Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Ewolucja zagrożeń IT: III kwartał 2013 r.

Tagi:


III kwartał w liczbach

  • Według danych systemu KSN, w trzecim kwartale 2013 r. produkty firmy Kaspersky Lab wykryły i zneutralizowały łącznie 978 628 817 zagrożeń.    
  • Rozwiązania firmy Kaspersky Lab wykryły 500 284 715 ataków przeprowadzonych z zasobów online zlokalizowanych na całym świecie.
  • Programy antywirusowe firmy Kaspersky Lab skutecznie zablokowały łącznie 476 856 965 prób lokalnej infekcji komputerów użytkownika połączonych z siecią Kaspersky Security Network.
  • 45,2% ataków sieciowych zneutralizowanych przez produkty firmy Kaspersky Lab zostało przeprowadzonych przy użyciu szkodliwych zasobów sieciowych zlokalizowanych w Stanach Zjednoczonych i Rosji. 

Przegląd

Ataki ukierunkowane/APT

Nowe sztuczki NetTravelera

Specjaliści z Kaspersky Lab wykryli nowy wektor ataków wykorzystywany przez zaawansowane długotrwałe zagrożenie o nazwie NetTraveler, które zainfekowało już setki ofiar stanowiących znane osoby mieszkające w ponad 40 krajach. Znane cele NetTravelera obejmują aktywistów tybetańskich/ujgurskich, firmy z branży naftowej, centra i instytuty naukowo-badawcze, uniwersytety, prywatne firmy, rządy i instytucje rządowe, ambasady i dostawców dla wojska. 

Po tym, jak ich działalność została publicznie ujawniona w czerwcu 2013 r., osoby atakujące natychmiast zamknęły wszystkie znane systemy kontroli NetTravelera i przeniosły je na nowe serwery w Chinach, Hong Kongu i Tajwanie, skąd kontynuowały nieprzerwanie ataki.

W ostatnich dniach do licznych aktywistów ujgurskich wysłano kilka e-maili typu spear-phishing. Exploit Javy wykorzystywany do rozprzestrzeniania tej nowej wersji zagrożenia APT Red Star został załatany dopiero w czerwcu 2013 r. i posiada znacznie wyższy współczynnik skuteczności. We wcześniejszych atakach wykorzystywano exploity Office’a (CVE-2012-0158), które zostały załatane przez firmę Microsoft w kwietniu.   

Oprócz wykorzystywania e-maili typu  spear-phishing osoby przeprowadzające ataki APT zastosowały technikę ataków znaną jako “watering hole” (przekierowania sieciowe i ataki drive-by download na spreparowane domeny) w celu infekowania użytkowników surfujących po sieci. Kaspersky Lab przechwycił i zablokował wiele prób infekcji z domeny “weststock[dot]org”, o której wiadomo, że jest powiązana z wcześniejszymi atakami NetTravelera. Te przekierowania wydają się pochodzić z innych stron internetowych związanych z kampanią ujgurską, które zostały zhakowane i zainfekowane przez osoby wykorzystujące NetTravelera.

Icefog

Kaspersky Lab zidentyfikował "Icefog", niewielką, ale aktywną grupę APT, która koncentruje się na celach znajdujących się w Korei Południowej i Japonii i atakuje łańcuchy dostaw dla firm zachodnich. Operacja rozpoczęła się w 2011 r. i w ciągu ostatnich kilku lat zwiększyła swoją skalę i zasięg. O ile w przypadku większości kampanii APT ofiary infekowane są przez miesiące a nawet lata, a w tym czasie osoby atakujące regularnie kradną dane, członkowie grupy Icefog “zajmują się” swoimi ofiarami pojedynczo – lokalizując i kopiując tylko konkretne, poszukiwane informacje. Po uzyskaniu pożądanych informacji, porzucają swój cel. Osoby atakujące przechwytują poufne dokumenty i plany firmowe, dane uwierzytelniające dostęp do kont e-mail oraz hasła, aby uzyskać dostęp do różnych zasobów w i poza siecią ofiary. W większości przypadków, atakujący wydają się dokładnie wiedzieć, czego chcą od swoich ofiar. Szukają określonych nazw plików, które są szybko identyfikowane i przesyłane do centrum kontroli (C&C). Na podstawie profili zidentyfikowanych ofiar można wnioskować, że osoby atakujące interesują się następującymi sektorami: wojskowym, stoczniowym i morskim, komputerowym i rozwoju oprogramowania, mass mediów i telewizji, firmami badawczymi, operatorami telekomunikacyjnymi i operatorami satelitarnymi.      

Badacze z firmy Kaspersky Lab przeprowadzili operację leja na 13 z ponad 70 domen wykorzystywanych przez osoby atakujące. Pozwoliło to uzyskać statystyki dotyczące liczby ofiar na całym świecie. Ponadto, serwery kontroli grupy Icefog zawierają zaszyfrowane dzienniki ofiar wraz ze szczegółowymi informacjami dotyczącymi wykonywanych na nich operacjach. Dzienniki te mogą niekiedy pomóc zidentyfikować cele ataków, a w niektórych przypadkach – ofiary. Oprócz Japonii i Korei Południowej, monitorowano wiele połączeń z lejem w innych krajach, w tym w Tajwanie, Hong Kongu, Chinach, Stanach Zjednoczonych, Australii, Kanadzie, Wielkiej Brytanii, we Włoszech, w Niemczech, Austrii, Singapurze, na Białorusi i w Malezji. Łącznie, Kaspersky Lab zidentyfikował ponad 4000 unikatowych zainfekowanych adresów IP i kilkaset ofiar (kilkadziesiąt ofiar korzystających z systemu Windows i ponad 350 ofiar posiadających system Mac OS X).  

