Kaspersky Lab: szkodliwe programy II kw. 2013

Przeczytaj także: Kaspersky Lab: szkodliwe programy III kw. 2012

Botnet IRC wykorzystuje niezałataną lukę w aplikacji Plesk

Dwa miesiące po atakach na instalacje Wordpressa za pośrednictwem botnetu, analitycy wykryli botnet IRC wykorzystujący lukę w aplikacji Plesk – panelu sterowania stosowanym powszechnie do prowadzenia usług hostingowych. Wykorzystanie tej luki (CVE-2012-1823) umożliwiało zdalne wykonanie kodu z prawami użytkownika Apache. Luka ta dotyczyła aplikacji Plesk 9.5.4 oraz wcześniejszych wersji. Według Ars Technica, zagrożonych było 360 000 instalacji.

Botnet IRC infekował serwery sieciowe zawierające niezałatane luki, wykorzystując do tego backdoora, który łączył się z serwerem kontroli. Co ciekawe, sam serwer kontroli był podatny na tę samą lukę w aplikacji Plesk. Analitycy wykorzystali ją do monitorowania botnetu i zidentyfikowali około 900 prób połączeń przez zainfekowane serwery sieciowe. Stworzono narzędzie do leczenia serwerów zombie i zdemontowania nowego botnetu.

Nadal rośnie ilość mobilnego szkodliwego oprogramowania

Stały wzrost jakości, ilości i różnorodności

Android stał się ulubionym celem cyberprzsetępców jeżeli chodzi o mobilne systemy operacyjne i może być uznawany za ekwiwalent Windowsa w świecie mobilnym.

W drugim kwartale praktycznie wszystkie próbki mobilnego szkodliwego oprogramowania , które zostały wykryte w świecie mobilnym, atakowały Androida – podobnie jak w pierwszym kwartale bieżącego roku. Pod koniec kwartału przekroczony został symboliczny próg – 30 czerwca liczba modyfikacji dobiła do 100 000 (629 rodzin szkodliwego oprogramowania).

Należy zaznaczyć, że liczba ta obejmuje nie poszczególne szkodliwe aplikacje, ale próbki szkodliwego kodu. Jednak te próbki kodu są w większości wykorzystywane w wielu strojanizowanych aplikacjach, co znacznie zwiększa liczbę szkodliwych aplikacji, które czekają na pobranie. Powszechnie stosowana przez cyberprzestępców procedura obejmuje pobieranie legalnych aplikacji, dodawanie szkodliwego kodu i wykorzystywanie ich jako narzędzia dystrybucji. Przepakowane aplikacje są następnie ponownie wrzucane do zasobów, zwłaszcza sklepów z aplikacjami. Cyberprzestępcy wykorzystują w szczególności popularne aplikacje, żerując na ich reputacji. Użytkownicy aktywnie poszukują takich aplikacji, co ułatwia życie cyberprzestępców.

Pod względem statystycznym, w drugim kwartale odnotowaliśmy stały wzrost w stosunku do pierwszego (łącznie 29 695 modyfikacji, dla porównania w pierwszym kwartale 2013 r. liczba ta wynosiła 22 749). W kwietniu liczba modyfikacji wynosiła 7 141, co stanowi najniższą wartość w drugim kwartale. Z kolei zarówno w maju jak i w czerwcu Kaspersky Lab wykrył ponad 11 000 modyfikacji – odpowiednio 11 399 i 11 155. Ogólnie, w 2013 roku miał miejsce ogromny wzrost liczby nowych modyfikacji mobilnego szkodliwego oprogramowania.

Chociaż trojany SMS tradycyjnie stanowią najpowszechniej wykorzystywany rodzaj mobilnego szkodliwego oprogramowania w atakach, ich odsetek w naszej kolekcji próbek nie potwierdza tego.

Na pierwszym miejscu znajdują się backdoory (32,3%), za którymi uplasowały się trojany (23,2%) i trojany SMS. Na trzecim miejscu znalazły się trojany szpiegujące (4,9%). Pod względem możliwości i elastyczności, trendy odnoszące się do mobilnego szkodliwego oprogramowania pokrywają się z tymi dotyczącymi szkodliwego oprogramowania atakującego komputery PC. Współczesne próbki wykorzystują technologie zaciemniania w celu uniknięcia wykrycia i często zawierają wiele szkodliwych funkcji w celu przedłużenia infekcji, wydobycia dodatkowych informacji lub pobrania i zainstalowania dodatkowego szkodliwego oprogramowania.

Obad – najbardziej wyrafinowany trojan dla Androida

W drugim kwartale 2013 r. wykryliśmy prawdopodobnie najbardziej wyrafinowanego jak dotąd trojana dla Androida. Szkodnik ten potrafi wysyłać wiadomości SMS na numery premium, pobierać i instalować inne szkodliwe oprogramowanie na zainfekowanym urządzeniu i/lub wysłać je za pośrednictwem Bluetootha, jak również zdalnie wykonywać polecenia z konsoli. Produkty firmy Kaspersky Lab wykrywają ten szkodliwy program jako Backdoor.AndroidOS.Obad.a.

Twórcy programu Backdoor.AndroidOS.Obad.a znaleźli lukę w popularnym programie dex2jar wykorzystywanym przez analityków do konwertowania plików APK do formatu JAR, który jest łatwiejszy pod względem analizy i pracy z nim. Wykryta przez cyberprzestępców luka przerywa konwersję kodu Dalvik do kodu Java, utrudniając przeprowadzenie analizy tego trojana.