W pierwszym kwartale 2011 roku w świecie zagrożeń IT miało miejsce wiele wydarzeń. Prognozy, jakie przedstawiliśmy w naszym rocznym Biuletynie Bezpieczeństwa, szczególnie te dotyczące zagrożeń mobilnych i ataków ukierunkowanych, bardzo szybko zaczęły się sprawdzać. Poniżej przedstawiamy analizę najistotniejszych incydentów, które miały miejsce w pierwszym kwartale.

Teraz dostępne już w sklepie – mobilne trojany

Zaczniemy od szkodliwego oprogramowania dla systemu Android umieszczanego przez cyberprzestępców w Android Markecie. Szkodliwe aplikacje - wykryto ich ponad pięćdziesiąt - zostały zainfekowane trojanami i zamaskowane pod postacią legalnych programów. Celem atakujących były dane dotyczące telefonów komórkowych, łącznie z numerem IMEI oraz IMSI. Trojany te zawierały również moduł, który potrafił instalować na urządzeniach niczego nieświadomych użytkowników dodatkowe szkodliwe komponenty. Wiązało się to z przejęciem pełnej kontroli nad telefonem poprzez wprowadzenie go w tryb “jailbreak” (jest to proces obejścia ochrony w celu zapewnienia pełnego dostępu do systemu plików urządzenia). W celu uzyskania przywilejów administratora, które zapewniają praktycznie nieograniczone możliwości manipulowania systemem, szkodliwe oprogramowanie wykorzystywało luki w systemie Android przy pomocy popularnych exploitów ‘rage against the cage’, rozprzestrzenianych w tym samym pakiecie co trojany.

Użytkownicy, którzy zainstalowali na swoich urządzeniach program Kaspersky Mobile Security 9, byli w pełni chronieni. Mimo że trojany były stosunkowo nowe i nie zostały dodane do antywirusowych baz danych, rozwiązane Kaspersky Lab wykrywało exploity znajdujące się w tym samym pakiecie. Do czasu stworzenia sygnatur dla nowych trojanów KMS 9 wykrywał proaktywnie cały pakiet jako Exploit.AndroidOS.Lotoor.g oraz Exploit.AndroidOS.Lotoor.j. Po dodaniu trojanów do antywirusowych baz danych wykrywamy je jako Backdoor.AndroidOS.Rooter. Warto wspomnieć, że w klasyfikacjach innych producentów antywirusowych szkodniki te występują też pod nazwą DroidDream.

Nasuwają się dwa pytania:

• Czy zdobycie konta producenta oprogramowania dla systemu Android stanowiłoby problem dla cyberprzestępców?
  
  Niestety, nie. Aby zdobyć takie konto, wystarczy zapłacić 25 dolarów amerykańskich. Najwyraźniej Google chce przyciągnąć możliwie jak najwięcej producentów do swojego systemu operacyjnego. Jednak 25 dolarów nie stanowi wystarczającej bariery i cyberprzestępców stać na stworzenie kilkudziesięciu takich kont. W rezultacie może powstać błędne koło: z jednej strony Google będzie zamykał konta wykorzystywane do dystrybucji szkodliwego oprogramowania, z drugiej strony cyberprzestępcy będą tworzyli nowe.
• Czy można wprowadzić bardziej restrykcyjną kontrolę w stosunku do aplikacji oferowanych w Android Markecie?
  
  Głównym problemem jest dostępność zasobów niezbędnych do realizacji tego rozwiązania. Sprawdzenie całego kodu w aplikacjach dostępnych w Android Markecie, App Store, Samsung Markecie oraz innych sklepach jest trudnym zadaniem, ponieważ jego automatyzacja jest prawie niemożliwa. To oznacza, że w przyszłości bez wątpienia zwiększy się liczba zainfekowanych programów dostępnych w różnych sklepach z aplikacjami.

Jak już wspominaliśmy wcześniej, szkodliwe oprogramowanie wykryte w Android Markecie wykorzystywało luki w zabezpieczeniach. Luki te dotyczyły urządzeń z Androidem w wersjach wcześniejszych niż 2.3 ‘Gingerbread’, która została opublikowana 6 grudnia 2010 roku. Według Google, trzy miesiące od publikacji odsetek smartfonów z tą nową wersją systemu operacyjnego wynosił tylko 2%. Wygląda na to, że użytkownicy nie spieszą się z aktualizacją swoich systemów do nowszej wersji. Głównym powodem tej opieszałości jest to, że producenci urządzeń wprowadzają znaczne modyfikacje do swoich systemów operacyjnych, zanim zainstalują je na urządzeniach przenośnych. W efekcie, aktualizacja systemu operacyjnego do nowszej wersji może okazać się niemożliwa lub całkowicie uzależniona od działań producenta sprzętu.