Na podstawie listy adresów IP wykorzystywanych do monitorowania i kontrolowania infrastruktury eksperci z firmy Kaspersky Lab zakładają, że niektórzy gracze stojący za tą operacją mieszkają w co najmniej trzech państwach: Chinach, Korei Południowej i Japonii.

Kimsuky

We wrześniu zespół badawczy z firmy Kaspersky Lab opublikował raport, w którym analizowano aktywną kampanię cyberszpiegowską, której głównym celem były grupy doradcze z Korei Południowej. 

Kampania ta, nosząca nazwę Kimsuky, ma ograniczony zasięg i jest wysoce ukierunkowana. Z analizy technicznej wynika, że osoby atakujące były zainteresowane 11 organizacjami zlokalizowanymi w Korei Południowej i dwoma podmiotami w Chinach, włączając Instytut Sejong, Koreański Instytut Analiz Obronnych, Południowokoreańskie Ministerstwo Unifikacji, Hyundai Merchant Marine i Zwolenników Zjednoczenia Korei.      

Najwcześniejsze oznaki aktywności Kimsuky odnotowano 3 kwietnia 2013 r., a pierwsze próbki trojana Kimsuky pojawiły się 5 maja 2013 r. Ten niewyrafinowany program szpiegowski zawiera kilka podstawowych błędów w kodowaniu i obsługuje komunikację do i z zainfekowanych maszyn za pośrednictwem bułgarskiego, darmowego sieciowego serwera poczty.   

Chociaż pierwotny mechanizm rozprzestrzeniania szkodliwego oprogramowania pozostaje nieznany, specjaliści z Kaspersky Lab uważają, że szkodliwe oprogramowanie Kimsuky jest najprawdopodobniej dostarczane za pośrednictwem e-maili typu spear-phishing i potrafi wykonywać następujące funkcje szpiegujące: rejestrowanie uderzeń klawiszy, dostęp do zdalnej kontroli oraz kradzież dokumentów HWP (związanych z południowokoreańskim edytorem tekstu z pakietu Hancom Office, powszechnie wykorzystywanym przez lokalny rząd). Osoby atakujące wykorzystują zmodyfikowaną wersję aplikacji umożliwiającej zdalny dostęp, TeamViewer, która pełni funkcję backdoora służącego do przechwytywania plików z zainfekowanych maszyn.     

Szkodliwe oprogramowanie Kimsuky zawiera wyspecjalizowany szkodliwy program, którego celem jest kradzież plików HWP, co sugeruje, że dokumenty te stanowią jeden z głównych celów tej grupy.

Wskazówki znalezione przez ekspertów z Kaspersky Lab sugerują, że osoby atakujące pochodzą z Korei Północnej. Już same profile celów mówią za siebie – południowokoreańskie uniwersytety prowadzące badania w dziedzinie spraw międzynarodowych i kształtujące politykę obronną rządu, krajowa firma spedycyjna oraz zwolennicy zjednoczenia Korei.

Po drugie, ciąg ścieżki kompilacji zawieraja koreańskie słowa (niektóre z nich można by przetłumaczyć jako angielskie polecenia “atak” i “wykonanie”).

Po trzecie, dwa adresy e-mail, na które boty wysyłają raporty dotyczące stanu oraz informacje dotyczące zainfekowanego systemu za pośrednictwem załączników - iop110112@hotmail.com i rsh1213@hotmail.com – zostały zarejestrowane przy użyciu następujących nazw “kim”: “kimsukyang” i “Kim asdfa”. Chociaż te dane rejestracyjne nie zawierają jednoznacznych informacji identyfikujących sprawców, źródłowe adresy IP osób atakujących pasują do profilu: istnieje 10 adresów IP i wszystkie z nich znajdują się w sieci prowincji Jilin i sieci prowincji Liaoning w Chinach. Dostawcy usług internetowych w tych prowincjach podobno dostarczają łącze także do niektórych części Korei Północnej.

Historie związane z niektórymi szkodnikami

Aresztowanie autora zestawu exploitów Blackhole

Na początku października w Rosji aresztowano autora Blackhole, znanego jako Paunch, oraz jego partnerów. Blackhole to prawdopodobnie najskuteczniejszy zestaw exploitów w ostatnich latach. Jest wydzierżawiany cyberprzestępcom, którzy chcą rozprzestrzeniać szkodliwe oprogramowanie za pośrednictwem ataków drive-by download – obecnie najpopularniejszego wektora ataków. W celu zainfekowania maszyn użytkowników przestępcy wykorzystują szkodliwe odsyłacze prowadzące do zhakowanych stron internetowych, a następnie wybierane są odpowiednie exploity z zestawu w zależności od wersji oprogramowania zainstalowanego na maszynie ofiary, np. Flash, Java lub Adobe Reader.     

Ten przypadek aresztowania cyberprzestępców jest uznawany za jeden z najważniejszych w ostatnim czasie, zaraz po aresztowaniu członków gangu Carberp w marcu i kwietniu tego roku. O ile w przypadku grupy Carberp kod źródłowy został udostępniony publicznie, nadal nie wiadomo, jaki los spotka Blackhole: być może zniknie, a być może zostanie przejęty przez innych cyberprzestępców lub zastąpiony konkurencyjnymi zestawami exploitów.

Pojawienie się nowego botnetu routerów

We wrześniu tego roku Heise poinformował o wykryciu nowego botnetu składającego się z routerów. Routery stanowią podstawę każdej sieci domowej, a ich infekcja ma wpływ na wszystkie podłączone do nich urządzenia – komputery PC, komputery Mac, tablety, smartfony, a nawet inteligentny telewizor. Bot o nazwie Linux/Flasher.A “wyłuskuje” wszelkie dane uwierzytelniające logowanie przesyłane z dowolnego urządzenia. Infekcja następuje poprzez lukę w zabezpieczeniach serwera sieciowego routerów zawierającego oprogramowanie sprzętowe dla routerów DD-WRT. Niewłaściwie utworzone zapytanie HTTP prowadzi do wykonania dowolnego kodu. “Zdobycz” w postaci przechwyconych danych uwierzytelniających logowanie jest następnie przesyłana do zhakowanych serwerów sieciowych. 

