апрель    2024

Пн	Вт	Ср	Чт	Пт	Сб	Вс
1	2	3	4	5	6	7
8	9	10	11	12	13	14
15	16	17	18	19	20	21
22	23	24	25	26	27	28
29	30

показать все 

18.04.2024

Ассоциация разработчиков «Отечественный софт» отметила 15-летие

Читать далее 

17.04.2024

РДТЕХ представил Технологическую карту российского ПО 2023

Читать далее 

16.04.2024

RAMAX Group получила партнерский статус уровня Gold по продукту Tarantool

Читать далее 

12.04.2024

На RIGF 2024 обсудили ключевые вопросы цифрового развития России

Читать далее 

показать все 

18.04.2024

5 способов повысить безопасность электронной подписи

Читать далее 

18.04.2024

Как искусственный интеллект изменит экономику

Читать далее 

18.04.2024

Неочевидный САПР: выход ПО за рамки конструкторской деятельности

Читать далее 

18.04.2024

Скоро некому будет делать сайты и заниматься версткой

Читать далее 

18.04.2024

Цифровая трансформация в энергетике: как запустить проект с максимальным финансовым эффектом?

Читать далее 

05.04.2024

Мотивируй, не то проиграешь!

Читать далее 

22.03.2024

В 2024 году в России и мире вырастут объемы применения AR/VR 

Читать далее 

25.02.2024

Цифровые технологии: надежды и риски

Читать далее 

05.02.2024

Будут ли востребованы услуги технической поддержки софта Oracle в России в ближайшие годы?  

Читать далее 

31.01.2024

Здания с признаками интеллекта. Как Сергей Провалихин автоматизирует дома и производства

Читать далее 

показать все 

Главная / Архив номеров / 2017 / Выпуск №02 (65) / Угрозы для BYOD

Рубрика: Корпоративная мобильность

Угрозы для BYOD

«Лаборатория Касперского» зафиксировала значительный рост числа мобильных зловредов. По итогам 2016 года вредоносных установочных пакетов для смартфонов и планшетов стало почти в три раза больше, чем в 2015-м. Больше всего – в 8,5 раза – выросло количество мобильных вымогателей

Более чем в полтора раза увеличилось число мобильных банковских троянцев. Российские пользователи оказались наиболее подвержены этой угрозе.

Мнение эксперта

Роман Унучек, антивирусный эксперт «Лаборатории Касперского»: «Злоумышленники пользуются тем, что большинство мобильных уст-ройств до сих пор нерегулярно получает обновления операционной системы. Это приводит к тому, что смартфоны и планшеты оказываются уязвимы к старым, хорошо известным и легкодоступным эксплойтам, которыми и пользуются киберпреступники. Мы полагаем, что в 2017 году пользователи мобильных устройств по-прежнему будут чаще всего сталкиваться с раздражающими и потенциально опасными рекламными троянцами. И мы, разумеется, будем внимательно следить за развитием этого типа вредоносного ПО. Кроме того, мы продолжим пристально наблюдать за мобильными банковскими троянцами, поскольку именно они старательно ищут способы обхода защитных механизмов и нередко открывают новые ниши и пути для злоумышленников»

В 2016 году было обнаружено:

• 8 526 221 вредоносный установочный пакет
• 128 886 мобильных банковских троянцев
• 261 214 мобильных троянцев-вымогателей

Тенденции года:

• Рост популярности вредоносного ПО с правами суперпользователя, в первую очередь рекламных троянцев.
• Распространение зловредов через Google Play Store и рекламные службы.
• Появление способов обхода новых механизмов защиты ОС Android.
• Рост числа мобильных программ-вымогателей.
• Активное развитие мобильных банковских троянцев.

Вредоносное ПО с правами суперпользователя

Самыми популярными троянцами в 2016 году стали рекламные троянцы, которые могут получить права суперпользователя. Для этого они используют различные наборы уязвимостей, обычно уже исправленные в новых версиях Android. К сожалению, устройства большей части пользователей не получают актуальные обновления системы, что делает их уязвимыми.

