Исследование «Лаборатории Касперского» и ИНТЕРПОЛа: Мобильные киберугрозы

Международное сотрудничество в борьбе с киберпреступностью

Киберугрозы, в том числе мобильные, напрямую связаны с киберпреступностью, поскольку в большинстве стран создание и распространение вредоносного ПО является уголовно наказуемым преступлением, а жертвы подобных преступлений, хоть злодеяния и происходят в виртуальном пространстве, теряют вполне реальные ценности: персональные данные и деньги.

При этом борьба с киберпреступностью осложняется тем, что киберпреступникам не нужно пересекать границы других государств, чтобы совершить преступление на их территории, а правоохранительным органам этих стран, напротив, нужно преодолеть множество барьеров, чтобы осуществить правосудие. Поэтому международная кооперация экспертов по информационной безопасности и правоохранительных органов необходима для эффективной борьбы с преступлениями в виртуальном пространстве. Будучи международной компанией, «Лаборатория Касперского» объединяет экспертов по информационной безопасности со всех концов света и стремится оказывать максимально подробные и профессиональные технические консультации местным правоохранительным органам.

Чтобы максимально повысить эффективность международного сотрудничества в области борьбы с киберпреступностью, «Лаборатория Касперского» и Международная организация уголовной полиции установили партнерство, в рамках которого специалисты компании будут делиться с сотрудниками организации экспертизой в области анализа киберугроз.

Отчет «Мобильные киберугрозы» подготовлен «Лабораторией Касперского» и Интерполом в рамках партнерства. Цель этого материала – оценить уровень распространенности мобильных киберугроз и привлечь внимание сообщества специалистов по информационной безопасности и правоохранительных органов стран мира к проблеме преступности в мобильной сфере.

Введение: мобильный лидер и цель №1

Cмартфоны и планшеты уже давно не новички на рынке потребительской электроники. Сегодня одно или несколько подобных устройств использует почти каждый.

Так, например, согласно результатам опроса, проведенного «Лабораторией Касперского» совместно с компанией B2B International весной 2014 года, 77% пользователей интернета не ограничиваются одним устройством, а выходят в Сеть сразу с нескольких, используя, как правило, наряду с классическими компьютерами смартфоны и планшеты. Что же это за смартфоны и планшеты?

Согласно данным, опубликованным во втором квартале 2014 года компанией IDC, объем квартальных продаж подобных устройств впервые преодолел отметку в 300 миллионов проданных единиц, что стало очередным достижением рынка, объем которого активно растет уже несколько лет подряд.

По данным из того же отчета IDC, распространение операционных систем для мобильных устройств выглядит следующим образом.

Рис.1: Популярность мобильных операционных систем во втором квартале 2014 года. Источник: IDC

Как видно из этих данных, почти 85% рынка мобильных устройств во втором квартале этого года принадлежало Android. Эти цифры в очередной раз подтверждают уже давно бесспорное лидерство Android среди мобильных операционных систем. Бесплатная для производителей устройств и легко модифицируемая под различные бизнес-нужды, эта система закономерно снискала популярность как среди разработчиков смартфонов и планшетов, так и среди пользователей по всему миру. Закономерным же является и тот факт, что устройства на платформе Android привлекли внимание злоумышленников, промышляющих созданием и распространением вредоносных программ.

По оценке экспертов «Лаборатории Касперского» около 99% всего существующего мобильного вредоносного ПО нацелено на пользователей Android-устройств. По подсчетам экспертов «Лаборатории Касперского» только за первые два квартала 2014 года было выявлено 175 442 новых уникальных вредоносных программ под Android, что на 18,3% (или на 32 231 программы) больше, чем за весь предыдущий год.

С уверенностью можно сказать, что мобильные киберугрозы в подавляющем большинстве случаев – это киберугрозы, нацеленные на Android.

Рис.2: Распределение срабатываний продуктов «Лаборатории Касперского» на различное мобильное вредоносное ПО в 2013 году

Активность преступников в производстве новых вариантов вредоносных программ под Android объяснима: смартфон нынче все чаще и чаще используется как инструмент оплаты товаров и услуг в интернете. Кроме того, это еще и мобильный сенсор, постоянно собирающий и сохраняющий множество различных типов персональных данных своих владельцев.

