Zagrożenia internetowe I kw. 2013

Przeczytaj także: Zagrożenia internetowe I-VI 2012

Zaledwie kilka dni później Apple ogłosił, że kilku pracowników firmy padło ofiarą dokładnie tego samego ataku. Z danych tej firmy wynika, że nie doszło do żadnego wycieku informacji. Na początku marca firma Evernote doniosła, że jej wewnętrzna sieć padła ofiarą włamania i że szkodliwi użytkownicy próbowali uzyskać dostęp do jej danych.

W 2011 r. miały miejsce masowe ataki hakerskie na różne firmy oraz masowe wycieki danych użytkowników. Mogłoby się wydawać, że ataki te przeprowadzono na próżno – jednak nic bardziej błędnego. Szkodliwi użytkownicy są równie żywo zainteresowani włamywaniem się do dużych firm i zdobywaniem poufnych danych, w tym danych o użytkowniku, co kiedyś.

Zagrożenia mobilne

Raport firmy Kaspersky Lab dotyczący ewolucji zagrożeń atakujących smartfony, tablety oraz inne urządzenia mobilne w 2012 roku został opublikowany w lutym 2013 roku. Z naszych danych wynika, że w 2012 roku Android stał się celem numer 1 wśród twórców wirusów oraz że liczba zagrożeń w ciągu roku stale rosła. Czy w 2013 roku nadal obserwujemy wzrost liczby zagrożeń mobilnych? Odpowiedź brzmi tak.

Kilka liczb

Styczeń to tradycyjnie spokojny miesiąc dla twórców wirusów mobilnych – w pierwszym miesiącu roku pojawiło się „tylko” 1 262 nowych modyfikacji. Jednak w ciągu ostatnich kilku miesięcy Kaspersky Lab wykrył ponad 20 000 nowych modyfikacji mobilnego szkodliwego oprogramowania. W lutym wykryliśmy ich 12 044, a w marcu kolejne 9 443. Dla porównania – w całym 2012 roku zidentyfikowaliśmy łącznie 40 059 modyfikacji szkodliwych programów.

Trojany SMS, które wysyłają nieautoryzowane wiadomości tekstowe na krótkie numery premium, nadal stanowią najliczniejszą kategorię zagrożeń mobilnych i wynoszą obecnie 63,6% wszystkich ataków.

Platformę Android atakuje łącznie 99,9% wykrytych nowych zagrożeń mobilnych.

Według danych KSN, 20 najczęściej wykorzystywanych szkodliwych lub potencjalnie niechcianych programów dla Androida to:

Pierwsze miejsce w pierwszym kwartale zajął Trojan-SMS.AndroidOS.FakeInst.a (29,45%). Zagrożenie to atakuje głównie rosyjskojęzycznych użytkowników internetu próbujących pobierać oprogramowanie dla urządzeń z Androidem z podejrzanych stron. Oczywiście cyberprzestępcy wykorzystują te strony do rozprzestrzeniania szkodników w przebraniu użytecznego oprogramowania.

Na drugim miejscu znalazł się Trojan.AndroidOS.Plangton.a (18,78%) – trojan adware. Zagrożenie to występuje głównie w krajach europejskich, gdzie jest wykorzystywane przez twórców darmowego oprogramowania w celu zarabiania na produktach poprzez wyświetlanie reklam.

Trzecie i czwarte miejsca zajęły trojany SMS z rodziny Opfake: Trojan-SMS.AndroidOS.Opfake.a (12,23%) oraz Trojan-SMS.AndroidOS.Opfake.bo (11,49%). Pierwsze modyfikacje trojanów z rodziny Opfake podszywały się pod najnowszą wersję popularnej przeglądarki mobilnej Opera. Dzisiaj szkodliwe programy z tej rodziny kryją się pod postacią nowych wersji innych popularnych aplikacji (Skype, Angry Birds itd.).

Incydenty

W pierwszym kwartale 2013 r. dwa najciekawsze incydenty związane z wirusami to:

• nowe zagrożenie pod nazwą Perkele lub Perkel, które poluje na kody mTAN,
  botnet MTK.

Kolejnym ważnym wydarzeniem, jakie miało miejsce w analizowanym okresie, były ataki ukierunkowane na użytkowników Androida, o których pisaliśmy wcześniej.

Perkel

W pierwszych dwóch tygodniach marca znany dziennikarz Brian Krebs znalazł informacje na rosyjskojęzycznych forach podziemia na temat nowego trojana bankowego atakującego urządzenia mobilne użytkowników w 69 państwach. Według krążących pogłosek, nowe zagrożenie zainfekowało już sporo urządzeń. Krebs sugerował, że trojan ten został rozwinięty przez rosyjskojęzycznych twórców wirusów, ponieważ kombinacja narzędzi, przy użyciu których został stworzony, jest dostępna na forach rosyjskojęzycznych.

Wiadomość ta naturalnie zwróciła uwagę specjalistów od ochrony antywirusowej, jednak przez pewien czas nie pojawiły się żadne przykłady oprogramowania.

Kilka dni później wykryto pierwsze modyfikacje Perkela. Po analizie przeprowadzonej przez Kaspersky Lab stało się jasne, że pojawiły się nowe nabytki w rodzinie szkodliwych programów stworzonych w celu kradzieży wiadomości tekstowych zawierających kody mTAN. Funkcje szkodników z rodziny Perkel są typowe dla tej grupy szkodników, z dwoma wyjątkami:

• Perkel używa wiadomości tekstowych zamiast HTTP w celu komunikowania się z serwerem kontroli i przesyłania skradzionych danych (oprócz wiadomości tekstowych z kodami mTAN zagrożenie to zbiera również informacje dotyczące zainfekowanego urządzenia).
• Zagrożenie to potrafi samodzielnie aktualizować się poprzez pobieranie swojej nowej kopii ze zdalnego serwera.

Botnet MTK

W połowie stycznia pojawiły się informacje o istnieniu botnetu, który zainfekował około milion urządzeń firmy Android należących głównie do użytkowników chińskich. Jak się okazało, pierwszym etapem tworzenia tego botnetu było rozprzestrzenianie szkodliwego programu w Chinach (Kaspersky Lab nadał temu szkodnikowi nazwę Trojan.AndroidOS.MTK). Szkodnik ten rozprzestrzeniał się za pośrednictwem nieoficjalnych chińskich sklepów z aplikacjami zawierających popularne, zhakowane gry. Oprócz kradzieży informacji dotyczących zainfekowanego smartfona, danych dotyczących kontaktów użytkownika oraz jego wiadomości zagrożenia z tej rodziny reklamują również różne aplikacje. W tym celu trojany ukradkiem pobierają i instalują aplikacje na urządzeniu mobilnym ofiary, a następnie przydzielają aplikacji najwyższą z możliwych ocen w sklepie. Następnie zgłaszają swoje działania zdalnemu serwerowi. Ponieważ liczba aplikacji dla Androida nieustannie rośnie, zdobycie popularności wśród użytkowników jest trudne – z tego powodu takie nielegalne taktyki stają się coraz bardziej rozpowszechnione.