Luka wykorzystywana przez Flasher.a została zidentyfikowana w 2009 roku i mimo że wypuszczono dla niej łatę, ponad 25 000 urządzeń nadal nie jest bezpiecznych, jak podaje Heise. Wskazuje to na poważne zagrożenie związane z routerami: oprogramowanie sprzętowe (tzw. firmware) rzadko bywa aktualizowane przez użytkowników, przez co stają się oni łatwym celem w przypadku wykrycia nowych luk w zabezpieczeniach.               

Bezpieczeństwo sieciowe i incydenty naruszenia ochrony danych

Włamanie do niemieckiego Vodafone

W połowie września Vodafone Germany padła ofiarą incydentu naruszenia bezpieczeństwa danych, w którym osoba atakująca skopiowała dwa miliony rekordów zawierających dane dotyczące klientów. Rekordy te zawierały nie tylko nazwiska i adresy, ale również szczegóły bankowe. Na podstawie zakresu skradzionych danych i pozostawionych śladów Vodafone podejrzewa, że była to robota kogoś z wewnątrz. Szybko zidentyfikowano podejrzanego, jednak do ataku przyznało się ugrupowanie hakerskie o nazwie Team_L4w, twierdząc, że jeden z ich członków użył zainfekowanego urządzenia USB w celu zainfekowania maszyny pracownika Vodafone.

Vodafone zawiadomił o incydencie wszystkich klientów, którzy ucierpieli na jego skutek. Firma stworzyła również forum internetowe, za pomocą którego klienci mogą sprawdzić, czy została naruszona prywatność ich danych.  

Atak hakerski na Apple Developer Area

W lipcu Apple na ponad trzy tygodnie “zdjął” z sieci swój portal Apple Developer, po tym jak haker uzyskał dostęp do informacji osobowych zarejestrowanych na nim programistów. Sprawca i sposób przeprowadzenia ataku nadal pozostają nieznane i istnieje kilka możliwych wyjaśnień. Niedługo po ujawnieniu tego incydentu rzekomy konsultant ds. bezpieczeństwa opublikował film w serwisie YouTube, w którym przyznał się do przeprowadzenia ataku.

Jak twierdzi, skopiował ponad 100 000 rekordów z baz danych firmy Apple, które obiecał skasować, i wykorzystał błąd cross-site scripting w portalu Apple Developer. Następnie przekazał 19 rekordów gazecie Guardian, która ustaliła, że niektóre adresy były nieważne, a pozostałe wydawały się nieaktywne. To rzuciło cień wątpliwości na jego wyznanie.    

Co ciekawe, dwa dni przed tym, jak Apple zdjął portal dla programistów, na forach Apache ktoś opublikował wiadomość o nowej luce. Oprócz podania szczegółów udostępnił również w całości działającego exploita. Według chińskiej strony internetowej, doprowadziło to do przeprowadzonych na dużą skalę ataków – w których Apple stanowił zaledwie jedną z wielu ofiar.

Porywanie znanych domen

Na początku października zhakowano kilka popularnych domen, w tym whatsapp.com, alexa.com, redtube.com oraz dwie znane firmy z branży bezpieczeństwa. Wygląda na to, że zamiast włamać się do serwerów sieciowych osoby atakujące, grupa o nazwie KDMS, wolała porwać organizacje zarządzające przydzielaniem nazw domen internetowych (DNS). Wszystkie zhakowane domeny korzystały tej samej organizacji DNS i zostały uaktualnione niedługo przed tym, jak incydent ten ujrzał światło dzienne. Według Softpedia, dostawca usług internetowych obsługujący zhakowane strony został zaatakowany przy użyciu metody polegającej na wysłaniu fałszywych żądań resetowania haseł za pośrednictwem poczty e-mail. Po przejęciu kontroli nad domeną przy użyciu nowych danych uwierzytelniających dostęp osoby atakujące zmieniły wpisy i rozpowszechniały oświadczenia polityczne.         

Mobilne szkodliwe oprogramowanie

W trzecim kwartale 2013 r. wiele się działo na froncie walki z mobilnym szkodliwym oprogramowaniem, ponieważ w arsenale cyberprzestępców pojawił się cały zestaw nowych sztuczek.  

Nowe pomysły twórców szkodliwego oprogramowania

Trzeci kwartał bez wątpienia upłynął pod znakiem mobilnych botnetów. Cyberprzestępcy stojący za najbardziej rozpowszechnionymi trojanami SMS próbują przydać nieco interaktywności do sposobu zarządzania swoimi zasobami. W tym celu zarządzają swoimi botami przy użyciu Google Cloud Messaging (GCM). Serwis ten pozwala im wysyłać krótkie wiadomości w formacie JSON na urządzenia mobilne, służąc jako dodatkowy serwer kontroli dla ich trojanów.  

Wykrycie tego sposobu interakcji stanowi poważne wyzwanie dla rozwiązań bezpieczeństwa. Polecenia otrzymywane z GCM są obsługiwane przez system, co oznacza, że nie mogą zostać po prostu zablokowane na zainfekowanych urządzeniach. Jedynym sposobem, aby uniemożliwić twórcom szkodliwego oprogramowania wykorzystywanie tego kanału do komunikowania się z ich szkodliwym oprogramowaniem jest zablokowanie kont GCM twórców, którzy wykorzystują je do rozprzestrzeniania szkodliwego oprogramowania. 

Niewiele mobilnych szkodliwych programów potrafi wykorzystywać GCM, ale te, które potrafią, są często bardzo popularne.