Эти и другие факторы не могли не сказаться на частоте, с которой пользователи смартфонов и планшетов сталкиваются с опасными программами, пользуясь интернетом при помощи мобильного устройства.

Пользователи мобильных Android-устройств – весьма ценная добыча для преступников. Насколько опасно быть активным пользователем Android, и что нужно сделать, чтобы снизить риск? Подробнее об этом далее в тексте исследования.

Методология

В исследовании рассматривался период в 12 месяцев с 1 августа 2013 года по 31 июля 2014 года. Нестандартный период был выбран по одной простой причине: статистику об атаках на пользователей Android «Лаборатория Касперского» начала собирать в мае 2012 года, и за более чем два года наблюдений, прошедших с тех пор, именно этот период выделился небывалым ростом количества угроз под Android, количества атак и атакованных пользователей.

Рис. 3: Динамика срабатываний продуктов «Лаборатории Касперского» для защиты Android-устройств на киберугрозы за всю историю наблюдений. Здесь и далее источник данных: Kaspersky Security Network

Разумеется, отчасти такой скачкообразный рост связан с увеличением числа пользователей продуктов «Лаборатории Касперского» для защиты мобильных устройств, однако, как станет ясно далее, это не главный и далеко не единственный фактор.

Помимо динамики изменения числа атак и атакованных пользователей, в рамках этого исследования будет рассмотрено географическое распределение атак и атакованных пользователей и проанализирован список наиболее распространенных вредоносных программ под Android.

Данные для этого исследования получены из облачной инфраструктуры Kaspersky Security Network, участниками которой являются более 5 миллионов пользователей смартфонов и планшетов на базе операционной системы Android, защищенных продуктами «Лаборатории Касперского». В данном исследовании анализируются данные об угрозах, полученные от этих устройств.

Основные цифры

• Всего за 12 месяцев защитные продукты «Лаборатории Касперского» зарегистрировали 3 408 112 срабатываний на опасное ПО на мобильных устройствах 1 023 202 пользователей.
• За период в 10 месяцев с августа 2013 по март 2014 ежемесячное число атак выросло почти в 10 раз – с 69 тысяч в августе до 644 тысяч в марте.
• Число атакованных пользователей также росло быстро – с 35 тысяч в августе 2013 до 242 тысяч в марте.
• Наиболее распространенными вредоносными программами за отчетный период оказались троянцы, созданные для рассылки SMS. На них пришлось 57,08% всех зарегистрированных срабатываний.
• 59,06% срабатываний пришлось на вредоносные программы, способные похищать деньги пользователей
• Около 500 тысяч пользователей хотя бы раз столкнулись с финансовым вредоносным ПО.
• Среди стран, лидирующих по количеству зарегистрированных атак, – Россия, Индия, Казахстан, Вьетнам, Украина и Германия.
• Количество модификаций мобильных банковских троянских программ за 12 месяцев выросло в 14 раз с нескольких сотен до более чем 5 тысяч программ.

Часть 1: Общая динамика мобильных угроз

Нередко приверженцы точки зрения на Android как на безопасную платформу заявляют, что, несмотря на почти ежедневные новости о новых вредоносных программах под Android, это малораспространенные программы, и масштабной угрозы владельцам Android-устройств не существует. Долгое время такая точка зрения была вполне справедливой. Действительно, если взглянуть на график динамики угроз под Android (Рис. 3), можно увидеть, что вплоть до лета 2013 года количество атак и атакованных пользователей было ниже скромной по меркам кибератак на ПК отметки в 100 тысяч в месяц.

Однако в исследуемом периоде все изменилось. За 12 месяцев с августа 2013 по июль 2014 гг. более 1,02 миллиона пользователей устройств на Android по всему миру столкнулись с более чем 3,4 миллиона атак. Это в шесть с лишним раз больше, чем было зарегистрировано за весь предшествовавший полуторагодовой период наблюдений.

В отчетном периоде наблюдается резкий рост числа атак почти в 10 раз — с 69 тысяч в августе до 644 тысяч в марте, а затем достаточно стремительный спад активности до 216 тысяч в июне. Ожидаемого уменьшения активности в конце рождественского сезона не произошло, вместо этого произошел дальнейший резкий скачок. Спад начался только в апреле.

