Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Ewolucja mobilnego szkodliwego oprogramowania w 2015 r.

Tagi:

Rok w liczbach

W 2015 roku Kaspersky Lab wykrył następujące szkodniki:

  • 2 961 727 szkodliwych pakietów instalacyjnych
  • 884 774 nowych szkodliwych programów mobilnych – trzykrotny wzrost w stosunku do poprzedniego roku
  • 7 030 mobilnych trojanów bankowych

Trendy roku

  • Wzrost liczby szkodliwych załączników niemożliwych do usunięcia przez użytkownika.
  • Aktywne wykorzystywanie przez cyberprzestępców okien phishingowych w celu ukrywania legalnych aplikacji.  
  • Wzrost ilości oprogramowania ransomware.
  • Programy wykorzystujące prawa super użytkownika w celu wyświetlania agresywnych reklam.
  • Wzrost ilości szkodliwego oprogramowania dla systemu iOS.

Główne metody zarabiania pieniędzy

Mobilne szkodliwe oprogramowanie nadal ewoluuje w kierunku monetyzacji, a twórcy szkodliwego oprogramowania starają się, aby ich twory potrafiły zarabiać pieniądze na ich ofiarach.

Kradzież pieniędzy z kont bankowych użytkowników

Trojany mobilne atakujące konta bankowe użytkowników nadal rozwijają się – w 2015 roku wykryliśmy 7 030 nowych mobilnych trojanów bankowych. Niektóre szkodliwe programy mobilne współdziałają z trojanami opartymi na systemie Windows w celu przechwytywania haseł mTAN (jednorazowych haseł wykorzystywanych do uwierzytelnienia dwuskładnikowego), które służą do uwierzytelniania transakcji bankowych. Wiele innych programów mobilnych służących do kradzieży pieniędzy z kont bankowych użytkowników działa niezależnie.  

Część szkodliwego oprogramowania mobilnego potrafi przykryć ekran legalnej aplikacji bankowej oknem phishingowym, które imituje aplikację. Najbardziej znanymi przykładami tego typu programów są trojan Trojan-SMS.AndroidOS.OpFake.cc oraz przedstawiciele rodziny Trojan-Banker.AndroidOS.Acecard. Jedna z modyfikacji OpFake.cc potrafi imitować interfejs ponad 100 legalnych aplikacji bankowych i finansowych. Rodzina Acecard potrafi podszywać się pod co najmniej 30 aplikacji bankowych i posiada również funkcjonalność nakładania dowolnej aplikacji wskazanej przez serwer kontroli C&C.   

W II kwartale 2015 roku pisaliśmy o szkodniku o nazwie Trojan-Spy.AndroidOS.SmsThief.fc, którego szkodliwy kod został osadzony w legalnej aplikacji bankowej, nie wpływając na jej działanie. Dzięki temu prawdopodobieństwo wykrycia szkodliwego oprogramowania przez użytkownika było bardzo niewielkie.   

Autorzy mobilnego szkodliwego oprogramowania wykazują coraz bardziej zintegrowane podejście do kradzieży pieniędzy, które nie ogranicza się już do specjalnych trojanów bankowych atakujących aplikacje bankowe.

Przykładem takiego podejścia jest Trojan-SMS.AndroidOS.FakeInst.ep. Użytkownik widzi komunikat, pochodzący rzekomo od Google, nakazujący otwarcie Google Wallet oraz przejście procedury „identyfikacji”, która obejmuje podanie danych dotyczących karty kredytowej (jednym z podanych powodów jest konieczność zwalczania cyberprzestępczości). Okna nie można usunąć, dopóki ofiara nie wprowadzi swoich danych dotyczących karty kredytowej.   

mobile_vir_2015_ru_1_auto.jpg

Dane podane przez użytkowników zostaną wysłane osobom atakującym, a okno - zamknięte. Tymczasem trojan nadal będzie kradł informacje i wysyłał dodatkowe informacje swoim właścicielom dotyczące smartfonu i jego użytkownika.   

Na tle hamującego wzrostu liczby wyspecjalizowanych trojanów bankowych rośnie łączna liczba aplikacji potrafiących kraść pieniądze użytkowników. Jednocześnie trojany bankowe stają się bardziej wyrafinowane i wszechstronne – często potrafią zaatakować klientów kilkudziesięciu banków zlokalizowanych w różnych państwach. To oznacza, że cyberprzestępcy nie potrzebują wielu różnych plików, aby atakować klientów różnych banków.  

Ransomware

Liczba rodzin trojanów ransomware podwoiła się w 2015 roku w stosunku do zeszłego roku, podczas gdy liczba wykrytych modyfikacji wzrosła 3,5 raza. To oznacza, że niektórzy przestępcy przechodzą na stosowanie ransomware w celu kradzieży pieniędzy, a ci, którzy już wcześniej je wykorzystywali, nadal tworzą nowe wersje tego szkodliwego oprogramowania. Kolejnym kluczowym wskaźnikiem potwierdzającym znaczenie zagrożenia tej klasy jest liczba osób, które zostały zaatakowane: w 2015 roku liczba ta zwiększyła się pięciokrotnie.   