W połowie lipca 2013 r. zidentyfikowaliśmy pierwsze botnety osób trzecich, tj. mobilne urządzenia zainfekowane innymi szkodliwymi programami i wykorzystywane przez innych cyberprzestępców do rozprzestrzeniania mobilnego szkodliwego oprogramowania.

W ten sposób rozprzestrzeniany był najbardziej wyrafinowany trojan dla Androida, znany jako Obad - przy użyciu urządzeń przenośnych zainfekowanych trojanem Trojan-SMS.AndroidOS.Opfake.a. Po otrzymaniu polecenia z serwera kontroli Opfake zaczął wysyłać wiadomości tekstowe do wszystkich kontaktów ofiary, zachęcając ich do pobrania nowej wiadomości MMS. Jeżeli użytkownik, który otrzymał ten tekst, kliknie zawarty w wiadomości odsyłacz, na jego urządzenie zostanie automatycznie pobrany  Backdoor.AndroidOS.Obad.a.  

Mobilne szkodliwe oprogramowanie jest zwykle wykorzystywane do kradzieży pieniędzy właścicieli telefonów. W III kwartale pojawił się nowy szkodliwy program, który pozwala cyberprzestępcom kraść pieniądze z kont bankowych ofiar, jak również z ich kont na telefonach komórkowych. W lipcu wykryliśmy trojana o nazwie Trojan-SMS.AndroidOS.Svpeng.a, który może zostać poinstruowany przez swojego twórcę, aby ustalił, czy numer telefonu komórkowego jest powiązany z serwisami bankowości online różnych rosyjskich banków. Druga modyfikacja tego trojana zawierała kod wykonujący tę funkcjonalność: 

q3malware2013_01.png

Telefon powiązany z usługą bankowości mobilnej zazwyczaj daje możliwość doładowania konta mobilnego poprzez wysłanie wiadomości tekstowej stworzonej w oparciu o określony szablon. Pozwala to osobom atakującym wykorzystać usługę bankowości mobilnej do przelania dostępnych środków na swoje mobilne numery, a następnie zamienić je na gotówkę, np. poprzez przelewanie pieniędzy na konta w systemie płatności elektronicznych, takich jak QIWI Wallet.   

Trojan-SMS.AndroidOS.Svpeng.a uniemożliwia ofierze komunikowanie się z bankiem. W szczególności, przechwytuje wiadomości i połączenia pochodzące z numerów banków. W efekcie, ofiary często przez długi czas nie zdają sobie sprawy, że ich pieniądze są kradzione z kont bankowych.  

Trojany te mogą narazić użytkowników na straty w wysokości tysięcy dolarów.

Wykorzystywanie różnych luk w systemie Android staje się coraz bardziej rozpowszechnione. Na przykład, Svpeng.a chronił nieistniejące archiwum przy użyciu nieistniejącego hasła i przechwytywał komunikat dotyczący nadania praw administratora urządzenia, przez co użytkownicy nie mogli samodzielnie usunąć aplikacji.

Prawa administratora urządzenia są obecnie wykorzystywane również przez inne szkodliwe programy, umożliwiając im efektywne działanie przez długi czas na większości wersji Androida.

Luki „Master key”: luki w Androidzie pozwalają aplikacjom uniknąć kontroli integralności  

Na początku trzeciego kwartału zostały wykryte dwie bardzo nieprzyjemne luki w zabezpieczeniach Androida, z których dwie są określane jako luki “Master Key”. Luki te pozwalają zmodyfikować komponenty aplikacji, obchodząc sygnaturę kryptograficzną , tak aby Android nadal traktował je jako całkowicie legalne mimo nowej, potencjalnie szkodliwej zawartości.

Luki te mają wiele ze sobą wspólnego. Pierwsza z nich została wykryta jeszcze w lutym przez Bluebox Security Company, a następnie przedstawiona szczegółowo przez Jeffa Forristala podczas konferencji BlackHat w Las Vegas. Według Bluebox, luka ta występuje we wszystkich wersjach Androida począwszy od 1.6 i dlatego może dotyczyć niemal każdego urządzenia wprowadzonego do sprzedaży w ciągu minionych czterech lat. Aplikacje stanowią pojedyncze pliki z rozszerzeniem .APK (Android Package). Zwykle są to pliki ZIP, w których wszystkie zasoby są spakowane w plikach o specjalnych nazwach (kod aplikacji znajduje się zazwyczaj w classes.dex). Każda próba zmiany zawartości pliku APK jest zwykle powstrzymywana podczas instalacji aplikacji w systemie Android. Sam format ZIP nie wyklucza zduplikowanych nazw plików i w razie “zduplikowanych” zasobów Android wydaje się sprawdzać jeden plik, ale uruchamia inny.  

Informacje dotyczące drugiej luki w zabezpieczeniach zostały opublikowane przez chińskich ekspertów. Problem polega tutaj na jednoczesnym wykorzystywaniu dwóch metod odczytu i rozpakowywania plików APK oraz dwóch różnych interpretacji języków Java i C. Podobnie jak w przypadku pierwszej luki, tu również można wykorzystać różne pliki APK o identycznych nazwach w celu “majstrowania” w systemie. Należy zauważyć, że jednym z warunków udanego ataku jest rozmiar pierwotnego pliku classes.dex – musi być nie mniejszy niż 64 kilobajtów, a tego nie spotkamy w większości aplikacji dla Androida.         

Dane statystyczne

W III kwartale 2013 roku liczba próbek mobilnego szkodliwego oprogramowania stale rosła:

q3malware2013_02.png 

Liczba próbek mobilnego szkodliwego oprogramowania w naszej kolekcji

Rozkład próbek mobilnego szkodliwego oprogramowania wykrytych w III kwartale 2013 roku według rodzaju był podobny do II kwartału:

q3malware2013_03.png 

Rozkład nowych próbek mobilnego szkodliwego oprogramowania według typu zachowania, 
II kwartał 2013 r.