Рис.4: Динамика срабатываний Android-продуктов «Лаборатории Касперского» на вредоносное ПО, нацеленное на Android, в период с августа 2013 по июль 2014 гг.

Эксперты «Лаборатории Касперского» считают, что причина столь резкого увеличения и последующего падения количества атак — это сезонные колебания, а кроме того – следствие снижение активности ряда нелегальных партнерских программ, ответственных за распространение большинства обнаруженных «Лабораторией Касперского» вредоносных программ под Android. При этом, несмотря на почти двукратный спад после апреля 2014 года, в совокупности в период с февраля по июль 2014 года было зарегистрировано 2,26 миллиона срабатываний, что почти вдвое (на 98,7%) больше, чем в период с августа 2013 года по январь 2014 года. Столь же драматичным оказался и рост числа атакованных пользователей: если по итогам первого периода было атаковано 363 543 пользователей, то по итогам второго – уже 734 511. Иными словами, количество атакованных пользователей за полугодие с февраля по июль 2014 года выросло вдвое по сравнению с предыдущими 6 месяцами.

География атак и атакованных пользователей

Большая часть атак за исследуемый период (а именно 52%) была зарегистрирована в России, что объясняется в первую очередь тем, что именно среди россиян больше всего пользователей продуктов «Лаборатории Касперского», согласившихся присылать статистические данные в Kaspersky Security Network.

Рис.5: Топ 15 атакуемых стран за период с августа 2013 по июль 2014

Кроме того, распространенность в России различных сервисов мобильной оплаты, позволяющих оплачивать товары и услуги с помощью платных SMS, стимулирует киберпреступников создавать и распространять вредоносное ПО для Android, способное отправлять SMS на премиум-номера.

Впрочем, развитая вредоносная индустрия в России и сравнительно спокойная в этом смысле ситуация во всем остальном мире обманчива: русскоязычные киберпреступники определенно заинтересованы в иностранных рынках. Характерные примеры попыток глобализации — это банковские троянцы Faketoken и Svpeng. Эти вредоносные программы создавались для атак на пользователей иностранных банков и лишь один из вариантов Svpeng нацелен на SMS-сервисы российских банков.

Часть 2: Главные «герои»

Рост числа атак закономерно сопровождался ростом количества модификаций вредоносных приложений.

Рис.6: Динамика изменения количества модификаций вредоносных программ под Android, обнаруженных «Лабораторией Касперского» в период с августа 2013 по июль 2014 гг.

За год этот параметр вырос почти в 3,4 раза – с примерно 120,5 тысячи модификаций в августе 2013 года до 410,8 тысячи в июле 2014 года.

Десятка наиболее распространенных вредоносных программ за отчетный период состоит преимущественно из представителей Trojan-SMS – на них пришлось 57,08% атак. На втором месте RiskTool (21,52% срабатываний) – условно легальные программы, которые, однако, могут быть использованы во вредоносных целях (отсылка SMS с наглядным уведомлением пользователя, передача гео-данных и тп.). На третьем – приложения с агрессивной рекламой (7,37%).

Рис. 7: Распределение атак по типу вредоносного ПО за период с августа 2013 по июль 2014 гг.

Конечно, можно предположить, что значительное количество российских пользователей в рассматриваемой выборке, а также распространенность SMS-платежей, характерных для российского рынка, влияет на совокупную статистику. Для того чтобы исключить «российское» влияние, мы рассмотрели ландшафт киберугроз без учета данных, полученных, от российских пользователей.

Рис. 8: Распределение атак по типу вредоносного ПО (без учета данных, полученных от российских пользователей) за период с августа 2013 по июль 2014 гг.

Как видно на графике выше, цифры хоть и другие, но общее положение дел – прежнее: Trojan-SMS наиболее распространенный тип вредоносного ПО. Топ стран, где было зарегистрировано больше всего атак с помощью вредоносных программ этого типа, выглядит следующим образом:

Рис. 9: 10 стран, где было зарегистрировано наибольшее число атак с помощью Trojan-SMS за период с августа 2013 по июль 2014 гг.

