Szkodliwe programy mobilne 2013

Przeczytaj także: Szkodliwe programy mobilne 2012

Rozprzestrzenianie za pośrednictwem botnetów. Boty zazwyczaj rozprzestrzeniają się samodzielnie poprzez wysyłanie wiadomości tekstowych zawierających szkodliwy odsyłacz na adresy pobrane z książki adresowej ofiary. Odnotowaliśmy również przypadek mobilnego szkodliwego oprogramowania rozprzestrzeniającego się za pośrednictwem botnetu osoby trzeciej.

Odporność na ochronę przed szkodliwym oprogramowaniem

Możliwość nieprzerwanego działania szkodnika na urządzeniu mobilnym ofiary stanowi istotny aspekt rozwoju szkodliwego oprogramowania. Im dłużej trojan „przetrwa” w smartfonie, tym więcej pieniędzy zarobi dla swojego właściciela. Jest to obszar, nad którym aktywnie pracują twórcy wirusów, czego efektem jest duża liczba innowacji technologicznych.

Przestępcy w coraz większym stopniu stosują zaciemnianie, tj. celowe działanie polegające na stworzeniu złożonego kodu w celu utrudnienia jego analizy. Im bardziej złożone zaciemnianie, tym więcej czasu zajmie rozwiązaniu antywirusowemu zneutralizowanie szkodliwego kodu. Co istotne, współcześni twórcy wirusów opanowali wykorzystywanie komercyjnych narzędzi do zaciemniania. To oznacza, że poczynili znaczne inwestycje. Na przykład, jedno z takich narządzi, którego koszt wynosi 350 dolarów, zostało wykorzystane w przypadku trojana i Opfak.bo Obad.a

Luki w zabezpieczeniach systemu Android są wykorzystywane przez cyberprzestępców do trzech głównych celów: obejście kontroli integralności kodu podczas instalowania aplikacji (luka Master Key); zwiększenie przywilejów szkodliwych aplikacji, co pozwala znacznie rozszerzyć ich możliwości; oraz utrudnienie usuwania szkodliwego oprogramowania. Na przykład, Svpeng wykorzystuje nieznaną wcześniej lukę w celu zabezpieczenia się przed ręcznym usunięciem lub przy użyciu programu antywirusowego.

Cyberprzestępcy wykorzystują również lukę Master Key i nauczyli się osadzać niepodpisane pliki wykonywalne w pakietach instalacyjnych Androida. Weryfikację podpisu cyfrowego można obejść poprzez nadanie szkodliwemu plikowi dokładnie takiej samej nazwy, jaką posiada legalny plik oraz umieszczenia go na tym samym poziomie w archiwum. System weryfikuje podpis legalnego pliku, ale instaluje szkodliwy plik.

Niestety, specyficzna cecha luk w systemie Android sprawia, że można je usunąć jedynie poprzez otrzymanie aktualizacji od producentów urządzenia. Jednak wielu użytkowników nie spieszy się z aktualizacją systemów operacyjnych swoich produktów. Jeżeli smartfon lub tablet został wprowadzony do sprzedaży ponad rok temu, prawdopodobnie nie jest już objęty wsparciem producenta, który nie dostarcza już łat dla luk. W takim przypadku jedyna pomoc może przyjść ze strony rozwiązania antywirusowego, np. Kaspersky Internet Security for Android.

Osadzanie szkodliwego kodu w legalnych programach pomaga ukryć infekcję przed ofiarą. Naturalnie nie oznacza to, że można wykorzystać podpis cyfrowy twórcy oprogramowania. Ponieważ jednak nie istnieją centra certyfikacji weryfikujące podpis cyfrowy programów dla Androida, nic nie stoi cyberprzestępcom na przeszkodzie, aby dodać własny podpis. W efekcie, może okazać się, że kopia Angry Birds pobrana z nieoficjalnego sklepu z aplikacjami lub z forum może zawierać szkodliwą funkcjonalność.

Możliwości i funkcjonalność
W 2013 r. wykryliśmy kilka innowacji technologicznych opracowanych i wykorzystywanych przez przestępców w szkodliwym oprogramowaniu. Poniżej znajdują się opisy kilku najbardziej interesujących.

Kontrola szkodliwego oprogramowania z jednego centrum zapewnia maksymalną elastyczność. Na botnetach można zarobić znacznie więcej pieniędzy niż na autonomicznych trojanach. Nie jest zatem niespodzianką, że wiele trojanów SMS zawiera funkcjonalność bota. Według naszych szacunków, około 60% mobilnego szkodliwego oprogramowania stanowi elementy zarówno dużych jak i małych botnetów mobilnych.