Pierwsze miejsce nadal zajmują backdoory, mimo że ich udział zmniejszył się o 1,3 punktu procentowego w porównaniu z II kwartałem 2013 r. Trojany SMS (30%), których odsetek zwiększył się o 2,3 punktu procentowego w stosunku do poprzedniego kwartału, znalazły się na drugiej pozycji. Podobnie jak w II kwartale, tuż za nimi uplasowały się trojany (22%) i trojany szpiegujące, które stanowią 5% ogółu. Backdoory i trojany SMS stanowią łącznie 61% całego mobilnego szkodliwego oprogramowania wykrytego w trzecim kwartale – to o 4,5 punktu procentowego więcej niż w II kwartale.      

Mobilne szkodliwe programy zazwyczaj zawierają kilka szkodliwych komponentów, co oznacza, że backdoory często posiadają funkcjonalność trojana SMS, a trojany SMS mogą zawierać zaawansowaną funkcjonalność bota.   

TOP 20 mobilnych szkodliwych programów

 

Nazwa

% wszystkich ataków

1

DangerousObject.Multi.Generic

29,15%

2

Trojan-SMS.AndroidOS.OpFake.bo

17,63%

3

Trojan-SMS.AndroidOS.FakeInst.a

8,40%

4

Trojan-SMS.AndroidOS.Agent.u

5,49%

5

Trojan.AndroidOS.Plangton.a

3,15%

6

Trojan-SMS.AndroidOS.Agent.cm

3,92%

7

Trojan-SMS.AndroidOS.OpFake.a

3,58%

8

Trojan-SMS.AndroidOS.Agent.ao

1,90%

9

Trojan.AndroidOS.MTK.a

1,00%

10

DangerousObject

1,11%

11

Trojan-SMS.AndroidOS.Stealer.a

0,94%

12

Trojan-SMS.AndroidOS.Agent.ay

0,97%

13

Exploit.AndroidOS.Lotoor.g

0,94%

14

Trojan-SMS.AndroidOS.Agent.a

0,92%

15

Trojan-SMS.AndroidOS.FakeInst.ei

0,73%

16

Trojan.AndroidOS.MTK.c

0,60%

17

Trojan-SMS.AndroidOS.Agent.df

0,68%

18

Trojan-SMS.AndroidOS.Agent.dd

0,77%

19

Backdoor.AndroidOS.GinMaster.a

0,80%

20

Trojan-Downloader.AOS.Boqx.a

0,49%

 

Dwanaście programów z rankingu należy do klasy Trojan-SMS. To sugeruje, że trojany SMS stanowią najpopularniejszy typ szkodliwego oprogramowania wykorzystywanego przez cyberprzestępców w atakach, których celem jest zarobienie pieniędzy na urządzeniach mobilnych.  

Na najwyższej pozycji znajduje się werdykt DangerousObject.Multi.Generic – werdykt ten oznacza, że jesteśmy świadomi szkodliwego charakteru aplikacji, ale z jakichś względów nie dostarczyliśmy naszym użytkownikom sygnatur umożliwiających wykrycie jej. W takich wypadkach, wykrywanie jest możliwe za pomocą technologii opartych na chmurze zaimplementowanych w sieci Kaspersky Security Network, która umożliwia naszemu produktowi zminimalizowanie czasu reakcji na nowe i nieznane zagrożenia.  

Próbki mobilnego szkodliwego oprogramowania znajdujące się na kolejnych trzech pozycjach to złożone aplikacje wykorzystywane przez twórców szkodliwego oprogramowania do tworzenia mobilnych botnetów.

Na drugim miejscu znajduje się Trojan-SMS.AndroidOS.OpFake.bo – jeden z najbardziej wyrafinowanych trojanów SMS. Cechami, które wyróżniają ten program, jest dobrze zaprojektowany interfejs oraz chciwość jego twórców. Po uruchomieniu trojan kradnie pieniądze właściciela urządzenia mobilnego – od 9 dolarów po całą sumę na koncie użytkownika. Istnieje również ryzyko zdyskredytowania numeru telefonu użytkownika, ponieważ trojan ten potrafi gromadzić numery z listy kontaktów i wysyłać na nie wiadomości SMS. Celem tego szkodliwego oprogramowania są głównie osoby rosyjskojęzyczne i użytkownicy z krajów Wspólnoty Niepodległych Państw. Kolejny szkodliwy program z tej samej rodziny i z podobną funkcjonalnością uplasował się na siódmym miejscu w rankingu.        

Trzecie miejsce zajmuje Trojan-SMS.AndroidOS.FakeInst.a. Podobnie jak OpFake, szkodnik ten ewoluował w ciągu minionych dwóch lat z prostego trojana w całkowicie funkcjonalnego bota kontrolowanego za pośrednictwem różnych kanałów (w tym Google Cloud Messaging). Trojan ten potrafi kraść pieniądze z konta użytkownika i wysyłać wiadomości na numery z listy kontaktowej ofiary. 

Czwarte miejsce zajmuje Trojan-SMS.AndroidOS.Agent.u. Był to pierwszy trojan, który wykorzystał lukę w systemie Android w celu uzyskania praw administratora urządzenia, utrudniając tym samym usuwanie go. Ponadto, potrafi odrzucać połączenia przychodzące i samodzielnie inicjować połączenia. Potencjalne szkody: wysłanie wielu wiadomości SMS, których koszt wynosi co najmniej 9 dolarów.  

Android był celem 99,9% wszystkich ataków na platformy mobilne w III kwartale 2013 r. Nie jest to żadną niespodzianką: platforma ta nadal cieszy się popularnością i ma otwarty charakter; co więcej, nawet jej najnowsze wersje obsługują instalację aplikacji z nieznanych źródeł.