Root-права предоставляют троянцу практически неограниченные возможности, позволяя скрытно устанавливать другие рекламные приложения, а также отображать на зараженном устройстве рекламу, что часто приводит к невозможности использования смартфона. Кроме агрессивного показа рекламы и инсталляции постороннего ПО, подобные троянцы могут даже покупать приложения в Google Play.

При этом зловред устанавливает свои модули в системные директории, что делает лечение зараженного устройство очень непростым. Некоторые рекламные троянцы умеют заражать даже образ восстановления, что приводит к невозможности решить проблему возвращением к заводским настройкам.

Помимо скрытой установки рекламных приложений, троянцы могут устанавливать и вредоносное ПО.

Киберпреступники используют магазин приложений Google

Троянцы неоднократно обнаруживались в официальном магазине приложений Google Play Store, например, под видом гида для популярной игры Pokemon GO.

Рисунок 1. Trojan.AndroidOS.Ztorg.ad замаскированный под гид для Pokemon GO

Через Google Play распространялись и троянцы, предназначенные для кражи идентификационных данных. Один из них воровал логины и пароли от Instagram. Второй неоднократно публиковался в Google Play и был нацелен на кражу данных пользователей социальной сети «ВКонтакте».

В качестве еще одного примера можно привести троянца-вымогателя, распространявшегося злоумышленниками под видом приложения для чистки операционной системы. Представители семейства Trojan-Ransom.AndroidOS.Pletor обычно шифруют файлы на зараженном устройстве, но обнаруженная модификация лишь блокировала гаджет итребовала у пользователя деньги за снятие блокировки.

Рисунок 2. Trojan-Ransom.AndroidOS.Pletor.d под видом чистильщика системы

Обход механизмов защиты Android

Злоумышленники постоянно ищут способы обхода новых защитных механизмов Android. Так, некоторые модификации SMS-троянца Tiny способны перекрывать своим окном текст системного сообщения, предупреждающего пользователя об отправке SMS на короткий номер. Владелец смартфона, не видя оригинального текста, не знает, на что соглашается, и отправляет сообщение на номер, указанный злоумышленником.

Похожий способ использовал Trojan-Banker.AndroidOS.Asacub, чтобы получить права администратора устройства. Пряча от пользователя запрос системы, троянец обманом вынуждает его выдать себе дополнительные привилегии. Кроме прочего, Asacub запрашивает право быть стандартным приложением для работы с SMS, что позволяет ему получать доступ к сообщениям даже в новых версиях Android.

Еще дальше пошли авторы банковского троянца Trojan-Banker.AndroidOS.Gugi. Этот зловред способен обходить два новых механизма защиты Android 6, используя исключительно методы социальной инженерии. Не эксплуатируя никакие уязвимости системы, Gugi обходит такие защитные функции, как запрос на отображение своего окна поверх окон других приложений и механизм динамически запрашиваемых разрешений на потенциально опасные действия.

Мобильные банковские троянцы

Мобильные банковские троянцы активно развивались на протяжении всего года. Многие из них получили средства для обхода новых защитных механизмов Android и таким образом смогли продолжать воровать данные пользователей на самых свежих версиях ОС. Также разработчики банкеров активно внедряли новые функции в свои творения. Например, семейство Marcher в течение нескольких месяцев использовало перенаправление пользователя с сайтов финансовых организаций на фишинговые сайты.

Кроме того, многие мобильные банковские троянцы имеют функции для вымогания средств: по команде с сервера они могут заблокировать работу устройства окном с требованием выкупа.

Необходимо отдельно отметить, что злоумышленники, создающие зло-вреды для Android, не забыли и об одной из самых горячих тем 2016 года – IoT-устройствах. Был обнаружен троянец Switcher, атакующий роутер, к Wi-Fi-сети которого подключено зараженное устройство. В случае если троянцу удалось подобрать пароль к роутеру, он меняет настройки DNS, осуществляя атаку DNS-hijacking.

