Kaspersky Lab: szkodliwe programy III kw. 2012

Przeczytaj także: Kaspersky Lab: szkodliwe programy II kw. 2012

Jak można zauważyć, między wykresami istnieją znaczne różnice: w 48% wszystkich przypadków ofiary cyberprzestępców wykorzystywały Gingerbread, który został zainstalowany na 55% wszystkich urządzeń, podczas gdy w 43% wszystkich przypadków ofiary posiadały Ice Cream Sandwich, jedną z nowszych wersji Androida, która jest zainstalowana na 23,7% wszystkich urządzeń.

Bez wątpienia urządzenia, na których zainstalowane zostały późniejsze wersje systemów operacyjnych, są lepiej dostosowane do aktywnej pracy online. Niestety, aktywniejsze surfowanie po Sieci często prowadzi do tego, że użytkownicy trafiają na strony zawierające szkodliwą zawartość. Poniżej zamieściliśmy statystyki KSN dla urządzeń mobilnych, aby pokazać, jakie rodzaje programów najczęściej atakują urządzenia użytkowników.

Ponad połowa wszystkich szkodliwych programów wykrytych na smartfonach użytkowników okazała się trojanami SMS, tj. szkodliwymi programami, które kradną pieniądze z kont mobilnych ofiar poprzez wysyłanie wiadomości SMS na numery o podwyższonej opłacie.

Wśród wszystkich rodzin mobilnego szkodliwego oprogramowania najbardziej rozpowszechnioną była rodzina OpFake (38,3% wszystkich wykrytych szkodliwych programów dla Androida pośród wszystkich rodzin mobilnego szkodliwego oprogramowania). Wszystkie programy w tej rodzinie maskują się pod postacią przeglądarki Opera Mini. Trzecie miejsce w rankingu zajęła rodzina FakeInst, której członkowie podszywają się pod instalatory popularnych programów (17%). Te dwa rodzaje szkodliwego oprogramowania są najczęściej dystrybuowane za pośrednictwem tak zwanych alternatywnych sklepów z aplikacjami stworzonych przez cyberprzestępców.

Piątym pod względem popularności szkodliwym oprogramowaniem wykrywanym na urządzeniach użytkowników są wszechstronne trojany, z których większość należy do rodziny Plangton. Po zainstalowaniu się na urządzeniu trojany te gromadzą dane serwisowe z telefonu, wysyłają je do serwera kontroli i czekają na polecenia cyberprzestępców. W szczególności, szkodliwe programy z tej rodziny potrafią potajemnie zmieniać zakładki i stronę główną.

5% szkodników stanowił not-a-virus:RiskTool.AndroidOS.SMSreg, który rejestruje użytkowników na drogich serwisach. Programy z tej rodziny atakują użytkowników z takich krajów jak Stany Zjednoczone, Holandia, Wielka Brytania i Malezja.

4% szkodników stanowiły programy z rodziny Exploit.AndroidOS.Lotoor. W celu uzyskania kontroli nad urządzeniem cyberprzestępcy muszą przeprowadzić jailbreak (tj. obejść ochronę telefonu, aby uzyskać pełny dostęp do systemu plików). Szkodliwe oprogramowanie należące do tej rodziny jest wykorzystywane do uzyskiwania przywilejów administratora, które zapewniają praktycznie nieograniczone możliwości manipulowania systemem.

Również 4% mobilnego szkodliwego oprogramowania stanowią różne programy wyświetlające reklamy, wykrywane wspólnie jako AdWare. “Najpopularniejszy” z nich należy do rodziny Hamob i wyświetla reklamy wbudowane w aplikacje.

Podsumowując, w III kwartale ataki cyberprzestępców były najczęściej skierowane na Androida w wersji 2.3.6 Gingerbread i 4.0.4 Ice Cream Sandwich. Osoby atakujące posiadają wystarczające umiejętności obchodzenia ograniczeń dotyczących instalowania oprogramowania z niezaufanych źródeł, głównie wykorzystując metody socjotechniki. Na wolności najbardziej rozpowszechnione są trojany, które stosują różne metody w celu kradzieży pieniędzy z kont mobilnych użytkowników, jednak stopniowo są one zastępowane bardziej wyrafinowanymi, wszechstronnymi trojanami.

Exploity: luki w Javie są wykorzystywane w ponad połowie wszystkich ataków

W atakach online zwykle wykorzystywane są różne exploity, które pozwalają atakującym pobrać szkodliwe oprogramowanie na komputery ofiar podczas ataków drive-by bez konieczności stosowania socjotechniki. Skuteczne wykorzystanie exploitów zależy od obecności luk w kodzie popularnych aplikacji zainstalowanych na maszynach użytkowników.

Wykres poniżej pokazuje, które dziurawe aplikacje były atakowane przez exploity w III kwartale. W tym kwartale zmieniliśmy metodologię i uwzględniliśmy w statystykach exploity wykrywane heurystycznie.

Luki w Javie były wykorzystywane w ponad 50% wszystkich ataków. Według Oracle, różne wersje tej wirtualnej maszyny są instalowane na ponad 1,1 miliarda komputerów. Co istotne, aktualizacje dla tego oprogramowania są instalowane raczej na żądanie niż automatycznie, co zwiększa „okres życia” luk. Ponadto, exploity dla Javy można dość łatwo wykorzystać w każdej wersji Windowsa i - przy dodatkowym nakładzie pracy cyberprzestępców - tak jak w przypadku Flashfake’a, można stworzyć exploity wieloplatformowe. To wyjaśnia szczególne zainteresowanie lukami w Javie ze strony cyberprzestępców.