Należy jednak oddać sprawiedliwość firmie Google – system ten reaguje teraz na niektóre szkodliwe aplikacje:

q3malware2013_04.png

 

To oznacza, że twórcy jednego z najpopularniejszych mobilnych systemów operacyjnych zdali sobie sprawę, że Android stanowi obecnie główny cel mobilnego szkodliwego oprogramowania, i próbują zapewnić użytkownikom systemu przynajmniej częściową ochronę. 

Dane statystyczne

Wszystkie dane statystyczne wykorzystane w tym raporcie pochodzą z opartego na chmurze systemu Kaspersky Security Network (KSN). Dane te zostały dostarczone przez użytkowników systemu KSN, którzy zgodzili się udostępnić informacje o szkodliwej aktywności na ich komputerach. W globalnej wymianie informacji dotyczącej szkodliwej aktywności uczestniczą miliony użytkowników produktów firmy Kaspersky Lab z 213 krajów.

Zagrożenia online

Dane statystyczne zaprezentowane w tej sekcji pochodzą z komponentów ochrony WWW, które chronią użytkowników, w przypadku gdy szkodliwy kod próbuje pobrać się z zainfekowanych stron internetowych. Zainfekowane strony internetowe mogą być tworzone przez szkodliwych użytkowników, mogą również składać się na nie treści dostarczane przez użytkownika (np. fora) lub legalne zasoby, które zostały zhakowane.   

Wykrywanie zagrożeń online

W trzecim kwartale br. produkty firmy Kaspersky Lab wykryły 500 284 715 ataków przeprowadzonych z zasobów online na całym świecie.

 

Top 20 wykrytych zasobów online 

Miejsce

Nazwa*

% wszystkich ataków**

1

Malicious URL

89,16%

2

Trojan.Script.Generic

3,57%

3

Adware.Win32.MegaSearch.am

2,72%

4

Trojan-Downloader.JS.Psyme.apb

1,19%

5

Trojan.Script.Iframer

1,10%

6

Exploit.Script.Blocker

0,37%

7

Trojan.Win32.Generic

0,35%

8

Trojan-Downloader.Script.Generic

0,28%

9

Trojan.JS.Iframe.aeq

0,15%

10

Adware.Win32.Agent.aeph

0,13%

11

Exploit.Java.Generic

0,11%

12

Trojan-Downloader.Win32.MultiDL.k

0,10%

13

Trojan-Downloader.Win32.Generic

0,10%

14

Exploit.Script.Generic

0,08%

15

Exploit.Script.Blocker.u

0,06%

16

WebToolbar.Win32.MyWebSearch.rh

0,06%

17

Packed.Multi.MultiPacked.gen

0,06%

18

Trojan-SMS.J2ME.Agent.kn

0,05%

19

Adware.Win32.Lyckriks.j

0,05%

20

Exploit.JS.Agent.bnk

0,04%

*Dane te stanowią werdykty wykrywania wygenerowane przez moduły ochrony przed zagrożeniami online i zostały dostarczone przez użytkowników produktów Kaspersky Lab, którzy wyrazili zgodę na udostępnienie informacji o szkodliwej aktywności na ich komputerach.

**Odsetek unikatowych incydentów zarejestrowanych przez moduły ochrony przed zagrożeniami online na komputerach użytkowników.

Ranking ten po raz kolejny pokazuje, że większość wykryć szkodliwego oprogramowania ma miejsce na poziomie adresu URL. 89,2% wszystkich wykryć dokonanych przez moduły ochrony przed zagrożeniami online dotyczyło szkodliwych odsyłaczy umieszczonych na czarnej liście (Malicious URL, 1 miejsce).   

Połowę rankingu tworzą różne werdykty wskazujące na szkodliwe obiekty wykorzystywane w atakach drive-by download, które stanowią obecnie jedną z najbardziej rozpowszechnionych metod wykorzystywanych do infekowania komputerów użytkowników. Są to zarówno werdykty heurystyczne (Trojan.Script.Generic, Trojan.Script.Iframer, Exploit.Script.Blocker, Trojan-Downloader.Script.Generic, Exploit.Java.Generic i Exploit.Script.Generic) jak i nieheurystyczne.

Werdykty nieheurystyczne w tym rankingu obejmują w większości programy reklamujące: ich udział zwiększył się o 2,4 punktu procentowego w stosunku do II kwartału 2013 r.

W III kwartale w rankingu znalazł się niespodziewanie Trojan-SMS.J2ME.Agent.kn, którego celem jest mobilna platforma Java Platform Micro Edition. Przedstawiciele tej rodziny znajdowali się poza rankingiem od 2011 r. Główną funkcją tego mobilnego szkodliwego oprogramowania jest wysyłanie wiadomości tekstowych na numery premium. Szkodnik jest rozprzestrzeniany za pośrednictwem wiadomości spamowych w ICQ, które zawierają odsyłacz do aplikacji Javy jak również stron tematycznych, na których użytkownik jest zachęcany do pobrania aplikacji. Po tym, jak użytkownik kliknie odsyłacz, na stronie sprawdzane jest pole User-Agent w celu zidentyfikowania typu wykorzystywanego przez użytkownika systemu operacyjnego. Jeżeli User-Agent jest zgodny z przeglądarką opartą na Androidzie, zostaje pobrana szkodliwa aplikacja dla Androida. We wszystkich pozostałych przypadkach, łącznie z wykorzystywaniem przeglądarki internetowej na standardowym komputerze PC, właściciel szkodnika wolał wykorzystywać “domyślnie” aplikację J2ME. W momencie kliknięcia takich odsyłaczy zainstalowane na komputerach moduły ochrony przed zagrożeniami online generują werdykt Trojan-SMS.J2ME.Agent.kn.        

