Szkodliwe programy mobilne 2012

Przeczytaj także: Nowy trojan Vidro na urządzenia mobilne z Androidem

Oprócz trojana SMS i bota IRC dropper ARK zawierał również exploita roota. Po uruchomieniu na zainfekowanym systemie exploit ten zwiększał uprawnienia do poziomu root, a następnie uruchamiał bota IRC, który z kolei instalował i uruchamiał trojana SMS. Po wykonaniu swojej funkcji trojan SMS przestawał działać, w przeciwieństwie do bota IRC, który czekał na polecenia. Dzięki temu bot IRC mógł kontrolować sytuację po infekcji smartfona. Wszystkie smartfony zainfekowane botem IRC Foncy tworzyły w pełni rozwinięty botnet i mogły być wykorzystywane do wykonywania niemal wszystkich działań na polecenie właściciela botnetu.

Francuska policja zlokalizowała i aresztowała dwóch podejrzanych o udział w tworzeniu i rozprzestrzenianiu tego zagrożenia. Według danych policyjnych, zainfekowali oni ponad 2 000 urządzeń i zarobili na tym projekcie ponad 100 000 euro. Był to pierwszy przypadek aresztowania pod zarzutem rozprzestrzeniania szkodliwego oprogramowania atakującego urządzenia mobilne.

W lutym wykryto mobilny botnet, który miał od 10 000 do 30 000 aktywnych zainfekowanych urządzeń jednocześnie. Całkowita liczba zainfekowanych telefonów wynosiła setki tysięcy. Botnet ten został stworzony przez chińskich twórców wirusów i opierał się na backdorze RootSmart, który posiada różne funkcje zdalnego kontrolowania urządzeń mobilnych z Androidem. Cyberprzestępcy wykorzystali wypróbowaną taktykę w celu rozprzestrzenienia RootSmarta: spakowali go wraz z legalnymi programami przy użyciu pakerów i wrzucili plik archiwum do nieoficjalnych sklepów z aplikacjami powszechnie wykorzystywanych w Chinach w celu pobierania aplikacji dla Androida. Użytkownicy pobierający aplikacje mające rzekomo dostosować telefony do ich potrzeb pobierali w rzeczywistości backdoora, który podłączał ich urządzenie do botnetu.

Skala infekcji RootSmarta pozwoliła szkodliwym użytkownikom zarobić na swojej sieci zainfekowanych telefonów. Zastosowali najczęściej wykorzystywaną metodę wśród cyberprzestępców w świecie mobilnym: wysyłanie wiadomości tekstowych na krótkie numery. Szkodliwi użytkownicy stwierdzili, że najtańsze numery nie wzbudzą podejrzeń wśród ich ofiar. Cyberprzestępcy zdobyli pełną kontrolę nad mobilnymi urządzeniami, co pozwoliło im ukrywać szkodliwe oprogramowanie w telefonie przez długi czas i kraść środki z kont ofiar.

W 2012 roku wykryliśmy backdoory, które – na szczęście – nie potrafiły infekować dużej liczby urządzeń. Mimo to, zagrożenia te, jak również ich funkcje, są dość interesujące.

Jedno z zagrożeń atakujących Androida, znane jako Cawitt, jest interesujące przede wszystkim z tego względu, że zawiera mechanizm wykorzystywany do uzyskiwania nazwy domeny centrum kontroli za pośrednictwem Twittera. Ciało tego szkodnika zawiera ciągi, z których generuje pseudonimy użytkownika na tym portalu społecznościowym. Po wygenerowaniu fikcyjnych nazw użytkowników backdoor wysyła żądania do serwera Twittera w celu otrzymania ich tweetów. Tweety te zawierają nazwy domen centrum kontroli.

Aby rozpocząć otrzymywanie poleceń z centrum kontroli C&C, Cawitt wysyła żądanie POST do nazwy domeny otrzymywanej za pośrednictwem Twittera, a następnie dodaje "/carbontetraiodide" na koniec. W odpowiedzi na to żądanie bot otrzyma polecenie.

Innym interesującym zagrożeniem wykrytym pod koniec 2012 roku jest SpamSold, bot spamowy, który atakuje urządzenia z Androidem. Jest to pierwszy szkodliwy program dla urządzeń mobilnych stworzony w celu wysyłania spamu SMS z zainfekowanych urządzeń.