W większości przypadków zablokowania urządzenia przez takie trojany, użytkownik zostaje oskarżany o popełnienie jakiegoś rzekomego wykroczenia i musi zapłacić w celu odblokowania urządzenia – okup może wynosić od 12 do 100 dolarów. Zablokowane urządzenie staje się bezużyteczne – użytkownik widzi tylko okno z żądaniem okupu. Niektóre trojany potrafią nakładać się na systemowe okna dialogowe, w tym te służące do wyłączenia telefonu.   

mobile_vir_2015_ru_2.png

Okno otwarte przez Fusob

Pod koniec roku wykryliśmy kilka trojanów downloaderów pobierających do systemu oprogramowanie Ransom.AndroidOS.Pletor. Szkodniki te wykorzystują luki w systemie w celu uzyskania przywilejów super użytkownika na urządzeniu i zainstalowania oprogramowania typu trojan ransomware w folderze systemowym. Po zainstalowaniu trojan jest niemal nieusuwalny.     

Trojany SMS pozostają poważnym zagrożeniem, szczególnie w Rosji. Programy te wysyłają bez wiedzy użytkownika płatne wiadomości tekstowe z zainfekowanego urządzenia. Chociaż ich udział w łącznym ruchu zagrożeń mobilnych ciągle spada, absolutna liczba trojanów SMS nadal jest znacząca. 

Niektóre trojany SMS nie ograniczają się do wysyłania wiadomości tekstowych na numery premium; potrafią również połączyć użytkownika z płatnymi subskrypcjami. W 2015 roku monitorowaliśmy rozwój szkodnika o nazwie Trojan-SMS.AndroidOS.Podec – który nadal stanowi jednego z najpopularniejszych trojanów wśród cyberprzestępców. Trojan ten posiada nietypową funkcję: jego główna metoda monetyzacji obejmuje płatne subskrypcje. Szkodnik potrafi obchodzić mechanizm Captcha, a jego najnowsze modyfikacje „utraciły” możliwość wysyłania wiadomości tekstowych, ponieważ jego twórcy skoncentrowali się na subskrypcjach.        

Agresywna reklama

W 2015 roku odnotowaliśmy wzrost liczby programów, które wykorzystują reklamę jako główny sposób monetyzacji. Trendem roku były trojany wykorzystujące przywileje super użytkownika. W pierwszym kwartale 2015 roku ranking TOP 20 mobilnego szkodliwego oprogramowania zawierał tylko jednego trojana tego typu; pod koniec roku stanowiły one ponad połowę rankingu. Chociaż ich celem jest pobieranie i instalowanie aplikacji reklamujących bez wiedzy użytkownika, trojany te mogą spowodować wiele problemów. Po zainstalowaniu próbują uzyskać dostęp do urządzenia na poziomie administratora i zainstalować własne komponenty w systemie, co utrudnia ich usunięcie. Niektóre z nich pozostają na smartfonie nawet po przywróceniu ustawień fabrycznych. W efekcie, użytkownik zostaje zasypany irytującymi reklamami na swoim urządzeniu. Mogą również bez wiedzy użytkownika instalować na urządzeniu wiele innych programów, w tym szkodliwych. Znane są przypadki, gdy tego rodzaju programy były rozprzestrzeniane za pośrednictwem oficjalnego firmware’u urządzeń lub preinstalowane na nowych telefonach.     

Szkodliwe oprogramowanie w oficjalnych sklepach

Na początku października 2015 roku trafiliśmy na kilka trojanów w oficjalnym sklepie Google Play Store, które kradły hasła użytkowników z rosyjskiego portalu społecznościowego VKontakte. Były to Trojan-PSW.AndroidOS.MyVk.a oraz Trojan-PSW.AndroidOS.Vkezo.a. Mniej więcej miesiąc później wykryliśmy nową modyfikację trojana Vkezo, który również był rozprzestrzeniany za pośrednictwem Google Play Store. Osoby atakujące opublikowały te trojany 10 razy w oficjalnym sklepie z aplikacjami pod różnymi nazwami w przeciągu kilku miesięcy. Liczba pobrań wszystkich wersji wahała się od 100 000 do 500 000. Kolejnym trojanem wykrytym w sklepie Google Play Store był Trojan-Downloader.AndroidOS.Leech; ten szkodnik również został pobrany od 100 000 do 500 000 razy.

Szkodliwe oprogramowanie dla systemu iOS

W 2015 roku liczba szkodliwych programów dla systemu iOS zwiększyła się o 2,1 raza w porównaniu z 2014 rokiem.  

