Kaspersky Lab: szkodliwe programy III kw. 2013

Przeczytaj także: Kaspersky Lab: szkodliwe programy II kw. 2013

Porywanie znanych domen

Na początku października zhakowano kilka popularnych domen, w tym whatsapp.com, alexa.com, redtube.com oraz dwie znane firmy z branży bezpieczeństwa. Wygląda na to, że zamiast włamać się do serwerów sieciowych osoby atakujące, grupa o nazwie KDMS, wolała porwać organizacje zarządzające przydzielaniem nazw domen internetowych (DNS). Wszystkie zhakowane domeny korzystały tej samej organizacji DNS i zostały uaktualnione niedługo przed tym, jak incydent ten ujrzał światło dzienne. Według Softpedia, dostawca usług internetowych obsługujący zhakowane strony został zaatakowany przy użyciu metody polegającej na wysłaniu fałszywych żądań resetowania haseł za pośrednictwem poczty e-mail. Po przejęciu kontroli nad domeną przy użyciu nowych danych uwierzytelniających dostęp osoby atakujące zmieniły wpisy i rozpowszechniały oświadczenia polityczne.

Mobilne szkodliwe oprogramowanie
W trzecim kwartale 2013 r. wiele się działo na froncie walki z mobilnym szkodliwym oprogramowaniem, ponieważ w arsenale cyberprzestępców pojawił się cały zestaw nowych sztuczek.

Nowe pomysły twórców szkodliwego oprogramowania

Trzeci kwartał bez wątpienia upłynął pod znakiem mobilnych botnetów. Cyberprzestępcy stojący za najbardziej rozpowszechnionymi trojanami SMS próbują przydać nieco interaktywności do sposobu zarządzania swoimi zasobami. W tym celu zarządzają swoimi botami przy użyciu Google Cloud Messaging (GCM). Serwis ten pozwala im wysyłać krótkie wiadomości w formacie JSON na urządzenia mobilne, służąc jako dodatkowy serwer kontroli dla ich trojanów.

Wykrycie tego sposobu interakcji stanowi poważne wyzwanie dla rozwiązań bezpieczeństwa. Polecenia otrzymywane z GCM są obsługiwane przez system, co oznacza, że nie mogą zostać po prostu zablokowane na zainfekowanych urządzeniach.
Jedynym sposobem, aby uniemożliwić twórcom szkodliwego oprogramowania wykorzystywanie tego kanału do komunikowania się z ich szkodliwym oprogramowaniem jest zablokowanie kont GCM twórców, którzy wykorzystują je do rozprzestrzeniania szkodliwego oprogramowania.

Niewiele mobilnych szkodliwych programów potrafi wykorzystywać GCM, ale te, które potrafią, są często bardzo popularne.

W połowie lipca 2013 r. zidentyfikowaliśmy pierwsze botnety osób trzecich, tj. mobilne urządzenia zainfekowane innymi szkodliwymi programami i wykorzystywane przez innych cyberprzestępców do rozprzestrzeniania mobilnego szkodliwego oprogramowania.

W ten sposób rozprzestrzeniany był najbardziej wyrafinowany trojan dla Androida, znany jako Obad - przy użyciu urządzeń przenośnych zainfekowanych trojanem Trojan-SMS.AndroidOS.Opfake.a. Po otrzymaniu polecenia z serwera kontroli Opfake zaczął wysyłać wiadomości tekstowe do wszystkich kontaktów ofiary, zachęcając ich do pobrania nowej wiadomości MMS. Jeżeli użytkownik, który otrzymał ten tekst, kliknie zawarty w wiadomości odsyłacz, na jego urządzenie zostanie automatycznie pobrany Backdoor.AndroidOS.Obad.a.

Mobilne szkodliwe oprogramowanie jest zwykle wykorzystywane do kradzieży pieniędzy właścicieli telefonów. W III kwartale pojawił się nowy szkodliwy program, który pozwala cyberprzestępcom kraść pieniądze z kont bankowych ofiar, jak również z ich kont na telefonach komórkowych. W lipcu wykryliśmy trojana o nazwie Trojan-SMS.AndroidOS.Svpeng.a, który może zostać poinstruowany przez swojego twórcę, aby ustalił, czy numer telefonu komórkowego jest powiązany z serwisami bankowości online różnych rosyjskich banków. Druga modyfikacja tego trojana zawierała kod wykonujący tę funkcjonalność:
Telefon powiązany z usługą bankowości mobilnej zazwyczaj daje możliwość doładowania konta mobilnego poprzez wysłanie wiadomości tekstowej stworzonej w oparciu o określony szablon. Pozwala to osobom atakującym wykorzystać usługę bankowości mobilnej do przelania dostępnych środków na swoje mobilne numery, a następnie zamienić je na gotówkę, np. poprzez przelewanie pieniędzy na konta w systemie płatności elektronicznych, takich jak QIWI Wallet.

Trojan-SMS.AndroidOS.Svpeng.a uniemożliwia ofierze komunikowanie się z bankiem. W szczególności, przechwytuje wiadomości i połączenia pochodzące z numerów banków. W efekcie, ofiary często przez długi czas nie zdają sobie sprawy, że ich pieniądze są kradzione z kont bankowych.

Trojany te mogą narazić użytkowników na straty w wysokości tysięcy dolarów.