Cyberprzestępczość mobilna 2016. Co nęka smartfony i tablety?

Przeczytaj także: Tylko co 2 urządzenie mobilne jest bezpieczne

Cybeprzestępczość mobilna 2016 w liczbach

• odnotowano prawie 40 milionów prób ataków przy użyciu mobilnego szkodliwego oprogramowania, przy czym liczba użytkowników chronionych urządzeń pracujących w oparciu o Android przekroczyła 4 miliony (w 2015 r. było to jedynie 2,6 miliona),
• wykryto ponad 260 000 instalacji mobilnych trojanów ransomware, których celem było wyłudzenie okupu w zamian za odszyfrowanie danych (8,5-krotny wzrost w stosunku do poprzedniego roku),
• znaleziono przeszło 153 000 unikatowych użytkowników, którzy stali się ofiarami mobilnych programów ransomware (1,6-krotny wzrost w porównaniu z 2015 r.),
• ponad 128 000 wykrytych mobilnych trojanów bankowych (niemal 1,6-krotnie więcej niż w 2015 r.).

Trojany wyświetlające reklamy

Cyberprzestępczość mobilna 2016 stała trojanami wyświetlającymi niechciane reklamy. Oprogramowanie to jest w stanie pozyskać uprawnienia administratora urządzenia mobilnego, co umożliwia mu nie tylko na agresywne wyświetlanie reklam (prowadzące do znacznych utrudnień w obsłudze smartfona lub tabletu), ale również na ukradkową instalację innych aplikacji. Co więcej, mogą automatycznie kupować aplikacje w sklepie Google Play.

W wielu przypadkach trojany potrafiły wykorzystać luki w zabezpieczeniach, dla których istniały już łaty, jeśli użytkownik nie zainstalował najnowszej aktualizacji.

Co więcej, szkodniki tego typu instalują jednocześnie swoje moduły w folderze systemowym, co znacznie utrudnia leczenie zainfekowanego urządzenia. Niektóre trojany wyświetlające reklamy potrafią nawet zainfekować obraz odzyskiwania systemu, uniemożliwiając rozwiązanie problemu poprzez przywrócenie urządzenia do ustawień fabrycznych.

Przedstawiciele szkodliwego oprogramowania tej klasy byli wielokrotnie wykrywani w oficjalnym sklepie z aplikacjami firmy Google, podszywając się np. pod przewodnik do gry Pokemon GO. W tym przypadku aplikacja została pobrana ponad 500 000 razy i jest wykrywana przez rozwiązania Kaspersky Lab jako Trojan.AndroidOS.Ztorg.ad.
Mobilne oprogramowanie ransomware: dalszy rozwój
W 2016 roku 153 258 unikatowych użytkowników z 167 państw zostało zaatakowanych przez trojany żądające okupu — 1,6-krotnie więcej niż w 2015 r.

Współczesne mobilne oprogramowanie ransomware nakłada okna z żądaniem okupu, uniemożliwiając tym samym korzystanie z urządzenia. Zgodnie z tą zasadą działał najpopularniejszy mobilny program ransomware w 2016 roku — Trojan-Ransom.AndroidOS.Fusob.

Trojan ten atakuje głównie użytkowników w Niemczech, Stanach Zjednoczonych oraz Wielkiej Brytanii, omija natomiast użytkowników ze Wspólnoty Niepodległych Państw oraz niektórych państw sąsiednich. Po uruchomieniu szkodnik sprawdza język urządzenia, a po uzyskaniu określonych wyników może zakończyć działanie. Odpowiedzialni za to zagrożenie cyberprzestępcy żądają zwykle od 100 do 200 dolarów za odblokowanie urządzenia. Okup należy zapłacić przy użyciu kodów z kart do sklepu iTunes firmy Apple.

Mobilne trojany bankowe: rosnące zagrożenie

Cybeprzestępczość mobilna 2016 to także mobilne trojany bankowe, które zdołały zaatakować ponad 305 000 użytkowników w 164 krajach. Dla porównania — rok wcześniej cyberprzestępczość finansowa zaatakowała 56 000 użytkowników urządzeń mobilnych w 137 krajach.

Mobilne trojany bankowe ewoluowały przez cały rok. Wiele z nich zyskało narzędzia pozwalające na omijanie nowych mechanizmów zabezpieczających w systemie Android i nadal mogło kraść informacje dotyczące użytkowników z najnowszych wersji tego systemu operacyjnego. Jednocześnie twórcy mobilnych trojanów bankowych nieustannie udoskonalali swoje szkodniki o nowe możliwości. Na przykład rodzina Marcher, oprócz typowej funkcji nakładania się na aplikacje bankowe, przekierowywała użytkowników ze stron internetowych instytucji finansowych na oszukańcze strony phishingowe.

Widmo sieci Dark Web

Według specjalistów z ośrodka Interpol Global Complex for Innovation, którzy wnieśli wkład w stworzenie raportu Kaspersky Lab, tzw. sieć Dark Web, zwana mroczną stroną internetu, nadal stanowi atrakcyjne środowisko prowadzenia nielegalnych transakcji i działań.

Ze względu na anonimowość, niskie ceny oraz strategię zorientowaną na klienta Dark Web umożliwia przestępcom komunikowanie się i przeprowadzanie transakcji handlowych, a także nabywanie i sprzedaż różnych produktów oraz usług, w tym zestawów do tworzenia mobilnego szkodliwego oprogramowania. Mobilne szkodliwe oprogramowanie jest oferowane na sprzedaż w formie pakietów oprogramowania (np. trojanów zdalnego dostępu — RAT), indywidualnych rozwiązań i wyrafinowanych narzędzi opracowanych przez profesjonalnych programistów. Niezaawansowani technicznie przestępcy mogą także wynająć konkretny atak w modelu „cyberzagrożenie jako usługa”.

W 2016 r. miał miejsce dalszy wzrost liczby trojanów wyświetlających reklamy, które potrafiły wykorzystywać prawa administratora. Było to główne zagrożenie w całym roku i nic nie wskazuje na zmianę tego trendu. Cyberprzestępcy wykorzystują fakt, że większość urządzeń nie otrzymuje aktualizacji systemu operacyjnego (lub otrzymuje je z dużym opóźnieniem), w wyniku czego występują w nich stare, dobrze znane i łatwe do wykorzystania luki w zabezpieczeniach. Co więcej, można zauważyć, że krajobraz mobilny staje się nieco zatłoczony dla cyberprzestępców i coraz częściej zaczynają oni wychodzić poza świat smartfonów/tabletów. Być może w 2017 r. będą miały miejsce znaczące ataki na urządzenia Internetu Rzeczy przeprowadzane z urządzeń mobilnych — powiedział Roman Unuchek, starszy analityk szkodliwego oprogramowania, Kaspersky Lab.