Хотя Россия и в лидерах по числу атак, с вредоносными программами типа Trojan-SMS сталкивались жители Казахстана, Украины, Великобритании, Испании, Вьетнама, Малайзии, Германии, Индии, Франции и других стран.

В целом на вредоносные программы, созданные исключительно для того, чтобы похищать у жертвы деньги (Trojan-SMS и Trojan-Banker) в совокупности пришлось 59,06% атак, зарегистрированных за отчетный период на мобильных устройствах 49,28% (около полумиллиона в абсолютных цифрах) пользователей продуктов «Лаборатории Касперского», согласившихся передавать статистику об обнаруженных угрозах в KSN.

Интенсивное использование «финансовых» мобильных троянцев киберпреступниками неудивительно. Например, по данным опроса B2B International, 53% опрошенных владельцев смартфонов и планшетов утверждают, что совершают при их помощи онлайн-платежи. Выходит, что приблизительно каждый второй владелец мобильного устройства может оказаться «прибыльным» для злоумышленника. И, как показывают статистические данные, примерно каждого второго преступники и атакуют.

Легальная слежка

Примерно 2,72% или 92,6 тысячи срабатываний пришлось на программы класса Monitor. В классификации «Лаборатории Касперского» под таким названиям проходят условно легальные приложения, предназначенные для слежки за пользователями смартфонов. Эти программы распространяются под видом полезного приложения для заботы о детях и пожилых родственниках. С их помощью можно отслеживать местоположение пользователя, читать его сообщения и получать доступ к другой персональной информации. Поэтому «Лаборатория Касперского» такие программы относит к небезопасным – злоумышленники могут устанавливать их без ведома пользователя и использовать в своих целях. Всего за год с такие приложения были задетектированы у 41,4 тысячи пользователей. В среднем каждый из них сталкивался с такими программами дважды.

Примечательно, что география распространенности таких программ значительно отличается от картины распределения всех срабатываний по миру.

Рис.10: География срабатываний на «легальные» шпионские программы класса Monitor в период с Августа 2013 по июль 2014 гг.

На первом месте Индия с 19,73% срабатываний. Россия, лидировавшая в общем «угрозном» зачете, – лишь на втором с 14,72%. Также нередко подобные приложения детектируются у пользователей из США (7,59% срабатываний), Великобритании (6,8% срабатываний) и Германии (4,56% срабатываний).

У экспертов «Лаборатории Касперского» нет оснований считать, что все эти срабатывания были следствием попыток незаметно установить на устройство пользователя защитного продукта «Лаборатории Касперского» одну из подобных программ. Однако именно потому, что такой сценарий вероятен, защитные продукты детектируют программы класса Monitor как потенциально опасные.

Часть 3. Trojan-SMS и «легальный» бизнес партнерских программ

За отчетный период были обнаружены 452 модификации 62 разных троянцев, способных использовать SMS-сообщения.

Рис.11: Распределение атак с использованием наиболее распространенных SMS-троянцев в период с августа 2013 по июль 2014

Больше всего срабатываний «собрали» программы семейства Agent (28,57%), на втором месте – Fakeinst (22,4%), на третьем – Stealer (21,59% атак).

По мнению экспертов «Лаборатории Касперского», одной из наиболее распространенных схем доставки вредоносного кода являются партнерские программы.

Стандартная схема работы вредоносных партнерских программ выглядит следующим образом: группа мошенников создает партнерский сайт и предлагает желающим стать партнерами и зарабатывать деньги за счет распространения вредоносной программы. Для каждого партнера создается модификация вредоносной программы с уникальным ID и landing-page, с которой она должна загружаться на устройство жертвы. Участники такой партнерской программы затем закупают интернет-трафик у третьих лиц, либо пригоняют пользователей через перенаправление с взломанных сайтов, размещение баннеров на популярных веб-ресурсах или создание и «раскрутку» в поисковой выдаче собственных сайтов. Цель всей процедуры — привести как можно больше пользователей Android-устройств на страничку с вредоносным приложением. После каждой успешной установки зараженное устройство начинает отсылать SMS на платные номера, принося злоумышленникам прибыль. Часть этой прибыли выплачивается партнерам. Группировки, занимающиеся продажей трафика, как правило, используют различные методы социальной инженерии, привлекая пользователей порнографией, бесплатными играми и прочим.

