakładka ustala MCC/MNC smartfona, a następnie porównuje zebrane dane z danymi z pliku winupdate.cfg i zapisuje wszystko do pliku dziennika.

W swoich operacjach z centrum kontroli (C&C) moduł zakładka próbuje wysłać żądanie POST na adresy centrum kontroli wyszczególnione w module (win-check-update.com lub, jeśli ta domena jest niedostępna, mobile-update.com):

'POST %s HTTP/1.0 Accept: */* User-Agent: Mozilla/4.0 Content-Length: %d Host: %s'

W odpowiedzi moduł ten otrzymuje plik ze zdalnego serwera, który następnie przechowuje w \Windows\%u.exe i uruchamia.

Jeżeli chodzi o domeny C&C – oprócz win-check-update.com i mobile-update.com, Kaspersky Lab wykrył następujące nazwy podejrzanych centrów kontroli:

  • cydiasoft.com
  • htc-mobile-update.com
  • mobile-update.com
  • playgoogle-market.com
  • security-mobile.com
  • world-mobile-congress.com

 

W skrócie, można wysunąć następujące wnioski:

Po pierwsze, wiemy, że istnieje kilka modułów Czerwonego Października, których celem jest kradzież informacji z różnych rodzajów urządzeń mobilnych.

Po drugie, istnieją niebezpośrednie wskazówki (lista kluczy rejestru, nazwy domen) istnienia innych modułów Czerwonego Października stworzonych w celu współpracy z innymi urządzeniami mobilnymi, łącznie z tymi działającymi na Androidzie i BlackBerry. Jednak w momencie publikacji tego artykułu nie wykryliśmy modułów dla tych platform.

Podsumowanie

Od czasu pojawienia się mobilnego szkodliwego oprogramowania każdego roku mają miejsce wydarzenia i incydenty, które wpływają na kolejny etap ewolucji tych zagrożeń – a rok 2012 można uznać za jeden z najbardziej znamiennych. Dlaczego?

Po pierwsze, liczba mobilnych zagrożeń gwałtownie wzrosła w 2012 roku.

Po drugie, Android stał się mobilnym celem numer jeden wśród cyberprzestępców.

Po trzecie, zagrożenia mobilne tworzone są na skalę międzynarodową. Obecnie cyberprzestępcy nie ograniczają się już do użytkowników urządzeń mobilnych w Rosji i Chinach. Poważne incydenty powodujące niemałe szkody miały miejsce w wielu krajach.

Wreszcie, mamy dowód, że urządzenia mobilne oraz przechowywane na nich dane stanowią cel nie tylko zwykłych cyberprzestępców, ale również różnych organizacji stojących za atakami takimi jak Czerwony Październik.