Ewolucja złośliwego oprogramowania 2012

Przeczytaj także: Złośliwe oprogramowanie. Ransomware uderza w dyski NAS

Najbardziej rozpowszechnione szkodliwe obiekty wykrywane na smartfonach z Androidem można podzielić na trzy główne grupy: trojany SMS, moduły wyświetlające reklamy oraz exploity pozwalające uzyskać dostęp do smartfonów na poziomie praw administratora.

Dominującą grupę stanowiły trojany SMS, których głównym celem byli użytkownicy w Rosji. Nie powinno to być żadnym zaskoczeniem, biorąc pod uwagę popularność tego rodzaju zagrożeń wśród rosyjskich twórców szkodliwego oprogramowania. Kosztowne SMS-y pozostają najlepszym źródłem dochodów cyberprzestępców „mobilnych”.

Druga grupa zagrożeń mobilnych, które znalazły się w pierwszej dziesiątce, składa się z modułów wyświetlających reklamy - Plangton oraz Hamob. Nie jest przypadkiem, że szkodniki z pierwszej z tych rodzin są wykrywane jako trojany. Plangton znajduje się w darmowych aplikacjach i oprócz tego, że wyświetla reklamy zawiera również funkcjonalność, która odpowiada za modyfikowanie strony domowej w przeglądarce. Strona domowa jest zmieniana bez zgody użytkownika i bez ostrzeżenia, co uznaje się za złośliwe zachowanie. Hamob, który jest wykrywany jako AdWare.AndroidOS.Hamob, podszywa się pod legalne oprogramowanie, w rzeczywistości jednak wyświetla jedynie reklamy.

Trzecią grupę stanowią exploity roota dla smartfonów działających pod kontrolą różnych wersji Androida.

Te same modyfikacje exploitów, które są wykorzystywane w celu zdobycia praw na poziomie administratora w urządzeniach, są wykorzystywane przez coraz większą liczbę modyfikacji backdoorów. Po części wyjaśnia to ich popularność w zeszłym roku.

Wzrost liczby szkodliwych programów w oficjalnych sklepach z aplikacjami

Google Bouncer, moduł antywirusowy służący do automatycznego skanowania wszystkich nowych aplikacji w Google Play (wcześniej Android Market), nie spowodował znaczącej zmiany, jeżeli chodzi o średnią liczbę oraz skalę incydentów związanych ze szkodliwym oprogramowaniem. Ogół społeczeństwa zauważa tylko te incydenty, które spowodowały najwięcej infekcji, tak jak było to w przypadku szkodnika o nazwie Dougalek, który został pobrany przez dziesiątki tysięcy ludzi (głównie w Japonii). Program ten był odpowiedzialny za jeden z największych incydentów naruszenia bezpieczeństwa danych na skutek zainfekowania urządzeń przenośnych. Nie można jednak zapominać o setkach innych incydentów z mniejszą liczbą ofiar.

Na początku lipca po raz pierwszy wykryto szkodliwe oprogramowanie dla iOS w sklepie App Store – pojawiły się tam kopie podejrzanej aplikacji o nazwie „Find and Call”. Szkodnik ten został również zidentyfikowany w sklepie Android Market. Po załadowaniu i uruchomieniu tego programu użytkownicy byli proszeni o podanie swojego adresu e-mail i numeru telefonu w celu zarejestrowania aplikacji. Następnie szkodnik wysyłał dane i kontakty z książki telefonicznej do zdalnego serwera bez wiedzy ofiar.

Na każdy numer ze skradzionej książki telefonicznej przychodził następnie spam SMS nakłaniający odbiorcę do pobrania aplikacji „Find and Call”.

Pierwsze botnety mobilne

Dzwonek alarmowy odezwał się na samym początku roku wraz z wykryciem Foncy - bota IRC dla Androida, który działał we współpracy z trojanem SMS o tej samej nazwie. Oprócz trojana SMS dropper APK zawierał exploita roota umożliwiającego zwiększenie przywilejów w zainfekowanym systemie, co oznaczało, że bot IRC mógł zdalnie kontrolować zainfekowanego smartfona. Po połączeniu się z serwerem kontroli bot mógł otrzymywać i wykonywać polecenia powłoki. W efekcie, smartfony zainfekowane botem IRC Foncy tworzyły pełnoprawny botnet mogący wykonać niemal każde polecenie botmasterów.

Chińskim twórcom udało się stworzyć botnet składający się z 10 000 - 30 000 aktywnych urządzeń, przy czym łączną liczbę zainfekowanych urządzeń szacuje się na setki tysięcy. Botnet został stworzony przy użyciu backdoora RootSmart, który posiada szeroką funkcjonalność związaną ze zdalną kontrolą telefonów i tabletów z systemem Android. RootSmart był rozprzestrzeniany za pomocą sprawdzonej metody: twórcy szkodliwego oprogramowania przepakowali legalny program i umieścili go na stronie internetowej nieoficjalnego sklepu z aplikacjami z systemem Android, który cieszy się dużą popularnością w Chinach. Osoby, które pobrały ten program w przekonaniu, że pomoże im skonfigurować ich telefony, otrzymały „w prezencie” również backdoora, który przyłączył ich urządzenia do botnetu.

Zakres infekcji RootSmart sugeruje, że stojący za tym szkodnikiem cyberprzestępcy osiągnęli zyski finansowe z botnetu mobilnego. Wybrali najpopularniejszą metodę stosowaną przez mobilnych cyberprzestępców: wysyłanie płatnych wiadomości SMS na krótkie numery. Sprawcy posługiwali się najtańszymi numerami, tak aby mogło upłynąć więcej czasu, zanim ofiary zorientowały się, że ktoś kradnie ich pieniądze. Pełna kontrola pozwala osobom atakującym ukrywać obecność szkodliwego oprogramowania w telefonie przez dłuższy czas, a tym samym dłużej wysysać pieniądze z konta użytkownika.