Szkodliwe programy mobilne 2011

Przeczytaj także: Szkodliwe programy mobilne 2010

Man-in-the-M(iddle)obile

Pierwszy atak z wykorzystaniem technologii Man-in-the-Mobile miał miejsce w 2010 r. Jednak ich złoty okres przypadł na 2011 rok, gdy pojawiły się wersje ZitMo czy SpitMo dla różnych platform (ZitMo dla Windows Mobile oraz ZitMo i SpitMo dla Androida), a szkodliwi użytkownicy wciąż usprawniali funkcje swoich programów.

Trojany ZitMo (ZeuS-in-the-Mobile) oraz SpitMo (SpyEye-in-the-Mobile) działają w połączeniu ze zwykłymi programami ZeuS i SpyEye i stanowią jedne z najbardziej złożonych mobilnych zagrożeń, jakie zostały ostatnio wykryte. Ich funkcje charakteryzują się:

• Działaniem w tandemie: osobno, ZitMo oraz SpitMo to typowe programy spyware potrafiące wysyłać wiadomości tekstowe. Jednak wykorzystane wraz z „klasycznym” trojanem ZeuS czy SpyEye pozwalają szkodliwym użytkownikom pokonać bariery bezpieczeństwa chroniące użytkowników dokonujących transakcji bankowych z wykorzystaniem kodów mTAN.
• Wąskim obszarem specjalizacji: przesyłanie przychodzących wiadomości z kodem mTAN do szkodliwych użytkowników lub ich serwerów. Kody mTAN są następnie wykorzystywane przez cyberprzestępców do potwierdzania operacji finansowych przy użyciu zhakowanych kont bankowych.
• Działaniem na wielu różnych platformach: wykryto wersje ZitMo dla systemów Symbian, Windows Mobile, BlackBerry oraz Android, z kolei SpitMo pojawił się w wersji dla Symbiana oraz Androida.

Być może jednym z najważniejszych wydarzeń zeszłego roku było potwierdzenie istnienia ZitMo dla BlackBerry oraz pojawienie się wersji ZitMo oraz SpitMo dla Androida. Szczególnie interesujące jest pojawienie się ZitMo oraz SpitMo dla Androida, ponieważ autorzy tych zagrożeń zdawali się pomijać tę najpopularniejszą platformę mobilną przez stosunkowo długi czas.

Ataki przy użyciu ZitMo, SpitMo oraz podobnych zagrożeń będą kontynuowane w przyszłości w celu kradzieży kodów mTAN (lub innych poufnych danych przesyłanych za pośrednictwem wiadomości tekstowych). Jednak ataki te prawdopodobnie staną się bardziej ukierunkowane, a liczba ich ofiar zacznie wzrastać.

Kody QR: nowy sposób rozprzestrzeniania zagrożeń

Kody QR stają się coraz bardziej rozpowszechnione i szeroko wykorzystywane np. w różnych formach reklamy w celu zapewnienia szybkiego, łatwego dostępu do konkretnych informacji. Dlatego też pierwsze ataki z wykorzystaniem kodów QR nie były wielkim zaskoczeniem.

Dzisiaj użytkownicy smartfonów często szukają oprogramowania dla swoich urządzeń przy użyciu tradycyjnych komputerów. W takich przypadkach trzeba ręcznie wprowadzić adres URL do przeglądarki swojego urządzenia mobilnego. Sposób ten może być bardzo niewygodny, dlatego strony internetowe oferujące aplikacje dla smartfonów zwykle posiadają kody QR.

Wiele szkodliwych programów dla urządzeń mobilnych (a zwłaszcza trojany SMS) jest rozprzestrzenianych na stronach internetowych, na których wszystkie programy są zainfekowane. Na stronach tych, oprócz bezpośrednich odsyłaczy prowadzących do zagrożeń, cyberprzestępcy zaczęli również wykorzystywać szkodliwe kody QR z zaszyfrowanym odsyłaczem do tego samego szkodliwego oprogramowania.

Pierwsza próba wykorzystania tej technologii została podjęta przez rosyjskich cyberprzestępców, którzy w kodach QR ukryli trojany SMS dla Androida i J2ME.

Na szczęście, ataki wykorzystujące kody QR nadal są rzadkością. Jednak coraz większe rozpowszechnienie tej technologii wśród użytkowników oznacza, że mogą ona stać się równie popularne wśród cyberprzestępców. Co więcej, szkodliwe kody QR są wykorzystywane nie tylko przez twórców wirusów (lub grupy twórców wirusów), ale również coraz częściej są wykorzystywane przez programy partnerskie, co wkrótce może zwiększyć ich popularność wśród cyberprzestępców.