Niedawne pojawienie się szkodliwych aplikacji w sklepie App Store po raz kolejny pokazało, że – wbrew powszechnej opinii – iOS nie jest odporny na szkodliwe oprogramowanie. Osoby atakujące nie włamały się do sklepu App Store, ale umieściły w internecie szkodliwą wersję Xcode firmy Apple, darmowego zestawu narzędzi wykorzystywanych przez twórców do tworzenia aplikacji dla systemu iOS.     

Xcode Apple’a jest oficjalnie dystrybuowany przez firmę Apple, jednak nieoficjalnie jest rozprowadzany przez osoby trzecie. Niektórzy chińscy producenci wolą pobierać narzędzia rozwoju aplikacji z lokalnych serwerów. Wersja Xcode’a zawierająca szkodliwy XcodeGhost została umieszczona na serwerze osób trzecich w Chinach. Szkodliwy kod jest osadzany w dowolnej aplikacji skompilowanej przy użyciu tej wersji Xcode’a.  

XcodeGhost zainfekował dziesiątki aplikacji. Początkowo uważano, że 39 zainfekowanych aplikacji zdołało obejść procedurę testową firmy Apple i zostało pobranych do sklepu App Store. Najpopularniejszą z nich był WeChat, darmowy komunikator zainstalowany na ponad 70 milionach urządzeń użytkowników. Apple usunął zainfekowane aplikacje. Jednak zhakowana wersja Xcode’a była dostępna przez około sześć miesięcy, dlatego łączna liczba zainfekowanych aplikacji może być znacznie wyższa, chociażby przez to że kod źródłowy dla XcodeGhost został opublikowany w Github.   

Na początku czerwca został wykryty Trojan.IphoneOS.FakeTimer.a - szkodliwy program dla iPhone’a. Szkodnik ten atakuje użytkowników w Japonii i może zostać zainstalowany na dowolnym iPhonie, ponieważ osoby atakujące wykorzystały certyfikat przedsiębiorstwa w celu podpisania trojana. Szkodnik ten wykorzystuje techniki phishingowe w celu kradzieży pieniędzy. Podobna wersja tego trojana dla Androida - Trojan.AndroidOS.FakeTimer.a.that – istnieje już od kilku lat.   

Dane statystyczne

W 2015 roku liczba mobilnych szkodliwych programów wciąż zwiększała się. W latach 2004-2013 wykryliśmy prawie 200 000 próbek mobilnego szkodliwego kodu. W 2014 roku pojawiło się 295 539 nowych programów, podczas gdy w 2015 roku liczba ta wynosiła 884 774. Jednak te dane liczbowe nie pokazują całego obrazu, ponieważ każda próbka szkodliwego oprogramowania posiada kilka pakietów instalacyjnych: w 2015 roku wykryliśmy 2 961 727 szkodliwych pakietów instalacyjnych.    

Od początku stycznia do końca grudnia 2015 roku Kaspersky Lab zarejestrował prawie 17 milionów ataków przy użyciu szkodliwego oprogramowania mobilnego i ochronił 2 634 967 unikatowych użytkowników urządzeń opartych na Androidzie.

mobile_vir_2015_ru_3_auto.png

Liczba ataków zablokowanych przez rozwiązania Kaspersky Lab, 2015 rok

mobile_vir_2015_ru_4_auto.png

Liczba użytkowników chronionych za pomocą rozwiązań Kaspersky Lab, 2015 rok

Geografia zagrożeń mobilnych

Ataki przy użyciu szkodliwych programów mobilnych zostały odnotowane w 200 krajach.

mobile_vir_2015_ru_5_auto.png

Rozkład geograficzny zagrożeń mobilnych według liczby zaatakowanych użytkowników, 2015 rok

Liczba odnotowanych ataków w dużej mierze zależy od liczby użytkowników w danym państwie. Aby ocenić zagrożenie infekcją przez mobilne szkodliwe oprogramowanie w różnych państwach, obliczyliśmy odsetek naszych użytkowników, którzy trafili na szkodliwe aplikacje w 2015 roku.

TOP 10 państw według odsetka zaatakowanych użytkowników

Państwo

% zaatakowanych użytkowników*

1

Chiny

37

2

Nigeria

37

3

Syria

26

4

Malezja

24

5

Wybrzeże Kości Słoniowej

23

6

Wietnam

22

7

Iran

21

8

Rosja

21

9

Indonezja

19

10

Ukraina

19

* Wykluczyliśmy państwa, w których liczba użytkowników produktów bezpieczeństwa mobilnego firmy Kaspersky Lab w badanym okresie wynosiła mniej niż 25 000.
** Odsetek zaatakowanych unikatowych użytkowników jako odsetek wszystkich użytkowników produktów bezpieczeństwa mobilnego firmy Kaspersky Lab w danym państwie

Na szczycie rankingu znalazły się Chiny i Nigeria, w których 37% użytkowników produktów bezpieczeństwa mobilnego firmy Kaspersky Lab co najmniej jeden raz w ciągu roku trafiło na zagrożenie mobilne. Większość ataków na użytkowników w Nigerii było przeprowadzonych przy użyciu trojanów wyświetlających reklamy z takich rodzin jak Ztrorg, Leech oraz Rootnik, które wykorzystują przywileje super użytkownika, jak również przez oprogramowanie adware.

