Ewolucja złośliwego oprogramowania 2013

Przeczytaj także: Ewolucja złośliwego oprogramowania 2012

Niniejszy raport wchodzi w skład Kaspersky Security Bulletin 2013 i opiera się na danych uzyskanych i przetworzonych przy użyciu Kaspersky Security Network (KSN). KSN wprowadza technologie oparte na chmurze do produktów korporacyjnych oraz przeznaczonych dla użytkowników indywidualnych i stanowi jedną z najważniejszych innowacji firmy Kaspersky Lab. Statystyki prezentowane w tym raporcie oparte są na danych uzyskanych z produktów Kaspersky Lab zainstalowanych na komputerach użytkowników na całym świecie. Użytkownicy wyrazili zgodę na pozyskiwanie z ich komputerów informacji statystycznych na temat szkodliwej aktywności.

2013 w liczbach

• W nawiązaniu do danych pochodzących z KSN, w 2013 roku produkty Kaspersky Lab zneutralizowały 5 188 740 554 cyberataków na komputery użytkowników i urządzenia mobilne.
• Wykryto 104 427 nowych modyfikacji szkodliwego oprogramowania na urządzenia mobilne.
• Produkty Kaspersky Lab zneutralizowały 1 700 870 654 ataków zainicjowanych z komputerów będących online na całym świecie.
• Produkty Kaspersky Lab wykryły blisko 3 miliardy ataków wirusów na komputery użytkowników. Z udaremnionych ataków łącznie 1,8 miliona stanowiły szkodliwe i potencjalnie niechciane programy.
• 45% ataków ze stron internetowych zneutralizowanych przez produkty Kaspersky Lab pochodziło z zainfekowanych stron zlokalizowanych w USA i Rosji.

Zagrożenia mobilne

Rynek mobilny jest jednym z najszybciej rozwijających się obszarów bezpieczeństwa IT. W 2013 roku problemy bezpieczeństwa związane z urządzeniami mobilnymi osiągnęły nowy, wyższy poziom dojrzałości, zarówno pod względem ilości, jak i jakości. Jeżeli 2011 był rokiem, kiedy mobilne zagrożenia stawały się coraz bardziej popularne, zwłaszcza w krainie Androida, a 2012 był rokiem dywersyfikacji złośliwego oprogramowania, to w 2013 mobilne szkodniki osiągnęły pełnoletniość. Nie jest wielkim zaskoczeniem fakt, że szkodliwe programy w wydaniu mobilnym, pod względem techniki ataków i modelu biznesowego, zbliżają się coraz bardziej do szkodników przeznaczonych na komputery klasy PC, niemniej jednak tempo rozwoju tego typu oprogramowania jest zadziwiające.

Obad, prawdopodobnie najbardziej niezwykłe odkrycie w dziedzinie zagrożeń mobilnych, jest dystrybuowany na wiele sposobów, w tym przez wstępnie ustawione botnety. Smartfony z systemem Android zainfekowane trojanem Opfake.a są używane do powielania i wysyłania wiadomości tekstowych zawierających złośliwe linki do każdego kontaktu na urządzeniu ofiary. Działania takie były powszechną praktyką w świecie zagrożeń PC a teraz trafiają do szkodników mobilnych.

Mobilne botnety oferują znaczną przewagę nad ich tradycyjnymi odpowiednikami: smartfony rzadko są wyłączane, a to sprawia, że można na nich polegać w większym stopniu, ponieważ prawie wszystkie ich zasoby są zawsze dostępne i gotowe do wykonywania instrukcji. Typowe zadania realizowane przez botnety to m.in. masowe wysyłanie spamu, ataki DDoS i masowe szpiegostwo danych osobowych. Nie wymagają one dużej mocy obliczeniowej i łatwo je wykonać na smartfonach. Botnet MTK, pojawił się na początku 2013 roku, a Opfake był kolejnym z wielu i zagrożenia te są dowodem, że mobilne botnety nie są już placem zabaw dla cyberprzestępców, lecz stały się powszechną praktyką, która ma na celu zarabianie pieniędzy.

Ważne wydarzenia

• Mobilne trojany bankowe.
 Zalicza się do nich mobilny phishing, kradzież informacji dotyczących karty kredytowej przypisanej do mobilnego rachunku i wreszcie do mobilnego portfela QIWI. W 2013 spotkaliśmy także mobilne trojany, które są w stanie sprawdzić saldo na rachunku ofiary, co pomaga cyberprzestępcom w uzyskaniu jak największych zysków.
• Mobilne botnety. Tak jak wspomniano wyżej, botnety oferują dużą elastyczność w scenariuszach nielegalnych metod pozyskiwania pieniędzy. Dotknęło to także świata urządzeń mobilnych i wszystko wskazuje na to, że tak zostanie. Według naszych wyliczeń, około 60% mobilnych szkodliwych programów stanowi element większego lub mniejszego botnetu.
• Backdoor.AndroidOS.Obad. Ten szkodnik jest wciąż realnym zagrożeniem - dotychczas znaleziono trzy exploity, backdoora, troajna SMS oraz narzędzia dające mu możliwości botnetu. Jest swego rodzaju szwajcarskim scyzorykiem o dużej funkcjonalności.
• Używanie GCM do kontroli botnetów. Cyberprzestępcy znaleźli sposób, by wykorzystać usługę Google Cloud Messaging (GCM) do kontroli urządzeń zombie podłączonych do botnetu. Metoda ta jest stosowana przez stosunkowo niewielką liczbę szkodliwych programów, ale niektóre z nich są powszechnie stosowane. Rozkazy otrzymywane z GCM są przetwarzane przez system GCM i zablokowanie tych poleceń bezpośrednio na zainfekowanym urządzeniu jest niemożliwe.
• Ataki APT przeciwko ujgurskim aktywistom.
 Widzieliśmy już szkodliwe oprogramowanie pisane dla systemu Windows i OS X, wykorzystujące znane rozszerzenia, takie jak PDF, XLS, DOC czy ZIP, które były wysyłane w załącznikach e-mail, w celu przeprowadzenia ataku. Teraz do tego arsenału zostały dodane pliki z rozszerzeniem APK, szpiegując dane osobowe na urządzeniach mobilnych ofiar i umożliwiając ich namierzenie.
• Słabości w Androidzie. 
Mówiąc krótko, widzieliśmy exploity biorące sobie za cel Androida z trzech powodów. By obejść sprawdzanie i poprawność aplikacji w czasie instalacji, w celu zwiększenia praw danej aplikacji oraz utrudnienia analizy. Dwie ostatnie metody użyte zostały także w Obadzie.
• Ataki na PC-ty przy pomocy urządzeń z Androidem. Widzieliśmy już szkodliwe oprogramowanie dla tradycyjnych systemów, które infekuje smartfony, ale nie odwrotnie. Niestety smartfony mogą już infekować komputery PC. Kiedy zainfekowany Android jest podłączony do komputera poprzez USB i ustawiony w trybie emulacji, złośliwe oprogramowanie zostaje uruchomione.