Zagrożenia internetowe I kw. 2012

Przeczytaj także: Ataki DDoS II poł. 2011

Mobilny botnet

W raporcie dotyczącym III kwartału 2011 r. wspominaliśmy, że platformą stanowiącą preferowany cel ataków twórców szkodliwego oprogramowania przeznaczonego dla urządzeń mobilnych jest Android OS. W I kwartale 2012 roku wykryliśmy ponad 5 000 (5 444) szkodliwych programów dla tej platformy. Całkowita liczba szkodliwych programów atakujących Androida zwiększyła się dziewięciokrotnie w ciągu ostatnich sześciu miesięcy.

Twórcy szkodliwego oprogramowania z Chin i Rosji wykazują największe zainteresowanie szkodnikami dla Androida. Chińscy twórcy zdołali stworzyć botnet złożony z 10 000-30 000 aktywnych urządzeń, a łączna liczba zainfekowanych smartfonów sięga setek tysięcy.

Botent został stworzony przy użyciu backdoora RootSmart, który posiada szeroką funkcjonalność związaną ze zdalnym kontrolowaniem telefonów i tabletów z Androidem. RootSmart jest rozprzestrzeniany przy użyciu sprawdzonej metody: twórcy tego szkodliwego oprogramowania przepakowali legalny program i wrzucili go na popularną w Chinach stronę internetową nieoficjalnego sklepu oferującego aplikacje dla Androida. W efekcie, osoby, które pobrały program mający im pomóc w ustawieniu telefonu, otrzymały również backdoora, za sprawą którego ich urządzenie stało się częścią botnetu.

Skala infekcji backdoorem RootSmart oznacza, że osoby atakujące zdołały wykorzystać botnet złożony z telefonów komórkowych do zarobienia pieniędzy. W tym celu wybrały najpopularniejszą metodę wykorzystywaną przez cyberprzestępców mobilnych: wysyłanie płatnych wiadomości SMS na numery o podwyższonej opłacie. Jednak jaki jest sens zdobywania pełnej kontroli nad urządzeniem, jeżeli główną funkcją bota jest wysyłanie wiadomości SMS na numery o podwyższonej opłacie? Odpowiedź jest prosta: pełna kontrola pozwala osobom atakującym ukrywać obecność szkodliwego oprogramowania na telefonie przez długi czas, dzięki czemu może on dłużej „wysysać” pieniądze z konta użytkownika.

Z historii pierwszego dużego botnetu złożonego z urządzeń mobilnych można wyciągnąć wiele cennych lekcji.

Po pierwsze, ponieważ aktualizacje dla mobilnych systemów operacyjnych nie są publikowane zbyt często, osoby atakujące mogą wykorzystywać te same exploity przez wiele miesięcy, ponieważ działają one na większości urządzeń.

Po drugie, instalowanie oprogramowania antywirusowego na urządzeniach mobilnych nie jest powszechną praktyką, dlatego wiele osób korzysta ze swoich urządzeń, nie podejrzewając nawet, że ich sprzęt jest od długiego czasu zainfekowany, a tym samym „został przekazany” do dyspozycji botmasterom.

Jak na razie te dwa czynniki nie zmieniły się znacząco i istnieje duże prawdopodobieństwo, że w tym roku usłyszymy o znacznie większych botnetach mobilnych niż RootSmart.