W Chinach znaczna część ataków obejmowała również trojany wyświetlające reklamy, ale większość użytkowników trafiło na programy z rodziny RiskTool.AndroidOS.SMSreg. Nieostrożne wykorzystywanie tych programów może spowodować odpływ pieniędzy z konta mobilnego. 

Typy mobilnego szkodliwego oprogramowania

W badanym okresie znacznie wzrosła liczba wykrytych nowych plików AdWare i RiskTool. W efekcie zauważalnie zwiększył się również ich udział w rozkładzie nowych mobilnych szkodliwych programów według rodzaju – odpowiednio z 19,6% i 18,4% do 41,4% i 27,4%,   

mobile_vir_2015_ru_6_auto.png

Rozkład nowych mobilnych szkodliwych programów według typu w 2014 i 2015 roku

Podczas rozprzestrzeniania programów adware wykorzystywane są raczej prymitywne metody mające nakłonić użytkowników do zwrócenia uwagi na reklamy: aplikacje tworzone są przy użyciu ikon oraz nazw popularnych gier lub przydatnych programów. Naturalnie istnieje mnóstwo popularnych gier i legalnych aplikacji, dlatego można wygenerować wiele fałszywych aplikacji reklamowych. Im więcej wykorzystuje się fałszywych aplikacji, tym skuteczniejsza monetyzacja klikania. Innym sposobem rozprzestrzeniania oprogramowania adware jest osadzanie modułu reklamowego w legalnej aplikacji. Może tego dokonać autor aplikacji jak również osoby, które chcą zarobić pieniądze, wykorzystując popularność aplikacji: gdy moduł reklamowy zostanie osadzony bez wiedzy autora w „czystej” aplikacji, zyski z reklamy, zamiast do autora, trafią do osób, które zamieściły reklamę. W przeciwieństwie do fałszywych aplikacji, ta złożona aplikacja zawiera pewną użyteczną funkcjonalność.

Wzrost ilości oprogramowania adware spowodowany jest coraz większą konkurencją wśród twórców tych programów. Legalne programy, które wykorzystują moduły reklamowe, często są zbyt agresywne. W coraz większym stopniu moduły reklamowe dostarczają użytkownikowi możliwie najwięcej reklam na różne sposoby, łącznie z instalacją nowych programów adware. Czasami programy adware zainstalowane na urządzeniu mogą sprawić, że korzystanie z niego będzie niemal niemożliwe, ponieważ użytkownik będzie nieustannie walczył z oknami reklamowymi.

Programy RiskTool są szczególnie popularne w Chinach. Wynika to z rozpowszechnienia płatności SMS za treści w tym kraju. Niemal każda gra, która przewiduje tzw. wewnętrzne zakupy (np. za dodatkowe poziomy gry), zawiera moduł płatności SMS. W większości przypadków, użytkownik zostaje powiadomiony o potencjalnych zagrożeniach związanych z takimi zakupami, jednak my również chcielibyśmy poinformować  naszych użytkowników o ryzyku. Ze względu na popularność wspomnianych gier nieustannie rośnie liczba aplikacji RiskTool. Głównym czynnikiem przyczyniającym się do tego wzrostu była rodzina programów o nazwie RiskTool.AndroidOS.SMSReg.     

Chociaż programy AdWare i RiskTool nie wyrządzają bezpośredniej szkody użytkownikom, mogą być niezwykle irytujące, podczas gdy programy RiskTool zainstalowane na urządzeniach mobilnych mogą prowadzić do strat finansowych, jeśli będą wykorzystywane w sposób nieostrożny lub manipulowane przez cyberprzestępcę.

Odsetek trojanów SMS w ogólnym ruchu zagrożeń mobilnych zmniejszył się o niemal 2,4 raza – z 20,5% do 8,7%. Jednak w 2015 roku wykryliśmy jeszcze więcej nowych trojanów SMS niż w 2014 roku. Aktywność tego rodzaju szkodliwych programów znacznie zmniejszyła się w połowie 2014 roku. Przyczyną było wprowadzenie systemu AoC (Advice-of-Charge) przez rosyjskich operatorów, który spowodował spadek liczby tzw. programów afiliowanych służących do rozprzestrzeniania trojanów SMS, z których większość atakowała użytkowników w Rosji. 

Top 20 szkodliwych programów mobilnych

Należy zaznaczyć, że poniższy ranking szkodliwych programów nie zawiera potencjalnie niechcianych programów, takich jak RiskTool czy AdWare.

