Szkodliwe programy mobilne 2013

Przeczytaj także: Szkodliwe programy mobilne 2012

Przy użyciu Google Cloud Messaging właściciele botnetu mogą obsługiwać go bez wykorzystywania serwera kontroli (C&C), co eliminuje ryzyko wykrycia i zablokowania botnetu przez organy ścigania. Google Cloud Messaging służy do wysyłania krótkich wiadomości (do 4 KB) na urządzenia mobilne za pośrednictwem usług Google. Deweloper musi tylko zarejestrować się i uzyskać niepowtarzalny identyfikator dla swoich aplikacji. Polecenia otrzymywane za pośrednictwem GCM nie mogą być natychmiast zablokowane na zainfekowanym urządzeniu.

Wykryliśmy kilka szkodliwych programów wykorzystujących GCM w celu kontroli – są to m.in. szeroko rozpowszechniony Trojan-SMS.AndroidOS.FakeInst.a, Trojan-SMS.AndroidOS.Agent.ao i Trojan-SMS.AndroidOS.OpFake.a. Google aktywnie walczy z wykorzystywaniem swojej usługi do takich celów, niezwłocznie reagując na doniesienia od firm antywirusowych i blokując identyfikatory cyberprzestępców.

Ataki na system Windows XP pozwalają mobilnemu szkodliwemu oprogramowaniu zainfekować komputer PC po podłączeniu do niego smartfona lub tabletu. Na początku 2013 roku wykryliśmy dwie identyczne aplikacje w sklepie Google Play, które miały rzekomo wyczyścić system operacyjny urządzeń z Androidem z niepotrzebnych procesów. W rzeczywistości, celem takich aplikacji było pobieranie pliku autorun.inf, pliku ikonki oraz pliku win32-Trojan, który mobilny szkodliwy program lokalizuje w katalogu głównym karty SD. Po połączeniu smartfona w trybie emulacji dysku USB do komputera działającego pod kontrolą Windows XP system automatycznie uruchamia trojana (jeśli nie został wyłączony AutoPlay na nośnikach zewnętrznych) i zostaje zainfekowany. Trojan ten pozwala przestępcom zdalnie kontrolować komputer ofiary i potrafi nagrywać dźwięk z mikrofonu. Podkreślamy, że taka metoda ataku działa tylko z wersjami systemu Windows XP oraz z Androidem wcześniejszym niż 2.2.

Najbardziej zaawansowanymi mobilnymi szkodliwymi programami są dzisiaj trojany atakujące konta użytkowników banków – które stanowią najatrakcyjniejsze źródło przychodów przestępców.

Trend roku: mobilne trojany bankowe

Rok 2013 odznaczał się gwałtownym wzrostem liczby trojanów bankowych dla Androida. Cyberprzemysł mobilnego szkodliwego oprogramowania w coraz większym stopniu koncentruje się na generowaniu zysków w sposób bardziej efektywny, tj. poprzez mobilny phishing, kradzież informacji dotyczących kart kredytowych, przelewanie pieniędzy z kart bankowych na telefony mobilne oraz z telefonów do elektronicznych portfeli przestępców. Cyberprzestępcy mają „obsesję” na punkcie tej metody uzyskiwania nielegalnych dochodów: na początku roku znaliśmy jedynie 67 trojanów bankowych, jednak już pod koniec roku istniało już 1 321 unikatowych próbek. Produkty mobilne firmy Kaspersky Lab zapobiegły 2 500 infekcjom, których sprawcami były trojany bankowe.

Mobilne trojany bankowe mogą współdziałać z trojanami Win-32, aby obejść uwierzytelnienie dwuskładnikowe – czy dokonać kradzieży mTAN (kradzież kodów weryfikacji bankowej wysyłanych przez banki do swoich klientów w wiadomościach SMS). Jednak w 2013 r. autonomiczne mobilne trojany bankowe rozwinęły się jeszcze dalej. Obecnie trojany te atakują ograniczoną liczbę klientów banków, spodziewamy się jednak, że cyberprzestępcy opracują nowe techniki, które pozwolą im zwiększyć liczbę i zasięg geograficzny potencjalnych ofiar.

Obecnie celem większości ataków przy użyciu trojanów bankowych są użytkownicy z Rosji i Wspólnoty Niepodległych Państw. Jednak taka sytuacja nie potrwa długo: biorąc pod uwagę zainteresowanie cyberprzestępców kontami bankowymi użytkowników, spodziewamy się, że w 2014 r. aktywność mobilnych trojanów bankowych wzrośnie również w innych państwach.

Jak już wspominaliśmy wcześniej, trojany bankowe są prawdopodobnie najbardziej złożone spośród wszystkich zagrożeń mobilnych, a Svpeng to jeden z najbardziej znamiennych przykładów.