Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Ewolucja mobilnego szkodliwego oprogramowania: 2013

Tagi:

Sektor mobilnego szkodliwego oprogramowania odnotowuje szybki wzrost, zarówno pod względem technologicznym jak i strukturalnym. Można śmiało powiedzieć, że współczesny cyberprzestępca to już nie samotny programista o złych intencjach, ale ogniwo w poważnej operacji biznesowej. 

W branży mobilnego szkodliwego oprogramowania działają różnego rodzaju aktorzy: twórcy wirusów, testerzy, projektanci interfejsów zarówno szkodliwych aplikacji jak i stron internetowych, z których są rozprzestrzeniane, właściciele programów partnerskich służących do rozprzestrzeniania szkodliwego oprogramowania oraz właściciele botnetów mobilnych.  

Podział pracy wśród cyberprzestępców znajduje również odzwierciedlenie w zachowaniu stworzonych przez nich trojanów. W 2013 roku pojawił się dowód na współpracę (prawdopodobnie na skalę komercyjną) pomiędzy różnymi grupami twórców wirusów. Botnet Trojan-SMS.AndroidOS.Opfake.a, oprócz własnej aktywności rozprzestrzenia również trojana o nazwie Trojan-SMS.AndroidOS.Opfake.a, wysyłał do kontaktów z listy ofiary spam zawierający odsyłacz do szkodliwego oprogramowania.   

Nie ma już wątpliwości, że wykształciła się odrębna branża, w której większy nacisk jest położony na zdobywanie zysków, co wyraźnie potwierdza funkcjonalność tego szkodliwego oprogramowania.

Rok 2013 w liczbach

  • W całym 2013 r. wykryto łącznie 143 211 nowych modyfikacji szkodliwych programów, których celem są urządzenia mobilne (według stanu z dnia 1 stycznia 2014 r.)
  • W 2013 r. w celu do rozprzestrzenienia mobilnego szkodliwego oprogramowania cyberprzestępcy wykorzystali 3 905 502 pakietów instalacyjnych. W latach 2012-2013 wykryliśmy łącznie około 10 000 000 unikatowych pakietów instalacyjnych szkodliwego oprogramowania: 

mobile_treats_2013_01_auto.png
Liczba pakietów instalacyjnych wykrytych w latach 2012-2013

Różne pakiety instalacyjne mogą instalować programy z tą samą funkcjonalnością, które różnią się jedynie pod względem interfejsu szkodliwej aplikacji i, na przykład, zawartością rozprzestrzenianych wiadomości tekstowych.

  • Android pozostaje głównym celem szkodliwych ataków. 98,05% wszystkich szkodliwych programów wykrytych w 2013 r. atakowało właśnie tę platformę, potwierdzając zarówno popularność tego mobilnego systemu operacyjnego, jak i istnienie luk w zabezpieczeniach jego architektury. 

mobile_treats_2013_02_auto.png
Rozkład mobilnego szkodliwego oprogramowania wykrytego w 2013 r. według platformy 

  • Większość mobilnego szkodliwego oprogramowania została stworzona w celu kradzieży pieniędzy użytkowników. Do tej grupy należą trojany SMS, jak również wiele backdoorów i trojanów. 

mobile_treats_2013_03.jpg
 Rozkład mobilnego szkodliwego oprogramowania według kategorii

  • Na przestrzeni roku liczba modyfikacji mobilnego szkodliwego oprogramowania wykorzystywanych w celu przeprowadzenia ataków phishingowych, kradzieży informacji dotyczących karty kredytowej oraz pieniędzy zwiększyła się 19,7 razy. W roku 2013 produkty mobilne firmy Kaspersky Lab zapobiegły 2 500 infekcjom ze strony trojanów bankowych.   

Metody i techniki

W 2013 roku zauważyliśmy nie tylko gwałtowny wzrost liczby szkodliwych mobilnych programów, ale również aktywne wykorzystywanie przez cyberprzestępców metod i technik umożliwiających skuteczniejsze wykorzystywanie ich szkodliwego oprogramowania. Można wyróżnić kilka obszarów, w których mobilne szkodliwe oprogramowanie odnotowało postęp.  

Dystrybucja

Cyberprzestępcy niekiedy wykorzystywali niezwykle wyrafinowane metody w celu infekowania urządzeń przenośnych.