Nazwa

% wszystkich zaatakowanych użytkowników*

1

DangerousObject.Multi.Generic

44,2

2

Trojan-SMS.AndroidOS.Podec.a

11,2

3

Trojan-Downloader.AndroidOS.Leech.a

8,0

4

Trojan.AndroidOS.Ztorg.a

7,6

5

Trojan.AndroidOS.Rootnik.d

6,9

6

Exploit.AndroidOS.Lotoor.be

6,1

7

Trojan-SMS.AndroidOS.OpFake.a

5,6

8

Trojan-Spy.AndroidOS.Agent.el

4,0

9

Trojan.AndroidOS.Guerrilla.a

3,7

10

Trojan.AndroidOS.Mobtes.b

3,6

11

Trojan-Dropper.AndroidOS.Gorpo.a

3,6

12

Trojan.AndroidOS.Rootnik.a

3,5

13

Trojan.AndroidOS.Fadeb.a

3,2

14

Trojan.AndroidOS.Ztorg.pac

2,8

15

Backdoor.AndroidOS.Obad.f

2,7

16

Backdoor.AndroidOS.Ztorg.c

2,2

17

Exploit.AndroidOS.Lotoor.a

2,2

18

Backdoor.AndroidOS.Ztorg.a

2,0

19

Trojan-Ransom.AndroidOS.Small.o

1,9

20

Trojan.AndroidOS.Guerrilla.b

1,8

* Odsetek użytkowników zaatakowanych przez dane szkodliwe oprogramowanie w stosunku do wszystkich zaatakowanych użytkowników 

Pierwsze miejsce zajmuje DangerousObject.Multi.Generic (44,2%), wykorzystywany w szkodliwych programach wykrywanych za pomocą technologii opartych na chmurze. Technologie te są wykorzystywane wtedy, gdy antywirusowa baza danych nie zawiera ani sygnatur ani heurystyki umożliwiających wykrycie szkodliwego programu, za to chmura firmy antywirusowej zawiera już informacje dotyczące obiektu. Właśnie w ten sposób wykrywane jest najnowsze szkodliwe oprogramowanie.  

Trojan-SMS.AndroidOS.Stealer.a, który w 2014 roku stanowił lidera rankingu TOP 20, w 2015 roku znalazł się na 28 miejscu.  

Cztery miejsca w rankingu TOP 20 zajmują trojany, które w ramach swojej głównej metody monetyzacji kradną pieniądze z kont bankowych lub mobilnych. Są to Trojan-SMS.AndroidOS.Podec.a, Trojan-SMS.AndroidOS.OpFake.a, Trojan.AndroidOS.Mobtes.b oraz Backdoor.AndroidOS.Obad.f. Trojan-SMS.AndroidOS.Podec.a (11,2%), które uplasowały się na drugim miejscu. Trojan ten utrzymał się wśród trzech najpopularniejszych zagrożeń mobilnych w 2015 roku. Podsumowując, najnowsze wersje tego trojana nie wysyłają już płatnych wiadomości tekstowych. Trojan ten jest obecnie całkowicie zorientowany na płatne subskrypcje, wykorzystując system rozpoznawania CAPTCHA. Trojan-SMS.AndroidOS.OpFake.a (5,6%) na siódmym miejscu to kolejny weteran rankingu TOP 20. W 2014 roku uplasował się na 8 miejscu i utrzymał się w rankingu przez cały 2015 rok.     

Kolejny trojan - Trojan-Ransom.AndroidOS.Small.o (1,9%) – blokuje telefon ofiary i żąda pieniędzy za jego odblokowanie. Ten mobilny Trojan-Ransom był niezwykle popularny pod koniec 2015 roku i stanowił jedyny program ransomware, któremu udało się wejść do zestawienia TOP 20. Po raz pierwszy pojawił się w rankingu w trzecim kwartale 2015 roku, zajmując 11 miejsce; w ogólnej klasyfikacji TOP 20 dla 2015 roku znalazł się na 19 pozycji. Trojan ten rozprzestrzenia się głównie jako odtwarzacz filmów wideo i atakuje rosyjskojęzycznych użytkowników.

Ponad połowa (12 z 20) szkodników w rankingu to trojany, które jako swój główny sposób monetyzacji stosują agresywną reklamę. Są to Trojan-Downloader.AndroidOS.Leech.a, Trojan-Spy.AndroidOS.Agent.el, Trojan-Dropper.AndroidOS.Gorpo.a, Trojan.AndroidOS.Fadeb.a oraz po dwie modyfikacje  programów Trojan.AndroidOS.Guerrilla, Trojan.AndroidOS.Rootnik, Trojan.AndroidOS.Ztorg oraz Backdoor.AndroidOS.Ztorg. W przeciwieństwie do zwykłych modułów reklamowych, programy te nie zawierają żadnej przydatnej funkcjonalności. Ich celem jest dostarczenie użytkownikowi możliwie największej liczby reklam przy użyciu różnych metod, łącznie z instalowaniem nowych programów reklamowych. Trojany te mogą wykorzystywać przywileje super użytkownika w celu ukrycia swojej obecności w folderze systemowym, z którego przemieszczenie ich będzie bardzo trudne. Trafiliśmy na takie trojany już wcześniej, głównie w Chinach. W 2015 roku miała miejsce eksplozja aktywności takich programów: większość z nich atakowało użytkowników w Chinach, mimo że trojany te zaczęły być aktywnie rozprzestrzeniane na całym świecie. Ich kod często zawierał słowo oversea.      