Темная сторона Интернета

Темная паутина дает преступникам возможность общения и осуществления коммерческих операций, таких как приобретение и продажа различных товаров и услуг, включая пакеты вредоносного ПО для мобильных устройств.

Продавцы и покупатели все активнее используют многочисленные механизмы, ориентированные на обеспечение безопасности и ведение бизнеса, реализованные на крипторынках, доступ на которые возможен через Tor (The Onion Router), в том числе использование криптовалют, сторонние сервисы ответственного хранения (условного депонирования) средств, транзакции, заверяемые несколькими подписями, шифрование, отслеживание репутации/обратной связи и т.д.

Интерпол изучил важнейшие платформы Темной паутины и выяснил, что вредоносное ПО для мобильных устройств предлагается для продажи в виде программных пакетов (таких как, например, троянские программы для удаленного доступа к устройству – RAT), отдельных инструментов, сложных решений, аналогичных продуктам специализированных фирм или ботов в рамках модели «бот как сервис». На мобильном вредоносном ПО также специализируются торговые точки Темной паутины, оно является предметом обсуждения нафорумах и в социальных медиа.

Торговые площадки

На торговых площадках Темной паутины продаются различные мобильные вредоносные продукты и сервисы. Мобильное вредоносное ПО зачастую рекламируется в составе пакетов, которые могут включать в себя, например, троянские программы для удаленного доступа к устройствам (RAT), фишинговые страницы или «хакерские» программные пакеты, состоящие из аналитических инструментов и средств взлома паролей. Продаются также отдельные/специализированные инструменты.

Например, программу DroidJack предлагали различные продавцы на четырех крупных торговых площадках. Популярный RAT для Android открыто продается на Clearnet по высокой цене, а в Темной паутине цена значительно ниже.

Оба варианта (программные пакеты и отдельные инструменты) иногда поставляются в комплекте с практическим руководством, объясняющим методы взлома популярных операционных систем, таких как Android и iOS. Более сложные инструменты также рекламируются в Темной паутине, например Galileo – система удаленного управления, разработанная итальянской ИТ-компанией Hacking Team для удаленного доступа к устройствам на базе Android, iOS, BlackBerry, Windows или OS X и последующей эксплуатации устройства.

Еще один пример – исходный код Acecard. Эта вредоносная программа известна тем, что открывает свое окно поверх окон приложений для мобильного банкинга и передает учетные данные пользователя удаленному злоумышленнику. Она также может читать SMS-сообщения, из которых злоумышленники имеют возможность извлекать потенциально полезные для них коды для двухфакторной аутентификации.

Потенциальным клиентам предлагается также сервис аренды Android-ботов (BaaS, или Bot as a Service). Бот можно использовать для сбора финансовой информации с Android-смартфонов; он имеет обширный функционал и поставляется с документацией на английском и русском языках. По заказу могут быть разработаны дополнительные функции ивозможности. Стоимость этого сервиса – до 2500 долларов в месяц или 650 долларов в неделю.

На торговых площадках Темной паутины можно найти также мобильные фишинговые продукты для получения финансовой информации, инструменты, позволяющие управлять смартфонами по Bluetooth или изменять их идентификатор IMEI (International Mobile Equipment Identity), а также различные RAT для ситемы Android, предназначенные дляперехвата текстовых сообщений, журналов звонков и данных геолокации и доступа к камере устройства.

Торговые точки, форумы и социальные медиа

Торговые точки – это автономные платформы, созданные отдельным продавцом или группой продавцов, которые наработали клиентскую базу на торговой площадке и затем решили открыть собственное дело. Как правило, такие площадки не имеют собственного форума и рекламируют всего один вид нелегального товара, такой как наркотики или краденые личные данные, однако они продают и вредоносное ПО для мобильных устройств.