Infekowanie legalnych zasobów internetowych pomaga rozprzestrzeniać mobilne szkodliwe oprogramowanie za pośrednictwem popularnych stron internetowych. Coraz więcej właścicieli smartfonów i tabletów odwiedza strony internetowe ze swoich urządzeń, nie wiedząc, że nawet cieszące się dobrą reputacją zasoby mogą paść ofiarą ataku. Według naszych danych, 0,4% stron internetowych odwiedzanych przez użytkowników naszych produktów zostało wcześniej zaatakowanych.  

Rozprzestrzenianie za pośrednictwem nieoficjalnych sklepów z aplikacjami. W Azji działają liczne firmy produkujące urządzenia oparte na Androidzie oraz aplikacje dla tego systemu. Wiele z nich prowadzi własne sklepy z aplikacjami, oferując użytkownikom programy, które nie są dostępne w Google Play. Jedynie symboliczna kontrola aplikacji umieszczanych w takich sklepach oznacza, że osoby atakujące mogą ukryć w aplikacjach trojany, sprawiając, że wyglądają one jak nieszkodliwe gry czy narzędzia. 

Rozprzestrzenianie za pośrednictwem botnetów. Boty zazwyczaj rozprzestrzeniają się samodzielnie poprzez wysyłanie wiadomości tekstowych zawierających szkodliwy odsyłacz na adresy pobrane z książki adresowej ofiary. Odnotowaliśmy również przypadek mobilnego szkodliwego oprogramowania rozprzestrzeniającego się za pośrednictwem botnetu osoby trzeciej.  

Odporność na ochronę przed szkodliwym oprogramowaniem

Możliwość nieprzerwanego działania szkodnika na urządzeniu mobilnym ofiary stanowi istotny aspekt rozwoju szkodliwego oprogramowania. Im dłużej trojan „przetrwa” w smartfonie, tym więcej pieniędzy zarobi dla swojego właściciela. Jest to obszar, nad którym aktywnie pracują twórcy wirusów, czego efektem jest duża liczba innowacji technologicznych.    

Przestępcy w coraz większym stopniu stosują zaciemnianie, tj. celowe działanie polegające na stworzeniu złożonego kodu w celu utrudnienia jego analizy. Im bardziej złożone zaciemnianie, tym więcej czasu zajmie rozwiązaniu antywirusowemu zneutralizowanie szkodliwego kodu. Co istotne, współcześni twórcy wirusów opanowali wykorzystywanie komercyjnych narzędzi do zaciemniania. To oznacza, że poczynili znaczne inwestycje. Na przykład, jedno z takich narządzi, którego koszt wynosi 350 dolarów, zostało wykorzystane w przypadku trojana i Opfak.bo Obad.a   

Luki w zabezpieczeniach systemu Android są wykorzystywane przez cyberprzestępców do trzech głównych celów: obejście kontroli integralności kodu podczas instalowania aplikacji (luka Master Key); zwiększenie przywilejów szkodliwych aplikacji, co pozwala znacznie rozszerzyć ich możliwości; oraz utrudnienie usuwania szkodliwego oprogramowania. Na przykład, Svpeng wykorzystuje nieznaną wcześniej lukę w celu zabezpieczenia się przed ręcznym usunięciem lub przy użyciu programu antywirusowego.     

Cyberprzestępcy wykorzystują również lukę Master Key i nauczyli się osadzać niepodpisane pliki wykonywalne w pakietach instalacyjnych Androida. Weryfikację podpisu cyfrowego można obejść poprzez nadanie szkodliwemu plikowi dokładnie takiej samej nazwy, jaką posiada legalny plik oraz umieszczenia go na tym samym poziomie w archiwum. System weryfikuje podpis legalnego pliku, ale instaluje szkodliwy plik.    

Niestety, specyficzna cecha luk w systemie Android sprawia, że można je usunąć jedynie poprzez otrzymanie aktualizacji od producentów urządzenia. Jednak wielu użytkowników nie spieszy się z aktualizacją systemów operacyjnych swoich produktów. Jeżeli smartfon lub tablet został wprowadzony do sprzedaży ponad rok temu, prawdopodobnie nie jest już objęty wsparciem producenta, który nie dostarcza już łat dla luk. W takim przypadku jedyna pomoc może przyjść ze strony rozwiązania antywirusowego, np. Kaspersky Internet Security for Android.    