Pozostałe dwa miejsca w rankingu TOP 20 zajmują modyfikacje Exploit.AndroidOS.Lotoor wykorzystywane do uzyskania lokalnych przywilejów super użytkownika.

Mobilne trojany bankowe

W 2015 roku wykryliśmy 7 030 mobilnych trojanów bankowych, czyli 2,6 raza mniej niż w 2014 roku, kiedy wykryliśmy ich 16 586. Należy zauważyć, że chociaż liczba nowych szkodliwych programów zmniejszyła się w stosunku do poprzedniego roku, programy te stały się bardziej profesjonalne i szkodliwe, a obszary zainteresowania cyberprzestępców obejmują obecnie banki w wielu państwach. Wiele trojanów bankowości mobilnej działa w sposób niezależny, nie wymagając żadnego komponentu komputerowego, i atakuje klientów kilkudziesięciu banków na całym świecie.     

mobile_vir_2015_ru_7_auto.png

Liczba mobilnych trojanów bankowych wykrytych przez rozwiązania firmy Kaspersky Lab w 2015 roku

56 194 użytkowników zostało zaatakowanych przez mobilne trojany bankowe co najmniej jeden raz w ciągu roku.

Rozkład geograficzny bankerów mobilnych

Liczba atakowanych państw wzrasta: ataki przy użyciu mobilnych trojanów bankowych zostały zarejestrowane w 137 krajach i terytoriach na całym świecie. Dla porównania, w 2014 roku liczba tych krajów wynosiła jedynie 90.

mobile_vir_2015_ru_8_auto.png

Rozkład geograficzny mobilnych zagrożeń bankowych w 2015 roku (liczba zaatakowanych użytkowników)

Top 10 państw zaatakowanych przez mobilne trojany bankowe (uszeregowanych według liczby zaatakowanych użytkowników):

Państwo

Liczba zaatakowanych użytkowników

1

Rosja

45690

2

Niemcy

1532

3

Ukraina

1206

4

US

967

5

Kazachstan

804

6

Australia

614

7

Korea Południowa

527

8

Francja

404

9

Białoruś

380

10

Polska

324

Podobnie jak w poprzednim roku, Rosja zajęła pierwsze miejsce rankingu państw atakowanych przez mobilne trojany bankowe. Wśród nowości znalazła się Korea Południowa, Australia, Francja oraz Polska. Pierwszą dziesiątkę opuściła Litwa, Azerbejdżan, Bułgaria oraz Uzbekistan.

O popularności mobilnych trojanów bankowych wśród cyberprzestępców w poszczególnych państwach świadczy odsetek użytkowników, którzy zostali zaatakowani przez te trojany w badanym okresie w stosunku do wszystkich zaatakowanych użytkowników. 

TOP 10 państw według odsetka użytkowników zaatakowanych przez mobilne trojany bankowe w stosunku do wszystkich zaatakowanych użytkowników

 

Państwo

% wszystkich zaatakowanych użytkowników*

1

Korea Południowa

13,8

2

Australia

8,9

3

Rosja

5,1

4

Austria

3,0

5

Białoruś

1,9

6

US

1,8

7

Tadżykistan

1,7

8

Ukraina

1,6

9

Francja

1,6

10

Uzbekistan

1,6

* Odsetek użytkowników zaatakowanych przez mobilne trojany bankowe w stosunku do wszystkich zaatakowanych użytkowników produktów bezpieczeństwa mobilnego Kaspersky Lab w danym państwie.

Znaczna część ataków na bankowość mobilną w Korei Południowej została przeprowadzona przez przedstawicieli rodziny Trojan-Banker.AndroidOS.Wroba. Celem tych trojanów jest kradzież mobilnych kont bankowych największych banków koreańskich jak również kodów mTan.  

W Australii rodzina Trojan-Banker.AndroidOS.Acecard odpowiadała za większość prób infekcji. Stanowi ona nowy etap w ewolucji szkodnika Backdoor.AndroidOS.Torec.a, pierwszego trojana dla Androida, który wykorzystywał sieć Tor. Wykryliśmy go na początku 2014 roku, natomiast pierwsze modyfikacje bankowe pojawiły się w połowie 2014 roku. W tym czasie trojan ten był dystrybuowany głównie w Rosji, dopiero w 2015 roku zaczął rozprzestrzeniać się aktywnie w Australii. Jedna z modyfikacji, którą wykryliśmy w listopadzie 2015 r., potrafi nałożyć okno phishingowe na interfejsy 24 aplikacji bankowych. Pięć spośród tych aplikacji należy do australijskich banków, kolejne cztery należą do banków zlokalizowanych w Hong Kongu, Austrii oraz Nowej Zelandii, trzy do banków w Niemczech i Singapurze. Jest też aplikacja dla PayPala. Ponadto, istnieją modyfikacje, których celem są banki w Stanach Zjednoczonych i Rosji.  