Вредоносные программы для мобильных устройств иногда поставляются с учебными пособиями; информацию о том, какие инструменты можно использовать для решения тех илииных задач, об их установке и применении можно найти на форумах и в социальных медиа. Более того, в сети Tor был обнаружен скрытый от посторонних глаз ресурс, посвященный хакерским новостям и содержавший информацию о настройке мобильной вредоносной программы Dendroid. Этот RAT, способный перехватывать SMS-сообщения, загружать изображения и открывать фишинговые диалоговые окна для сбора пользовательских паролей, продавался в 2016 году в составе различных предложений (пакетов) на разных торговых площадках.

Благодаря мощным средствам обеспечения анонимности пользователей, технологиям защиты конфиденциальной информации, низким ценам и клиентоориентированности Темная паутина остается привлекательной средой для ведения незаконного бизнеса и другой деятельности, в которой могут возникнуть или развиться новые направления преступной сферы.

Статистика

Всего в период с начала января по конец декабря 2016 года «Лаборатория Касперского» отразила более 40 млн атак вредоносного мобильного ПО, защитив 4 018 234 уникальных пользователя Android-устройств (против 2,6 млн в 2015 году).

Рисунок 3. Количество атак, отраженных продуктами «Лаборатории Касперского», 2016 год

Рисунок 4. Количество пользователей, защищенных продуктами «Лаборатории Касперского», 2016 год

География мобильных угроз

Атаки мобильного вредоносного ПО зафиксированы более чем в 230 странах и территориях мира.

Рисунок 5. География мобильных угроз (количество атакованных пользователей, 2016)

TOP-10 стран по проценту пользователей, атакованных мобильными зловредами

* Из рейтинга мы исключили страны, где количество активных пользователей мобильного антивируса «Лаборатории Касперского» за отчетный период было менее 25 тысяч.

** Процент уникальных пользователей, атакованных в стране, по отношению ко всем пользователям мобильного антивируса «Лаборатории Касперского» в стране.

ТOP-20 мобильных вредоносных программ

В рейтинг вредоносных программ, приведенный ниже, не входят потенциально нежелательные программы, такие как RiskTool и AdWare (рекламные программы).

*Процент пользователей, атакованных данным зловредом, от всех атакованных пользователей.

Первое место в двадцатке за 2016 год занимает вердикт DangerousObject.Multi.Generic (67,93%), который используют для вредоносных программ, обнаруженных с помощью облачных технологий. Они применяются в тех случаях, когда в антивирусных базах еще нет ни сигнатур, ни эвристик для обнаружения зловредов. Так выявляется самое свежее вредоносное ПО.

Второе место занял Backdoor.AndroidOS.Ztorg.c – рекламный троянец, использующий права суперпользователя, чтобы незаметно устанавливать различные приложения. Стоит отметить, что в 2016 году в рейтинг вошло шестнадцать рекламных троянцев (выделены в таблице синим цветом), что на четыре больше, чем в аналогичном рейтинге 2015-го.

На третьем месте находится Trojan-Banker.AndroidOS.Svpeng.q, ставший самым популярным мобильным банковским троянцем в 2016 году. Своей известностью он обязан злоумышленникам, распространявшим его через рекламную сеть AdSense. Благодаря уязвимости в браузере Chrome от пользователя не требовалось совершать какие-либо действия для загрузки троянца на устройство.

Более половины пользователей, столкнувшихся с мобильными банковскими троянцами в 2016 году, встретились с представителями семейства Svpeng. Эти троянцы используют фишинговые окна для кражи данных о банковской карте, а также атакуют системы SMS-банкинга.

На 12-м и 13-м местах расположились представители семейства мобильных вымогателей Fusob – Trojan-Ransom.AndroidOS.Fusob.pac и Trojan-Ransom.AndroidOS.Fusob.h. Этитроянцы блокируют работу устройства с помощью своего окна, требуя выкуп за разблокировку.