Osadzanie szkodliwego kodu w legalnych programach pomaga ukryć infekcję przed ofiarą. Naturalnie nie oznacza to, że można wykorzystać podpis cyfrowy twórcy oprogramowania. Ponieważ jednak nie istnieją centra certyfikacji weryfikujące podpis cyfrowy programów dla Androida, nic nie stoi cyberprzestępcom na przeszkodzie, aby dodać własny podpis. W efekcie, może okazać się, że kopia Angry Birds pobrana z nieoficjalnego sklepu z aplikacjami lub z forum może zawierać szkodliwą funkcjonalność.     

Możliwości i funkcjonalność

W 2013 r. wykryliśmy kilka innowacji technologicznych opracowanych i wykorzystywanych przez przestępców w szkodliwym oprogramowaniu. Poniżej znajdują się opisy kilku najbardziej interesujących.

Kontrola szkodliwego oprogramowania z jednego centrum zapewnia maksymalną elastyczność. Na botnetach można zarobić znacznie więcej pieniędzy niż na autonomicznych trojanach. Nie jest zatem niespodzianką, że wiele trojanów SMS zawiera funkcjonalność bota. Według naszych szacunków, około 60% mobilnego szkodliwego oprogramowania stanowi elementy zarówno dużych jak i małych botnetów mobilnych.   

Przy użyciu Google Cloud Messaging właściciele botnetu mogą obsługiwać go bez wykorzystywania serwera kontroli (C&C), co eliminuje ryzyko wykrycia i zablokowania botnetu przez organy ścigania. Google Cloud Messaging służy do wysyłania krótkich wiadomości (do 4 KB) na urządzenia mobilne za pośrednictwem usług Google. Deweloper musi tylko zarejestrować się i uzyskać niepowtarzalny identyfikator dla swoich aplikacji. Polecenia otrzymywane za pośrednictwem GCM nie mogą być natychmiast zablokowane na zainfekowanym urządzeniu.      

Wykryliśmy kilka szkodliwych programów wykorzystujących GCM w celu kontroli – są to m.in. szeroko rozpowszechniony Trojan-SMS.AndroidOS.FakeInst.a, Trojan-SMS.AndroidOS.Agent.ao i Trojan-SMS.AndroidOS.OpFake.a. Google aktywnie walczy z wykorzystywaniem swojej usługi do takich celów, niezwłocznie reagując na doniesienia od firm antywirusowych i blokując identyfikatory cyberprzestępców.   

Ataki na system Windows XP pozwalają mobilnemu szkodliwemu oprogramowaniu zainfekować komputer PC po podłączeniu do niego smartfona lub tabletu. Na początku 2013 roku wykryliśmy dwie identyczne aplikacje w sklepie Google Play, które miały rzekomo wyczyścić system operacyjny urządzeń z Androidem z niepotrzebnych procesów. W rzeczywistości, celem takich aplikacji było pobieranie pliku autorun.inf, pliku ikonki oraz pliku win32-Trojan, który mobilny szkodliwy program lokalizuje w katalogu głównym karty SD. Po połączeniu smartfona w trybie emulacji dysku USB do komputera działającego pod kontrolą Windows XP system automatycznie uruchamia trojana (jeśli nie został wyłączony AutoPlay na nośnikach zewnętrznych) i zostaje zainfekowany. Trojan ten pozwala przestępcom zdalnie kontrolować komputer ofiary i potrafi nagrywać dźwięk z mikrofonu. Podkreślamy, że taka metoda ataku działa tylko z wersjami systemu Windows XP oraz z Androidem wcześniejszym niż 2.2.             

Najbardziej zaawansowanymi mobilnymi szkodliwymi programami są dzisiaj trojany atakujące konta użytkowników banków – które stanowią najatrakcyjniejsze źródło przychodów przestępców.  

Trend roku: mobilne trojany bankowe

Rok 2013 odznaczał się gwałtownym wzrostem liczby trojanów bankowych dla Androida. Cyberprzemysł mobilnego szkodliwego oprogramowania w coraz większym stopniu koncentruje się na generowaniu zysków w sposób bardziej efektywny, tj. poprzez mobilny phishing, kradzież informacji dotyczących kart kredytowych, przelewanie pieniędzy z kart bankowych na telefony mobilne oraz z telefonów do elektronicznych portfeli przestępców. Cyberprzestępcy mają „obsesję” na punkcie tej metody uzyskiwania nielegalnych dochodów: na początku roku znaliśmy jedynie 67 trojanów bankowych, jednak już pod koniec roku istniało już 1 321 unikatowych próbek. Produkty mobilne firmy Kaspersky Lab zapobiegły 2 500 infekcjom, których sprawcami były trojany bankowe.    