mobile_vir_2015_ru_9_auto.png

Okna phishingowe trojana Acecard

Kradzież loginów i haseł użytkownika poprzez wyświetlanie okna phishingowego zamiast rzeczywistego interfejsu aplikacji nie jest nową sztuczką. Po raz pierwszy natknęliśmy się na nią jeszcze w 2013 roku przy okazji szkodnika o nazwie Trojan-SMS.AndroidOS.Svpeng. W naszym raporcie dotyczącym ewolucji zagrożeń IT w I kwartale 2015 roku wspominaliśmy szkodnika o nazwie Trojan-SMS.AndroidOS.OpFake.cc, który potrafił zaatakować co najmniej 29 aplikacji bankowych i finansowych. Najnowsza modyfikacja tego trojana potrafi zaatakować 114 aplikacji bankowych i finansowych. Jej głównym celem jest kradzież danych uwierzytelniających logowanie do kont bankowych. Nakłada ona również okna kilku popularnych aplikacji pocztowych.    

W Rosji, która znalazła się na trzecim miejscu w rankingu TOP 10, Trojan-Banker.AndroidOS.Faketoken oraz Trojan-Banker.AndroidOS.Marcher stanowiły najpopularniejsze programy wykorzystywane przez osoby atakujące. Od kwietnia odnotowaliśmy gwałtowny spadek liczby prób zainfekowania użytkowników szkodliwymi programami z rodziny Trojan-Banker.AndroidOS.Marcher. W ciągu pięciu miesięcy, od kwietnia do sierpnia, liczba ataków z wykorzystaniem tego trojana zmniejszyła się pięciokrotnie. Możliwe, że cyberprzestępcy przygotowywali w tym czasie ataki na użytkowników w innych państwach, ponieważ do września 2015 roku aktywność tej rodziny ograniczała się niemal wyłącznie do Rosji. Jednak od września celem około 30% ataków przy użyciu tego trojana byli użytkownicy w Australii, Niemczech oraz Francji.     

Wspomniany wcześniej Trojan-Spy.AndroidOS.SmsThief.fc rozprzestrzeniał się w Rosji. Osoby atakujące dodały swój kod do oryginalnej aplikacji bankowej, który nie miał wpływu na jej działanie, a tym samym był trudniejszy do wykrycia.  

Mobilny Trojan-Ransom

W 2015 roku liczba rodzin Trojan-Ransom wzrosła dwukrotnie w stosunku do 2014 roku. Liczba modyfikacji wykrytych w tym samym okresie zwiększyła się 3,5 raza i wynosiła 6 924. 

W badanym okresie mobilne oprogramowanie ransomware zaatakowało 94 344 unikatowych użytkowników – czyli pięciokrotnie więcej niż w 2014 roku (18 478). Udział unikatowych użytkowników zaatakowanych przez programy Trojan-Ransom w stosunku do wszystkich użytkowników zaatakowanych przez mobilne szkodliwe oprogramowanie zwiększył się z 1,1% do 3,8% w ciągu roku.      

Ataki przy użyciu mobilnego oprogramowania ransomware zostały co najmniej jeden raz odnotowane w 156 państwach i terytoriach w ciągu roku.   

mobile_vir_2015_ru_10_auto.png

TOP 10 państw zaatakowanych przez szkodliwe oprogramowanie Trojan-Ransom według liczby zaatakowanych użytkowników:  

Państwo

Liczba zaatakowanych użytkowników

1

Rosja

44951

2

Niemcy

15950

3

Kazachstan

8374

4

US

5371

5

Ukraina

4250

6

Wielka Brytania

2878

7

Włochy

1313

8

Hiszpania

1062

9

Iran

866

10

Indie

757

Rosja, Niemcy i Kazachstan stanowiły państwa najczęściej atakowane przez oprogramowanie ransomware. 

W Rosji i Kazachstanie najaktywniejsza była rodzina Trojan-Ransom.AndroidOS.Small, w szczególności modyfikacja Trojan-Ransom.AndroidOS.Small.o, która stanowiła najpopularnijeszy program typu Trojan-Ransom w 2015 roku.

Rodzina Trojan-Ransom.AndroidOS.Pletor również pozostała bardzo popularna w 2015 r. Co ciekawe, pierwszy mobilny trojan szyfrujący został opracowany przez tę samą grupę cyberprzestępców co Trojan-Banker.AndroidOS.Acecard.

W Niemczech Trojan-Ransom.AndroidOS.Fusob stanowił najaktywniej rozprzestrzenianą rodzinę.

mobile_vir_2015_ru_11_auto.png

Okna otwierane przez trojana Fusob

Stany Zjednoczone uplasowały się na czwartym miejscu w rankingu. Szczególnie popularna w tym państwie była rodzina Trojan-Ransom.AndroidOS.Fusob, chociaż rodzina Trojan-Ransom.AndroidOS.Svpeng również była aktywnie wykorzystywana.