Państwa, w których znajduje się najwięcej szkodliwego oprogramowania w zasobach online 

Poniższe statystyki opierają się na fizycznej lokalizacji zasobów online wykorzystanych w atakach zarejestrowanych przez Kaspersky Security Network (strony zawierające przekierowania do exploitów, strony zawierające exploity i inne szkodliwe oprogramowanie, centra kontroli botnetów itd.). Odpowiedni udział procentowy opiera się na liczbie ataków sieciowych zarejestrowanych przez KSN. W celu określenia źródła geograficznego ataków sieciowych wykorzystano metodę polegającą na porównywaniu nazw domen z rzeczywistymi adresami IP domen, a następnie ustalaniu geograficznej lokalizacji określonego adresu IP (GEOIP). 81,5% zasobów online wykorzystywanych do rozprzestrzeniania szkodliwego oprogramowania znajduje się w 10 państwach. Jest to o 1,5 punktu procentowego mniej niż w II kwartale 2013 r.  

q3malware2013_05_auto.png 

Rozkład zasobów online, w których znajduje się najwięcej szkodliwych programów 
w III kwartale 2013 r.

Rozkład państw o największej liczbie szkodliwych serwisów hostingowych zmienił się nieznacznie w stosunku do drugiego kwartału tego roku. Na czołowych pozycjach utrzymały się Stany Zjednoczone (27,7%), Rosja (18,5%), Niemcy (13,4%) i Holandia (11,6%). Te cztery państwa stanowią łącznie 70,15% wszystkich szkodliwych hostów. Z rankingu wypadły Chiny i Wietnam, podczas gdy nowości – Kanada (1,3%) i Wyspy Dziewicze (1,2%), zajęły odpowiednio 8 i 9 miejsca.      

Państwa, w których użytkownicy są najbardziej narażeni na ryzyko infekcji online

W celu oszacowania poziomu ryzyka infekcją online, na jakie narażeni są użytkownicy z różnych krajów, obliczyliśmy, jak często nasze produkty zainstalowane na komputerach użytkowników rejestrowały wykrycia przy użyciu modułów ochrony przed zagrożeniami online w ciągu minionych trzech miesięcy.

q3malware2013_06_auto.png

Top 20 państw* o najwyższym poziomie ryzyka infekcji** w III kwartale 2013 r.

* Dla celów związanych z powyższymi obliczeniami wyłączyliśmy państwa, w których liczba użytkowników produktów firmy Kaspersky Lab jest stosunkowo niewielka (poniżej 10 000).

** Odsetek unikatowych użytkowników w państwie, w którym zlokalizowane są komputery z zainstalowanymi produktami firmy Kaspersky Lab, które zablokowały zagrożenia sieciowe.

Lista państw w rankingu nie zmieniła się w stosunku do II kwartału 2013 r. z wyjątkiem Niemiec, które uplasowały się na 12 miejscu (35,78%), i Libii, która całkowicie wypadła z rankingu. 

Warto zauważyć, że w III kwartale 2013 roku żaden wynik indywidualnego państwa nie przekroczył 50%. Na przykład udział procentowy Rosji (1 miejsce w rankingu) wynosił 49,66%. To oznacza, że w III kwartale 2013 r. żadne państwo nie zakwalifikowało się do grupy państw o maksymalnym ryzyku, w których ponad 60% użytkowników przynajmniej raz zetknęło się z zagrożeniem online.    

Wszystkie państwa można podzielić na cztery główne grupy:

  1. Wysokie ryzyko. W grupie tej znalazło się osiem pierwszych państw z rankingu (o dwa mniej niż w II kwartale 2013 r.) z odsetkiem 41 - 60%. Obejmuje ona Wietnam (43,45%) oraz państwa Byłego Związku Radzieckiego, szczególnie Rosję (49,66%), Kazachstan (49,22%), Armenię (49,06%), Azerbejdżan  (48,43%), Tadżykistan (45,40%), Białoruś (40,36%) oraz Ukrainę (40,11%).      
  2. Umiarkowane ryzyko. W grupie tej, która w trzecim kwartale tego roku liczyła 76 członków, znajdują się państwa, w których 21-40,99% wszystkich użytkowników napotkało przynajmniej jedno zagrożenie online. Należą do niej Niemcy (35,78%), Polska (32,79%), Brazylia (30,25%), Stany Zjednoczone (29,51%), Hiszpania (28,87%), Katar (28,82%), Włochy (28,26%), Francja (27,91%), Wielka Brytania (27,11%), Zjednoczone Emiraty Arabskie (26,30%), Szwecja (21,80%), Holandia (21,44%) oraz Argentyna (21,40%).    
  3. Niskie ryzyko. W III kwartale 2013 r. grupa ta liczyła 62 państwa o odsetku w przedziale 10-21%.

q3malware2013_07_auto.png

Najniższa liczba ataków sieciowych została odnotowana w Danii (17,01%), Japonii (17,87%), Afryce Południowej (18,69%), Republice Czeskiej (19,68%), na Słowacji (19,97%) i w Finlandii (20,87%).

W okresie minionych trzech miesięcy średnio 34,1% komputerów połączonych z KSN zostało poddanych co najmniej jednemu atakowi podczas surfowania użytkownika po internecie – co stanowi spadek o 1,1 punktu procentowego w porównaniu z drugim kwartałem tego roku.

Zagrożenia lokalne

Sekcja ta zawiera analizę statystyk opartych na danych dostarczonych przez skaner online oraz statystyk skanowania różnych dysków, w tym nośników wymiennych.

Zagrożenia wykrywane na komputerach użytkowników

W III kwartale 2013 r. rozwiązania antywirusowe Kaspersky Lab skutecznie zablokowały 476 856 965 prób lokalnych infekcji na komputerach użytkowników należących do sieci Kaspersky Security Network.