mobile_treats_2013_04_auto.png
Liczba mobilnych trojanów bankowych w naszej kolekcji

Mobilne trojany bankowe mogą współdziałać z trojanami Win-32, aby obejść uwierzytelnienie dwuskładnikowe – czy dokonać kradzieży mTAN (kradzież kodów weryfikacji bankowej wysyłanych przez banki do swoich klientów w wiadomościach SMS). Jednak w 2013 r. autonomiczne mobilne trojany bankowe rozwinęły się jeszcze dalej. Obecnie trojany te atakują ograniczoną liczbę klientów banków, spodziewamy się jednak, że cyberprzestępcy opracują nowe techniki, które pozwolą im zwiększyć liczbę i zasięg geograficzny potencjalnych ofiar.      

mobile_treats_2013_05_auto.png
Infekcje spowodowane przez mobilne trojany bankowe

Obecnie celem większości ataków przy użyciu trojanów bankowych są użytkownicy z Rosji i Wspólnoty Niepodległych Państw. Jednak taka sytuacja nie potrwa długo: biorąc pod uwagę zainteresowanie cyberprzestępców kontami bankowymi użytkowników, spodziewamy się, że w 2014 r. aktywność mobilnych trojanów bankowych wzrośnie również w innych państwach.  

Jak już wspominaliśmy wcześniej, trojany bankowe są prawdopodobnie najbardziej złożone  spośród wszystkich zagrożeń mobilnych, a Svpeng to jeden z najbardziej znamiennych przykładów.  

Svpeng

W połowie lipca wykryliśmy program o nazwie Trojan-SMS.AndroidOS.Svpeng.a, który, w przeciwieństwie do swoich trojańskich odpowiedników SMS-owych, jest wykorzystywany głównie do kradzieży pieniędzy z konta bankowego ofiary zamiast z jego telefonu komórkowego. Nie może funkcjonować niezależnie i działa zgodnie z poleceniami otrzymywanymi z serwera kontroli (C&C). Szkodnik ten rozprzestrzenia się za pośrednictwem spamu SMS oraz ze zhakowanych legalnych stron, które przekierowują użytkowników mobilnych do szkodliwego zasobu. Tam użytkownik jest nakłaniany do pobrania i zainstalowania trojana imitującego aktualizację Adobe Flash Playera. 

Svpeng potrafi robić wiele rzeczy.

Zbiera informacje o smartfonie (IMEI, państwo, dostawca usługi, język systemu operacyjnego) i wysyła je do hosta za pośrednictwem protokołu HTTP POST. Jest to konieczne w celu określenia liczby banków, z jakich może korzystać ofiara. Obecnie Svpeng atakuje jedynie klientów rosyjskich banków. Cyberprzestępcy zwykle najpierw testują technologię na rosyjskim sektorze internetu, a dopiero potem wprowadzają ją na skalę globalną, atakując użytkowników w innych państwach.      

Kradnie wiadomości SMS i informacje o połączeniach głosowych. Pomaga osobie atakującej ustalić, do których banków dzwoni właściciel smartfona – trojan otrzymuje listę numerów telefonu banków ze swojego serwera kontroli (C&C).

Kradnie pieniądze z konta bankowego ofiary. W Rosji niektóre duże banki oferują swoim klientom specjalną usługę, dzięki której mogą oni przelać pieniądze ze swojej karty bankowej na konto swojego telefonu komórkowego. Klienci muszą wysłać wiadomość tekstową ze swojego telefonu na określony numer konta bankowego. Svpeng wysyła odpowiednie wiadomości do serwisów SMS dwóch banków. W ten sposób chce sprawdzić, czy karty z tych banków są powiązane z numerem zainfekowanego telefonu, i dowiedzieć się, jakie jest saldo na rachunku. Jeżeli telefon jest powiązany z kartą bankową, z serwera kontroli (C&C) wysyłane są polecenia zawierające instrukcje przelania pieniędzy z konta bankowego użytkownika na jego konto mobilne. Następnie cyberprzestępcy przelewają te pieniądze do cyfrowego portfela lub na numer premium i deponują je. 

Kradnie loginy i hasła do kont systemów bankowości online, podmieniając okno wyświetlane przez aplikację bankową. Obecnie jego celem są wyłącznie banki rosyjskie, jednak technologia wykorzystywana przez Svpenga może łatwo zostać wykorzystana w odniesieniu do innych aplikacji bankowych.         

