Kaspersky Lab: niemal 100 proc. wirusów w 2012 roku było na Androida

Główne wysiłki autorów szkodliwego oprogramowania w 2012 roku były skoncentrowane na tworzeniu zagrożeń dla Androida – czytamy w raporcie Kaspersky Security Bulletin.

Aż 99 proc. mobilnych szkodliwych programów wykrywanych każdego miesiąca było przeznaczonych dla Androida (zdjęcie powyżej). 0,97 punktu proc. stanowiły wirusy na urządzenia mobilne z Javą, 0,04 punktu proc. na Symbiany i 0,03 punktu proc. na urządzenia z innymi systemami operacyjnymi.

W 2012 roku ataki miały też miejsce na iOS. Jak podaje Kaspersky Lab na początku lipca po raz pierwszy wykryto szkodliwe oprogramowanie dla iOS w sklepie App Store. Pojawiły się tam kopie podejrzanej aplikacji o nazwie „Find and Call”. Po załadowaniu i uruchomieniu tego programu użytkownicy byli proszeni o podanie swojego adresu e-mail i numeru telefonu w celu zarejestrowania aplikacji. Następnie szkodnik wysyłał dane i kontakty z książki telefonicznej do zdalnego serwera bez wiedzy ofiar.

Na każdy numer ze skradzionej książki telefonicznej przychodził następnie spam SMS nakłaniający odbiorcę do pobrania aplikacji „Find and Call”. Podejrzana aplikacja znalazła się również w Google Play.

Z danych zawartych w Kaspersky Security Bulletin wynika, że najwięcej ataków zanotowano w lipcu 2012, a najmniej na początku roku oraz we wrześniu.

Top 10 szkodliwych programów dla Androida

Najbardziej rozpowszechnione szkodliwe obiekty wykrywane na smartfonach z Androidem można podzielić na trzy główne grupy: trojany SMS, moduły wyświetlające reklamy oraz exploity pozwalające uzyskać dostęp do smartfonów na poziomie praw administratora.

Dominującą grupę stanowiły trojany SMS, których głównym celem byli użytkownicy w Rosji. Nie powinno to być żadnym zaskoczeniem, biorąc pod uwagę popularność tego rodzaju zagrożeń wśród rosyjskich twórców szkodliwego oprogramowania. Kosztowne SMS-y pozostają najlepszym źródłem dochodów cyberprzestępców „mobilnych”.

Druga grupa zagrożeń mobilnych, które znalazły się w pierwszej dziesiątce, składa się z modułów wyświetlających reklamy – Plangton oraz Hamob. Nie jest przypadkiem, że szkodniki z pierwszej z tych rodzin są wykrywane jako trojany. Plangton znajduje się w darmowych aplikacjach i oprócz tego, że wyświetla reklamy zawiera również funkcjonalność, która odpowiada za modyfikowanie strony domowej w przeglądarce. Strona domowa jest zmieniana bez zgody użytkownika i bez ostrzeżenia, co uznaje się za złośliwe zachowanie. Hamob, który jest wykrywany jako AdWare.AndroidOS.Hamob, podszywa się pod legalne oprogramowanie, w rzeczywistości jednak wyświetla jedynie reklamy.

Trzecią grupę stanowią exploity roota dla smartfonów działających pod kontrolą różnych wersji Androida. Te same modyfikacje exploitów, które są wykorzystywane w celu zdobycia praw na poziomie administratora w urządzeniach, są wykorzystywane przez coraz większą liczbę modyfikacji backdoorów. Po części wyjaśnia to ich popularność w zeszłym roku.

Pierwsze botnety mobilne

Dzwonek alarmowy odezwał się na samym początku roku wraz z wykryciem Foncy – bota IRC dla Androida, który działał we współpracy z trojanem SMS o tej samej nazwie. Oprócz trojana SMS dropper APK zawierał exploita roota umożliwiającego zwiększenie przywilejów w zainfekowanym systemie, co oznaczało, że bot IRC mógł zdalnie kontrolować zainfekowanego smartfona. Po połączeniu się z serwerem kontroli bot mógł otrzymywać i wykonywać polecenia powłoki. W efekcie, smartfony zainfekowane botem IRC Foncy tworzyły pełnoprawny botnet mogący wykonać niemal każde polecenie botmasterów.