Backdoor ten próbuje ukryć swoją obecność w smartfonie poprzez usunięcie swojej ikonki oraz pobranie darmowej wersji gry, którą wykorzystuje jako przykrywkę. Następnie SpamSold odpowiada na żądania GET serwera kontroli jak w przykładzie poniżej:

W odpowiedzi otrzymuje wiadomość tekstową do rozesłania i pierwsze 100 numerów, na które należy ją wysłać.

Po otrzymaniu odpowiedzi bot próbuje wysłać zawartą w poleceniu wiadomość tekstową na podane numery, a gdy zabraknie mu numerów, wysyła żądanie do serwera po nowy zestaw numerów i nową wiadomość tekstową. Tymczasem, program ukrywa wysyłane wiadomości tekstowe, a tym samym swoją obecność i działania.

Na szczęście szkodliwym użytkownikom nie udało się jeszcze zbudować botnetu na dużą skalę. Jednak już sam fakt, że mobilne szkodliwe oprogramowanie jest obecnie wykorzystywane do rozsyłania wiadomości tekstowych sugeruje, że w 2013 roku pojawi się więcej niż jeden szkodliwy program o podobnych funkcjach.

Polowanie na kody mTan

W atakach ukierunkowanych w 2012 roku wykorzystano kilka nowych zagrożeń, takich jak ataki przeprowadzane przy użyciu ZitMo oraz SpitMo (ZeuS- i SpyEye-in-the-Mobile). Celem tych zagrożeń jest przechwytywanie wiadomości tekstowych z serwisów bankowości online zawierających numery służące do autoryzacji transakcji, tzw. mTAN-y.

Nowe wersje ZitMo i SpitMo pojawiają się regularnie, zarówno dla Androida jak i innych systemów operacyjnych. W celu ukrycia swoich zagrożeń twórcy wirusów wykorzystują te same metody co dwa lata temu. Zwykle jest to podszywanie się pod „certyfikat bezpieczeństwa” lub oprogramowanie bezpieczeństwa dla smartfona. W efekcie zamiast aplikacji antywirusowej użytkownicy pobierają na swoje urządzenia szkodliwe oprogramowanie.

To, że Android jest obecnie tak popularny, nie oznacza, że nikt nie korzysta z pozostałych systemów operacyjnych. Wiedzą o tym twórcy wirusów, którzy zignorowali pogłoski o nieuchronnym końcu platformy BlackBerry. W 2012 roku pojawiły się nowe wersje ZitMo dla BlackBerry’ego; w jednym ataku cyberprzestępcy wykorzystali zagrożenia atakujące zarówno platformę BlackBerry jak i Android (w obu numery C&C były takie same).

Kilka nowych modyfikacji ZitMo dla Androida zaczęło bardziej przypominać swoich „braci” tworzonych dla innych platform. Wcześniej ZitMo dla Androida posiadał stosunkowo prymitywne funkcje (głównie potrafił wysyłać przychodzące wiadomości zawierające kody mTAN). Jednak najnowsze wersje tego trojana zawierały rozszerzoną listę poleceń wykorzystywanych przez twórców tego szkodnika do kontroli i zarządzania operacjami tego zagrożenia.

Przed 2012 rokiem ataki przeprowadzane w celu kradzieży kodów mTAN były wykrywane w zaledwie kilku europejskich krajach: Hiszpanii, we Włoszech, w Niemczech, Polsce i kilku innych. Ofiarami tych ataków byli użytkownicy różnych platform mobilnych: Androida, BlackBerry, Symbiana i Windows Mobile. Pod koniec 2012 roku jednym z celów takich ataków stała się Rosja, w której coraz częściej korzysta się z bankowości online – fakt, który nie umknął uwadze twórców wirusów. Rozpowszechniony trojan Carberp, który działa w podobny sposób co ZeuS, zyskał swoją własną wersję mobilną: Trojan-Spy.AndroidOS.Citmo.

Podobnie jak jego wspólnik w przestępstwie ZeuS ZitMo, trojan CitMo potrafi ukrywać przychodzące wiadomości tekstowe zawierające kody mTAN i wysyłać je szkodliwym użytkownikom. Różne wersje CitMo przesyłają przechwycone wiadomości tekstowe zarówno na numery telefonu cyberprzestępców jak i ich zdalne serwery.