Kradnie informacje dotyczące kart bankowych (numer, data wygaśnięcia, CVC2/CVV2), imitując proces rejestracji karty bankowej w Google Play. Jeżeli użytkownik uruchomił Play Market, trojan przechwytuje to zdarzenie i wyświetla na górze okna Google Play pole zachęcające do podania danych dotyczących karty bankowej w fałszywym oknie. Dane wprowadzone przez użytkownika zostają wysłane cyberprzestępcom.    

mobile_treats_2013_06_auto.png

Wyłudza pieniądze od użytkowników, grożąc zablokowaniem smartfona: wyświetla komunikat z żądaniem wpłacenia 500 dolarów amerykańskich za odblokowanie urządzenia. W rzeczywistości trojan niczego nie blokuje i telefon może być bez problemów wykorzystywany.      

Ukrywa ślady swojej aktywności, maskując wiadomości wychodzące i przychodzące i blokując połączenia oraz wiadomości z numerów należących do banku. Trojan pobiera listę numerów telefonów banku z serwera kontroli (C&C). 

Zabezpiecza się przed usunięciem, żądając podczas instalacji praw administratora urządzenia. W efekcie przycisk usunięcia trojana z listy aplikacji staje się nieaktywny, co dla niedoświadczonych użytkowników może stanowić problem. Bez użycia wyspecjalizowanych narzędzi (takich jak Kaspersky Internet Security for Android) nie da się pozbawić trojana takich przywilejów. Aby zabezpieczyć się przed usunięciem, Svpeng wykorzystuje nieznaną wcześniej lukę w zabezpieczeniach Androida. Szkodnik wykorzystuje tę samą sztuczkę, aby uniemożliwić przywrócenie ustawień fabrycznych smartfona.      

Trojan ten jest rozprzestrzeniany w Rosji i krajach Wspólnoty Niepodległych Państw. Jednak, jak już wspomnieliśmy wcześniej, przestępcy mogliby z łatwością skierować uwagę na użytkowników w innych krajach.

Perkele i Wroba

Trojan dla Androida o nazwie Perkele atakuje nie tylko użytkowników rosyjskich, ale również klientów kilku europejskich banków. Szkodnik ten jest interesujący głównie dlatego, że działa we współpracy z różnymi trojanami bankowymi dla 32-bitowych systemów Windows. Jego głównym zadaniem jest obejście uwierzytelnienia dwuskładnikowego klienta w systemie bankowości online.   

Ze względu na specyficzny charakter swojego działania Perkele jest rozprzestrzeniany w raczej nietypowy sposób. Gdy użytkownik wejdzie na stronę internetową banku na komputerze, który został zainfekowany szkodliwym oprogramowaniem bankowym (ZeuS, Citadel), do kodu strony uwierzytelniania wstrzykiwane jest zapytanie o numer smartfona oraz typ systemu operacyjnego. Dane te są niezwłocznie wysyłane cyberprzestępcom, a komputer wyświetla kod QR zawierający odsyłacz do rzekomego certyfikatu systemu bankowości online. Po przeskanowaniu kodu QR i zainstalowaniu pobranego z odsyłacza komponentu użytkownik infekuje smartfon programem trojańskim, który posiada funkcjonalność o istotnym znaczeniu dla osób atakujących.  

Perkele przechwytuje kody mTAN (jednorazowe kody potwierdzające operacje bankowe) wysyłane przez bank za pośrednictwem wiadomości tekstowej. Wykorzystując login i hasło, które zostały skradzione z przeglądarki, trojan przeznaczony dla systemu Windows inicjuje fałszywą transakcję, podczas gdy Perkele przechwytuje (poprzez serwer kontroli) kod mTAN wysyłany przez bank do użytkownika. W ten sposób pieniądze znikają z konta ofiary i zostają zdeponowane bez wiedzy właściciela konta. 

Koreańskie szkodliwe oprogramowanie Wroba, oprócz tradycyjnego wektora infekcji poprzez serwisy współdzielenia plików, rozprzestrzenia się za pośrednictwem nieoficjalnych sklepów z aplikacjami. Po zainfekowaniu urządzenia Wroba zachowuje się bardzo agresywnie. Szuka aplikacji bankowości mobilnej, usuwa je i umieszcza fałszywe wersje. Na pierwszy rzut oka aplikacji tych nie da się odróżnić od legalnych. Nie posiadają jednak funkcji bankowych, a jedynie kradną loginy i hasła podawane przez użytkowników.

