Kaspersky Lab: szkodliwe programy II 2012

Przeczytaj także: Kaspersky Lab: szkodliwe programy XI 2011

Zagrożenia mobilne

Ostatnie wydarzenia dotyczące zagrożeń mobilnych, występujące na całym świecie, pokazały, że w 2012 r. botnety mobilne staną się jednym z głównych problemów dla użytkowników smartfonów oraz firm antywirusowych.

Botnet mobilny RootSmart

W stosunkowo krótkim czasie chińscy twórcy wirusów zdołali stworzyć botnet infekując od 10 000 do 30 000 aktywnych urządzeń. Całkowita liczba urządzeń zainfekowanych od momentu pojawienia się botnetu wynosi już setki tysięcy. Zgodnie z systemem klasyfikacji Kaspersky Lab zagrożenie to należy do rodziny Backdoor.AndroidOS.RootSmart. Wszystkie urządzenia zainfekowane RootSmart potrafią zdalnie otrzymywać i wykonywać polecenia z serwera kontroli.

Tak wysoką liczbę zainfekowanych urządzeń można przyrównać do komputerów działających pod kontrolą systemu Windows OS. Wygląda na to, że luka między liczbą botnetów mobilnych a “konwencjonalnych” zmniejsza się, mimo że sposoby wykorzystywania ich do zarabiania pieniędzy są inne. O ile botnety oparte na komputerach zazwyczaj są wykorzystywane do przeprowadzania ataków DDoS i rozsyłania masowych wysyłek spamowych, taktyki te nie są tak skuteczne w przypadku botnetów mobilnych.

Szkodliwi użytkownicy kontrolujący botnet RootSmart zdecydowali się stosować SMS-y o podwyższonej opłacie – jest to konwencjonalna i najpopularniejsza wśród cyberprzestępców metoda szybkiego zarabiania pieniędzy na zainfekowanych urządzeniach mobilnych. Osoby kontrolujące botnet potrafią ustawić częstotliwość (jeden, dwa lub trzy SMS-y dziennie itd.) oraz okres wysyłania kosztownych wiadomości tekstowych, jak również krótkie numery, na które będą wysyłane te wiadomości. Ponieważ szkodliwi użytkownicy posiadają pełną kontrolę nad zainfekowanym urządzeniem, mogą robić, co im się żywnie podoba bez wzbudzania podejrzeń właściciela telefonu (np. wykorzystując najmniej kosztowne wiadomości tekstowe), oraz kontrolować przychody generowane przez botnet. W przeciwieństwie do trojanów SMS podejście to pozwala cyberprzestępcom wygenerować stały, znaczny przypływ gotówki w długim okresie.

Aresztowanie autorów backdoora Foncy

W styczniu 2012 wykryliśmy program o nazwie Backdoor.Linux.Foncy.a, który obecnie wydaje się być najbardziej uderzającym przykładem szkodliwego programu wykorzystywanego przez cyberprzestępców, aby zdalnie kontrolować zainfekowane urządzenie poprzez wysyłanie różnych poleceń.

Backdoor ten jest instalowany w systemie przy pomocy droppera APK z exploitem roota (Exploit.Linux.Lotoor.ac) oraz trojana SMS (Trojan-SMS.AndroidOS.Foncy.a). Czytelnicy być może przypominają sobie, że rodzina trojanów SMS Foncy została po raz pierwszy wykryta w listopadzie 2011 r.

Dobre wieści nadeszły pod koniec lutego: w Paryżu aresztowano dwie osoby podejrzane o zainfekowanie szkodnikiem Foncy ponad 2 000 urządzeń z Androidem. Jest to pierwszy przypadek aresztowania autorów mobilnego szkodliwego oprogramowania. Co więcej, minęły tylko trzy miesiące od pojawienia się publicznych informacji o Foncy. Mamy nadzieję, że sprawa ta znajdzie swoją logiczną konkluzję i wkrótce usłyszymy o wyroku dla tych twórców mobilnego szkodliwego oprogramowania. Władze szacują, że tacy szkodliwi użytkownicy spowodowali straty finansowe w wysokości 100 000 euro.