Chińskim twórcom udało się stworzyć botnet składający się z 10 000 – 30 000 aktywnych urządzeń, przy czym łączną liczbę zainfekowanych urządzeń szacuje się na setki tysięcy. Botnet został stworzony przy użyciu backdoora RootSmart, który posiada szeroką funkcjonalność związaną ze zdalną kontrolą telefonów i tabletów z systemem Android. RootSmart był rozprzestrzeniany za pomocą sprawdzonej metody: twórcy szkodliwego oprogramowania przepakowali legalny program i umieścili go na stronie internetowej nieoficjalnego sklepu z aplikacjami z systemem Android, który cieszy się dużą popularnością w Chinach. Osoby, które pobrały ten program w przekonaniu, że pomoże im skonfigurować ich telefony, otrzymały „w prezencie” również backdoora, który przyłączył ich urządzenia do botnetu.

Zakres infekcji RootSmart sugeruje, że stojący za tym szkodnikiem cyberprzestępcy osiągnęli zyski finansowe z botnetu mobilnego. Wybrali najpopularniejszą metodę stosowaną przez mobilnych cyberprzestępców: wysyłanie płatnych wiadomości SMS na krótkie numery. Sprawcy posługiwali się najtańszymi numerami, tak aby mogło upłynąć więcej czasu, zanim ofiary zorientowały się, że ktoś kradnie ich pieniądze. Pełna kontrola pozwala osobom atakującym ukrywać obecność szkodliwego oprogramowania w telefonie przez dłuższy czas, a tym samym dłużej wysysać pieniądze z konta użytkownika.

Ataki ukierunkowane przy użyciu mobilnego szkodliwego oprogramowania

W 2012 roku zidentyfikowano kilka nowych szkodliwych programów przeznaczonych dla systemu innego niż Android, które zostały wykorzystane w atakach ukierunkowanych.

Przykładem są ataki z wykorzystaniem szkodliwych programów ZeuS-in-the-Mobile oraz SpyEye-in-the-Mobile (ZitMo oraz SpitMo). Nowe wersje ZitMo oraz SpitMo pojawiały się regularnie dla Androida i innych systemów operacyjnych. W celu zamaskowania tego szkodliwego oprogramowania jego autorzy wykorzystywali te same metody co dwa lata temu. Obejmują one imitowanie certyfikatów bezpieczeństwa lub podszywanie się pod oprogramowanie bezpieczeństwa dla smartfonów.

Urządzenia działające pod kontrolą systemów innych niż Android są wprawdzie mniej popularne, nadal jednak mają swoich zwolenników. Pojawienie się nowych wersji ZitMo dla systemu BlackBerry w 2012 roku oznacza, że twórcy szkodliwego oprogramowania najwyraźniej nie przejmują się pogłoskami o nieuchronnie zbliżającym się końcu tej platformy. W jednej fali ataków cyberprzestępcy wykorzystali nawet szkodliwe oprogramowanie przeznaczone zarówno dla platformy BlackBerry jak i Android.

Szpiegostwo mobilne

Liczba szkodliwych programów pełniących funkcję trojanów spyware lub backdoorów zwiększyła się tysiąckrotnie. Warto również zwrócić uwagę na wzrost liczby komercyjnych aplikacji przeznaczonych do monitoringu, które trudno odróżnić od szkodliwego oprogramowania.

Najbardziej znamiennym przykładem mobilnego szkodliwego oprogramowania wykorzystywanego do celów szpiegowskich był incydent związany z modułem programu FinSpy. Moduł ten został stworzony przez brytyjską firmę Gamma International, która rozwija oprogramowanie do monitoringu dla agencji rządowych. W efekcie, program ten działa jak trojan szpiegujący. Mobilna wersja FinSpy’a została wykryta przez The Citizen Lab w sierpniu 2012 roku. Zidentyfikowano modyfikacje tego trojana dla systemu Android, iOS, Windows Mobile oraz Symbian. Mimo że różnią się one w zależności od platformy, wszystkie z nich potrafią rejestrować niemal dowolną aktywność użytkownika na zainfekowanym urządzeniu, śledząc jego położenie, wykonując ukryte połączenia oraz wysyłając dane do zdalnych serwerów.

Nadal nie wiadomo, kim byli klienci FinSpy oraz ofiary jego ataków, i w najbliższej przyszłości prawdopodobne również nie uzyskamy odpowiedzi na to pytanie. Jednak nawet bez tych informacji pojawienie się FinSpy oznacza nowy rozdział w historii mobilnego szkodliwego oprogramowania: urządzenia mobilne padają ofiarą ataków ukierunkowanych i szpiegowskich – dokładnie tak samo jak komputery.