Top 10 mobilnych zagrożeń wykrytych w 2013 r.

 

Nazwa*

% wszystkich ataków

1

DangerousObject.Multi.Generic

40,42%

2

Trojan-SMS.AndroidOS.OpFake.bo

21,77%

3

AdWare.AndroidOS.Ganlet.a

12,40%

4

Trojan-SMS.AndroidOS.FakeInst.a

10,37%

5

RiskTool.AndroidOS.SMSreg.cw

8,80%

6

Trojan-SMS.AndroidOS.Agent.u

8,03%

7

Trojan-SMS.AndroidOS.OpFake.a

5,49%

8

Trojan.AndroidOS.Plangton.a

5,37%

9

Trojan.AndroidOS.MTK.a

4,25%

10

AdWare.AndroidOS.Hamob.a

3,39% 

1. DangerousObject.Multi.Generic. Werdykt ten oznacza, że jesteśmy świadomi szkodliwego charakteru aplikacji, ale z tego czy innego powodu nie dostarczyliśmy naszym użytkownikom sygnatur umożliwiających jej wykrycie. W takich wypadkach wykrycie jest możliwe poprzez technologie chmury zaimplementowane przez firmę w sieci Kaspersky Security Network, która pozwala naszym produktom zminimalizować czas potrzebny na reakcję na nowe i nieznane zagrożenia.    

2. Trojan-SMS.AndroidOS.OpFake.bo. Jest to jeden z najbardziej wyrafinowanych trojanów SMS. Wyróżnia go dobrze zaprojektowany interfejs oraz chciwość jego twórców. Po uruchomieniu trojan kradnie pieniądze właściciela urządzenia mobilnego – od 9 dolarów do całej kwoty na koncie użytkownika. Istnieje również ryzyko, że numer telefonu użytkownika zostanie zdyskredytowany, ponieważ trojan potrafi pobrać numery z listy kontaktów i wysłać  na nie wiadomości SMS. Celem tego szkodnika są głównie osoby rosyjskojęzyczne i użytkownicy z państw Wspólnoty Niepodległych Państw.     

3. AdWare.AndroidOS.Ganlet.a. Moduł reklamowy, który posiada funkcjonalność niezbędną do zainstalowania innych aplikacji.

4. Trojan-SMS.AndroidOS.FakeInst.a. Szkodnik ten ewoluował w ciągu ostatnich dwóch lat z prostego trojana SMS do w pełni funkcjonalnego bota kontrolowanego za pośrednictwem różnych kanałów (w tym Google Cloud Messaging). Trojan ten potrafi kraść pieniądze z konta użytkownika i wysyłać wiadomości na numery znajdujące się na liście kontaktów ofiary.

5. RiskTool.AndroidOS.SMSreg.cw. Ten moduł płatności jest szeroko rozpowszechniony w Chinach. Jest elementem różnych gier, w których stanowi moduł umożliwiający dokonywanie zakupów online za pośrednictwem SMS-ów w ramach aplikacji. Usuwa on, bez wiedzy użytkownika, wiadomości potwierdzające z systemu rozliczeń. Ofiary nie mają pojęcia, że z ich urządzenia mobilnego zostały skradzione pieniądze, dopóki nie sprawdzą salda. 

6. Trojan-SMS.AndroidOS.Agent.u. Jest to pierwszy trojan, który wykorzystał lukę w zabezpieczeniu systemu Android w celu uzyskania przywilejów administratora urządzenia, co znacznie utrudniało usunięcie go. Ponadto, szkodnik ten potrafi odrzucić połączenia przychodzące i samodzielnie wykonywać połączenia telefoniczne. Potencjalne szkody: wysyłanie dużej liczby wiadomości SMS o całkowitym koszcie 9 dolarów lub wyższym.    

7. Trojan.AndroidOS.Plangton.a. Ten moduł reklamowy wysyła prywatne informacje użytkownika (bez jego zgody) na serwer „reklamowy”, tak aby wydawało się, że jest to ukierunkowana kampania reklamowa. Wyrządzone przez niego szkody obejmują dyskredytację numeru komórkowego użytkownika, konta w Google oraz innych danych. Trojan ten zmienia również w losowy sposób stronę główną przeglądarki i dodaje zakładki reklamowe.    