Мобильные банковские троянцы

В 2016 году эксперты «Лаборатории Касперского» обнаружили 128 886 установочных пакетов мобильных банковских троянцев, что в 1,6 раза больше, чем в прошлом году.

Рисунок 6. География мобильных банковских угроз (количество атакованных пользователей, 2016)

TOP-10 стран по доле пользователей, атакованных мобильными банкерами, среди всех пользователей

* Из рейтинга мы исключили страны, где количество активных пользователей мобильного антивируса «Лаборатории Касперского» за отчетный период было менее 25 тысяч.

** Процент уникальных пользователей, атакованных мобильными банкерами в стране, по отношению ко всем пользователям мобильного антивируса «Лаборатории Касперского» в стране.

В России, занявшей первое место в этом рейтинге, с мобильными банковскими троянцами столкнулись 4% мобильных пользователей. Это практически в два раза больше, чем вАвстралии, занявшей второе место. Разница легко объясняется тем, что самый популярный мобильный банковский троянец Svpeng распространялся в основном в России. Кроме него, в стране были популярны представители семейств Asacub и Faketoken.

Вторым по популярности семейством стало Trojan-Banker.AndroidOS.Faketoken. Некоторые модификации этого троянца могут атаковать более двух тысяч финансовых мобильных приложений.

Третьим по популярности семейством мобильных банковских троянцев стало Trojan-Banker.AndroidOS.Asacub. Более 16% пользователей, атакованных мобильными банкерами, столкнулись с этим семейством. Троянцы распространяются в основном в России, зачастую через SMS-спам.

Мобильные троянцы-вымогатели

В 2016 году мобильные вымогатели показали внушительный рост как в количестве обнаруженных установочных пакетов, так и в количестве атакованных пользователей. Первых в 2016-м было обнаружено 261 214, что практически в 8,5 раза больше, чем в 2015-м.

Что касается количества пользователей, столкнувшихся с этим типом вредоносного ПО, то их число составило 153 258 человек из 167 стран, что в 1,6 раза больше, чем в 2015 году.

TOP-10 стран по доле пользователей, атакованных Trojan-Ransom, среди всех пользователей

* Из рейтинга мы исключили страны, где количество активных пользователей мобильного антивируса «Лаборатории Касперского» за отчетный период было менее 25 тысяч.

** Процент уникальных пользователей, атакованных мобильными вымогателями в стране, по отношению ко всем пользователям мобильного антивируса «Лаборатории Касперского» в стране.

***

В 2016 году продолжился рост числа рекламных троянцев, которые могут использовать права суперпользователя. На протяжении всего года это было угрозой номер один, и поводов к изменению этой тенденции эксперты «Лаборатории Касперского» пока не видят.

Злоумышленники пользуются тем, что большинство устройств не получают (или получают поздно) обновления операционной системы. Это приводит к тому, что большинство устройств уязвимо к старым, хорошо известным и легкодоступным эксплойтам.

Как будут развиваться мобильные банковские троянцы в 2017 году? Эксперты «Лаборатории Касперского» подчеркивают, что разработчики этого класса вредоносного ПО первыми используют новые технологии и старательно ищут способы обхода защитных механизмов, внедряемых в новые версии мобильных операционных систем.

В 2016 году одной из самых острых тем стала безопасность IoT-устройств. Различные «умные» устройства с возможностью подключения к интернету становятся все популярнее, ноих безопасность находится на довольно низком уровне.

Также в 2016-м был обнаружен троянец, атакующий домашние роутеры. Злоумышленникам становится тесно на телефоне, и они начинают взаимодействовать с окружающим миром. Возможно, именно в 2017 году появятся масштабные атаки на представителей интернета вещей с мобильных устройств.

По данным отчета «Лаборатории Касперского»: https://securelist.ru/analysis/ksb/30301/mobile-malware-evolution-2016.

В начало⇑

Комментарии отсутствуют

Комментарии могут отставлять только зарегистрированные пользователи