Top 20 zagrożeń wykrytych na komputerach użytkowników

Miejsce 

Nazwa

% indywidualnych użytkowników*

1

Trojan.Win32.Generic

35,51%

2

DangerousObject.Multi.Generic

32,43%

3

Trojan.Win32.AutoRun.gen

13,56%

4

Adware.Win32.DelBar.a

11,80%

5

Virus.Win32.Sality.gen

9,52%

6

Adware.Win32.Bromngr.j

7,81%

7

Exploit.Win32.CVE-2010-2568.gen

7,56%

8

Adware.Win32.Bromngr.i

6,60%

9

Adware.Win32.Agent.aeph

6,55%

10

Worm.Win32.Debris.a

6,24%

11

Trojan.Win32.Starter.lgb

5,59%

12

Adware.Win32.WebCake.a

5,06%

13

Expoit.Script.Generic

4,31%

14

Trojan.WinLNK.Runner.ea

4,17%

15

Adware.Win32.Bandoo.a

4,00%

16

Virus.Win32.Generic

3,71%

17

Virus.Win32.Nimnul.a

3,67%

18

Trojan.Win32.Staser.fv

3,53%

19

Trojan.Script.Generic

3,52%

20

HiddenObject.Multi.Generic

3,36%

Statystyki te zostały stworzone na podstawie werdyktów wykrycia szkodliwego oprogramowania wygenerowanych przez skanery on-access i on-demand na komputerach użytkowników z zainstalowanymi produktami firmy Kaspersky Lab, którzy zgodzili się udostępnić informacje o szkodliwej aktywności na ich komputerach.

* Odsetek indywidualnych użytkowników, na komputerach których moduł antywirusowy wykrył te obiekty, jako procent wszystkich indywidualnych użytkowników produktów firmy Kaspersky Lab, na których komputerach wykryto szkodliwy program. 

Ranking nadal zawiera trzech wyraźnych liderów.

Na pierwszym miejscu (35,51%) w oparciu o werdykty wygenerowane przez moduł analizy heurystycznej w zakresie proaktywnego wykrywania licznych szkodliwych programów znalazł się Trojan.Win32.Generic.

Na drugim miejscu (32,43%) znalazły się szkodliwe programy zaklasyfikowane jako DangerousObject.Multi.Generic, wykrywane przy użyciu technologii opartych na chmurze. Technologie te są wykorzystywane wtedy, gdy nie ma jeszcze żadnych sygnatur w antywirusowych bazach danych oraz nie można zastosować heurystyki do wykrywania szkodliwych programów, ale chmura Kaspersky Lab zawiera już dane dotyczące tego zagrożenia. W ten sposób wykrywane są w większości najnowsze szkodliwe programy.    

Na trzecim miejscu uplasował się Trojan.Win32.AutoRun.gen (13,56%), który obejmuje szkodliwe programy wykorzystujące funkcję autorun.

Państwa, w których użytkownicy są narażeni na najwyższe ryzyko lokalnej infekcji

Poniższe dane pokazują średni współczynnik infekcji komputerów użytkowników w różnych państwach. Wśród uczestników sieci KSN, którzy dostarczają informacje o szkodliwej aktywności na ich komputerach, co najmniej jeden szkodliwy plik został wykryty na niemal jednej trzeciej (31,9%) maszyn – na dysku twardym lub przenośnym podłączonym do komputera. To o 2 punkty procentowe więcej niż w zeszłym kwartale.  

q3malware2013_08_auto.png

Poziom infekcji komputerów* według państwa — III kwartał 2013 r.  Top 20**

* Odsetek unikatowych użytkowników w państwie, w którym znajdują się komputery z zainstalowanymi produktami firmy Kaspersky Lab, które zablokowały zagrożenia sieciowe.

** Podczas obliczeń wyłączyliśmy państwa, w których znajduje się mniej niż 10 000 użytkowników produktów firmy Kaspersky Lab.

Przez ponad rok 20 najwyższych pozycji w tej kategorii zajmowały państwa z Afryki, Bliskiego Wschodu i Południowo Wschodniej Azji.

Współczynniki lokalnej infekcji można podzielić na cztery grupy na podstawie poziomu ryzyka:

  1. Maksymalny współczynnik lokalnych infekcji (ponad 60%). Tylko jedno państwo – Wietnam – zakwalifikowało się do tej kategorii (61,2%).
  2. Wysoki współczynnik lokalnych infekcji (41-60%). W III kwartale 2013 r. do grupy tej należało 29 państw, w tym Nepal (55,61%), Bangladesz (54,75%), Indie (51,88%), Maroko (42,93%) oraz Filipiny (41,97%).
  3. Umiarkowany współczynnik lokalnych infekcji (21-40,99%). Łącznie 87 państw, w tym: Zjednoczone Emiraty Arabskie (39,86%), Turcja (38,41%), Brazylia (36,67%), Chiny (36,07%), Meksyk (34,09%), Niemcy (24,31%) i Wielka Brytania (21,91%).
  4. Niski współczynnik lokalnych infekcji (poniżej 21%). Łącznie 29 państw, w tym: Stany Zjednoczone (20,36%), Kanada (19,18%), Holandia (18,39%), Szwecja (16,8%), Japonia (12,9%) i Republika Czeska (12,65%)

 q3malware2013_09_auto.png

 Ryzyko lokalnej infekcji na świecie — III kwartał 2013 r.

 

Top 10 państw o najniższym ryzyku lokalnej infekcji:  

 

Miejsce

Państwo

%

1

Dania

11,93%

2

Republika Czeska

12,85%

3

Japonia

12,90%

4

Finlandia

14,03%

5

Słowenia

14,93%

6

Norwegia

15,95%

7

Seszele

16,32%

8

Estonia

16,46%

9

Słowacja

16,72%

10

Szwecja

16,80%

W III kwartale 2013 r. w rankingu Top 10 znalazły się trzy nowe państwa – Seszele, Estonia i Słowacja – wypychając Irlandię, Holandię i Martynikę.