8. Trojan-SMS.AndroidOS.OpFake.a. Ten wielofunkcyjny bot pomaga w rozprzestrzenianiu zaawansowanego szkodliwego oprogramowania dla systemu Android o nazwie Backdoor.AndroidOS.Obad.a. Połączenie obu tych szkodników jest niezwykle niebezpieczne ze względu na:  

  • Szeroki zakres możliwości: kradzież tożsamości, wysyłanie wiadomości tekstowych na dowolny numer. Zainstalowanie tego rodzaju aplikacji może spowodować kradzież pieniędzy z konta mobilnego. Może również spowodować utratę dobrego imienia właściciela numeru, w przypadku gdy jego numery kontaktowe zostaną wykorzystane do wysyłania wiadomości tekstowych. Ponadto lista kontaktów zostanie wysłana do serwera przestępców.
  • Bardzo złożone mechanizmy autoochrony oraz środki zapobiegające usunięciu. Z powodu wykorzystania luki w systemie Android trojan ten nie może zostać usunięty bez użycia specjalnego programu, takiego jak Kaspersky Internet Security for Android.   

Należy wspomnieć, że zasięg występowania szkodnika o nazwie Trojan-SMS.AndroidOS.OpFake.a obejmuje większy obszar geograficzny niż w przypadku pozostałych liderów zestawienia Top 10. Często odnotowujemy próby zainfekowania urządzeń nie tylko w krajach Wspólnoty Niepodległych Państw, ale również w Europie.   

9. Trojan.AndroidOS.MTK.a. Jest to wyrafinowany program trojański o szerokiej funkcjonalności i wyrafinowanych metodach szyfrowania. Jego głównym zadaniem jest uruchomienie szkodliwych aplikacji, które zostały pobrane na zainfekowane urządzenie.  

10. AdWare.AndroidOS.Hamob.a to aplikacja, która imituje legalne programy (wykorzystując w tym celu nazwę i ikonę, np. WinRAR), podczas gdy jej funkcjonalność ogranicza się jedynie do  wyświetlania reklam.

W zestawieniu Top 10 znalazły się cztery trojany SMS. Jednak niektóre z nich posiadają mechanizmy kontroli pozwalające zmienić zainfekowane urządzenia w boty. 

Geografia zagrożeń 

mobile_treats_2013_07_auto.png
Państwa, w których użytkownicy napotykają na największe ryzyko infekcji mobilnym szkodliwym oprogramowaniem (odsetek wszystkich zaatakowanych użytkowników) 

TOP 10 państw według liczby zaatakowanych użytkowników: 

 

Państwo

% wszystkich zaatakowanych użytkowników

1

Rosja

40,34%

2

Indie

7,90%

3

Wietnam

3,96%

4

Ukraina

3,84%

5

Wielka Brytania

3,42%

6

Niemcy

3,20%

7

Kazachstan

2,88%

8

Stany Zjednoczone

2,13%

9

Malezja

2,12%

10

Iran

2,01% 

Zagrożenia mobilne posiadają regionalne cechy specyficzne – osoby atakujące wykorzystują różne kategorie mobilnego szkodliwego oprogramowania w zależności od regionu lub państwa. Poniżej przedstawiono kilka przykładów rozkładu mobilnego szkodliwego oprogramowania według państwa.

Rosja

W Rosji cyberprzestępczość mobilna jest szczególnie rozpowszechniona – 40,3% wszystkich użytkowników zaatakowanych na całym świecie w 2013 r. znajdowała się w tym państwie.

Top 5 rodzin mobilnego szkodliwego oprogramowania rozprzestrzenianego w Rosji

Rodzina

% wszystkich zaatakowanych użytkowników

Trojan-SMS.AndroidOS.OpFake

40,19%

Trojan-SMS.AndroidOS.FakeInst

28,57%

Trojan-SMS.AndroidOS.Agent

27,11%

DangerousObject.Multi.Generic

25,30%

Trojan-SMS.AndroidOS.Stealer

15,98%

W 2013 r. Rosja po raz kolejny znalazła się na prowadzeniu pod względem liczby infekcji trojanami SMS i obecnie nic nie wskazuje na to, że sytuacja ulegnie poprawie. Jak już wspomniano wcześniej, celem większości mobilnych trojanów bankowych są użytkownicy rosyjscy.      

Rosja i kraje Wspólnoty Niepodległych Państw często pełnią funkcję poligonu doświadczalnego dla nowych technologii: udoskonaliwszy swoje technologie w rosyjskojęzycznym sektorze internetu, cyberprzestępcy kierują uwagę na użytkowników z innych państw.   