Ranking ten zależy w dużym stopniu od liczby użytkowników w poszczególnym państwie, dlatego interesujące może być zestawienie pokazujące stosunek użytkowników zaatakowanych przez szkodliwe oprogramowanie Trojan-Ransom w stosunku do wszystkich zaatakowanych użytkowników w danym państwie.   

TOP 10 państw zaatakowanych przez szkodliwe oprogramowanie Trojan-Ransom – udział użytkowników w stosunku do wszystkich zaatakowanych użytkowników w kraju.

Państwo

% wszystkich zaatakowanych użytkowników*

1

Kazachstan

15,1

2

Niemcy

14,5

3

US

10,3

4

Kanada

8,9

5

Holandia

8,8

6

Wielka Brytania

8,3

7

Szwajcaria

6,9

8

Austria

6,4

9

Ukraina

5,9

10

Australia

5,5

* Odsetek użytkowników zaatakowanych przez szkodliwe oprogramowanie Trojan-Ransom w stosunku do wszystkich zaatakowanych użytkowników produktów bezpieczeństwa mobilnego firmy Kaspersky Lab w danym państwie. 

Do rankingu TOP 10 nie zakwalifikowała się Rosja, która odpowiadała za największą liczbę zaatakowanych użytkowników. Wśród liderów tego zestawienia znalazł się Kazachstan, Niemcy oraz Stany Zjednoczone.

Zakończenie

Chociaż pierwsze trojany reklamowe wykorzystujące przywileje super użytkownika do własnych celów pojawiły się kilka lat temu, w 2015 roku ich liczba znacznie wzrosła i programy te zaczęły się szybko rozprzestrzeniać. W pierwszym kwartale 2015 roku wśród najpopularniejszych zagrożeń znalazł się tylko jeden trojan tego typu, jednak pod koniec roku programy te stanowiły ponad połowę szkodników w rankingu TOP 20. Trojany te są rozprzestrzeniane przy użyciu wszelkich dostępnych sposobów – za pośrednictwem innych programów reklamowych, sklepów z aplikacjami, a nawet mogą być preinstalowane na niektórych urządzeniach. Liczba trojanów reklamowych wykorzystujących przywileje super użytkownika prawdopodobnie nadal będzie wzrastać w 2016 roku.   

Zauważyliśmy już przypadki, gdy trojany reklamowe były wykorzystywane do rozprzestrzeniania szkodliwych programów mobilnych. Jest wiele powodów, aby sądzić, że osoby atakujące będą w coraz większym stopniu wykorzystywały takie trojany do infekowania urządzeń mobilnych szkodliwym oprogramowaniem.

Trafiliśmy również na przypadki, gdy przywileje super użytkownika były wykorzystywane przez inne rodzaje szkodliwego oprogramowania, zwłaszcza ransomware.

Szkodliwe oprogramowanie klasy Trojan-Ransom będzie prawdopodobnie ewoluowało w 2016 roku. Spodziewamy się wzrostu popularności tych programów wśród atakujących jak również zwiększenia ich globalnego zasięgu.

Kolejnym rodzajem trojana, który zamierzamy nadal ściśle monitorować w 2016 roku jest Trojan-Banker. Już teraz istnieje wiele trojanów bankowych, które nie wymagają dodatkowego oprogramowania na komputerze ofiary. Trojany te działają w sposób niezależny i w celu kradzieży pieniędzy użytkownika muszą jedynie zainfekować jego telefon. Potrafią kraść loginy i hasła do kont w serwisach bankowości mobilnej poprzez nakładanie okna phishingowego na legalne interfejsy aplikacji bankowych. Trojany te potrafią również kraść dane dotyczące karty kredytowej przy pomocy okien phishingowych. Ponadto, ich funkcjonalność obejmuje przechwytywanie komunikacji pomiędzy klientem a bankiem – kradzież przychodzących wiadomości tekstowych i przekierowanie połączeń do osoby atakującej. W 2016 roku trojany bankowe będą atakować jeszcze więcej instytucji bankowych i wykorzystywać nowe kanały dystrybucji oraz nowe technologie kradzieży danych.   

Wraz ze wzrostem funkcjonalności urządzeń oraz serwisów mobilnych, zwiększy się również apetyt cyberprzestępców, którzy zarabiają na szkodliwym oprogramowaniu. Autorzy szkodliwego oprogramowania nadal będą udoskonalać swoje twory, rozwijać nowe technologie i szukać nowych sposobów rozprzestrzeniania mobilnego szkodliwego oprogramowania. Ich głównym celem jest zarabianie pieniędzy. W takiej sytuacji, zaniedbanie ochrony urządzenia mobilnego jest niezwykle ryzykowne.