Niemcy

Niemcy to jedno z państw Europy Zachodniej, w którym trojany SMS są dość aktywne. W 2013 r. Europa była wyraźnie celem rosyjskich twórców wirusów, ponieważ ich oszustwa wykorzystujące wiadomości tekstowe wysyłane na numery premium sprawdzają się w tym regionie. W Niemczech odnotowujemy ciągłe próby infekcji za pomocą trojanów SMS, zwłaszcza rodziny Agent.   

Trojany bankowości mobilnej również są aktywnie wykorzystywane w tym kraju: Niemcy znajdują się na pierwszym miejscu wśród państw Europy Zachodniej pod względem liczby zaatakowanych użytkowników (6 miejsce w rankingu ogólnoświatowym).  

Top 5 rodzin mobilnego szkodliwego oprogramowania rozprzestrzenianego w Niemczech

Rodzina

% wszystkich zaatakowanych użytkowników

RiskTool.AndroidOS.SMSreg

25,88%

DangerousObject.Multi.Generic

20,83%

Trojan-SMS.AndroidOS.Agent

9,25%

Trojan.AndroidOS.MTK

8,58%

AdWare.AndroidOS.Ganlet

5,92%

Stany Zjednoczone

Inaczej wygląda sytuacja w Stanach Zjednoczonych. Nie ma tu oszustw, których celem są zyski finansowe, wykorzystujących wiadomości tekstowe, co oznacza brak wyraźnej dominacji mobilnych trojanów SMS. Wśród liderów znajdują się boty zbierające dane dotyczące zainfekowanych smartfonów.

Top 5 rodzin mobilnego szkodliwego oprogramowania rozprzestrzenianego w Stanach Zjednoczonych

Rodzina

% wszystkich zaatakowanych użytkowników  

DangerousObject.Multi.Generic

19,75%

RiskTool.AndroidOS.SMSreg

19,24%

Monitor.AndroidOS.Walien

11,24%

Backdoor.AndroidOS.GinMaster

8,05%

AdWare.AndroidOS.Ganlet

7,29%

Chiny

W Chinach obserwujemy dużą liczbę modułów reklamowych zintegrowanych z „czystymi”, a nawet szkodliwymi aplikacjami. Moduły reklamowe posiadają różnorodne funkcje, obejmujące nawet pobieranie szkodliwego oprogramowania na telefon ofiary. W Chinach bardzo popularne są również trojany SMS oraz backdoory.   

Top 5 rodzin mobilnego szkodliwego oprogramowania rozprzestrzenianego w Chinach

Rodzina

% wszystkich zaatakowanych użytkowników

RiskTool.AndroidOS.SMSreg

46,43%

AdWare.AndroidOS.Dowgin

19,18%

DangerousObject.Multi.Generic

13,89%

Trojan-SMS.AndroidOS.Agent

10,55%

Trojan.AndroidOS.MTK

10,13%

Podsumowanie

Szkodliwe oprogramowanie atakujące użytkowników kont bankowości mobilnej nadal rozwija się i liczba takich programów szybko rośnie. Nie ma wątpliwości, że trend ten utrzyma się i pojawi się więcej mobilnych trojanów bankowych oraz nowych technologii stworzonych w celu uniknięcia wykrycia oraz usunięcia. 

Spośród wszystkich próbek mobilnego szkodliwego oprogramowania wykrytych w 2013 r. boty stanowiły najliczniejszą kategorię. Osoby atakujące wyraźnie dostrzegają korzyści, jakie niosą botnety mobilne jeśli chodzi o generowanie zysków. W najbliższej przyszłości mogą pojawić się nowe mechanizmy kontroli botnetów mobilnych.

W 2014 r. spodziewamy się aktywnego wykorzystywania wszelkiego rodzaju luk w zabezpieczeniach, zapewniających szkodliwemu oprogramowaniu dostęp do urządzeń na poziomie praw administratora, co jeszcze bardziej utrudnia usunięcie szkodnika.

W 2013 r. miał miejsce pierwszy atak szkodliwego oprogramowania na komputer PC przeprowadzony z urządzenia mobilnego. Przewidujemy, że w przyszłości będą przeprowadzane ataki Wi-Fi z urządzeń mobilnych na sąsiadujące stacje robocze oraz szerszą infrastrukturę.

Trojany SMS zostaną prawdopodobnie liderami wśród mobilnego szkodliwego oprogramowania, a nawet zdobędą nowe terytoria.