По оценкам экспертов «Лаборатории Касперского», вредоносные приложения с таких landing-pages скачивают около 38% пользователей, которые на них попадают. Около 5% пользователей их устанавливают. Годовая чистая прибыль злоумышленников составляет около 5 миллионов долларов.

За исследуемый период эксперты «Лаборатории Касперского» наблюдали активность как минимум четырех крупных партнерских программ, на которые пришлось около четверти всех зарегистрированных за исследуемый период атак. Каждая из партнерских программ использовала одну группу SMS-троянцев и действовала преимущественно на территории России и стран бывшего СССР.

Рис.12: Динамика активности четырех партнерских программ, занимавшихся распространением вредоносного ПО для Android в период с августа 2013 по июль 2014 гг.

В начале исследуемого периода на этом рынке было три «лидера»: Fakeinst.am Opfake.bo и Opfake.a, из которых наиболее активным и успешным был Opfake.bo. Однако в октябре прошлого года ситуация кардинально изменилась: появился новый игрок Stealer.a. От своих конкурентов он отличался более широким набором вредоносных функций и высокой активностью в распространении. На лидирующие позиции по количеству срабатываний он вышел уже в ноябре 2013 года и после этого оставался на первом месте до конца исследуемого периода.

2014: плохие новости для вредоносных партнерских программ

В самой бизнес-модели партнерских программ для распространения приложений и премиального контента нет ничего незаконного. Однако существует ряд косвенных признаков, что официальные компании, стоявшие за некоторыми партнерскими программами, работали как с распространителями легального контента и приложений, так и с мошенниками. То есть, в отличие от большинства кампаний по распространению зловредов для ПК, в распространении Android-троянцев и извлечении прибыли из последствий заражения смартфонов пользователей участвовали официальные юридические лица, зарегистрированные преимущественно на территории России.

Эта ситуация сохранялась долгое время, поскольку ни серьезные штрафные санкции со стороны мобильных операторов за развертывание мошеннических кампаний, ни уголовная ответственность за распространение вредоносного ПО не останавливали мошенников и организации, которые с ними работали. Однако в начале 2014 года все изменилось: в преддверии принятия законодательных изменений, направленных в том числе на борьбу с SMS-мошенничеством, мобильные операторы стали использовать механизм Advise of Charge (AoC), в рамках которого всякий раз, когда абонент (или SMS-троянец) предпринимает попытку отослать сообщение на платный номер, оператор уведомляет абонента о стоимости услуги и запрашивает дополнительное подтверждение желания пользователя подписаться на платный сервис/активировать платную услугу.

С начала года механизм вводился лишь на некоторых видах платных SMS-сервисов, но с 1 мая 2014 года в России вступила в силу законодательная норма, обязывающая сотовых операторов уведомлять о попытке оформить любую мобильную подписку. Это событие совпало с кардинальным снижением количества атак с помощью SMS-троянцев.

Предшествовавший этому падению значительный рост числа атак, особенно с применением Stealer.a, мог быть попыткой преступников успеть заработать как можно больше до введения тотального AoC. Согласно наблюдениям экспертов «Лаборатории Касперского» именно весной 2014 года три партнерские программы, ответственные за распространение троянцев Fakeinst.am, Opfake.bo и Opfake.a прекратили активную деятельность. У экспертов «Лаборатории Касперского» нет оснований считать, что они закрылись окончательно, но былого размаха не стало, и снижение количества атак с помощью SMS-троянцев – красноречивое, хотя и косвенное, тому подтверждение.

Самая активная из четырех партнерских программ, занимающаяся распространением Stealer.a, также серьезно «потеряла» в количестве атак, но пользователи продолжают регулярно сталкиваться с модификациями этого вредоносного приложения.

Примечательно, что хотя все эти партнерские программы были организованы и поддерживались русскоговорящими киберпреступниками, а большинство мошеннических схем было направленно на пользователей из России и стран бывшего СССР, падение количества атак с помощью Trojan-SMS произошло и в Европе.

Рис.13: Динамика числа атак с помощью Trojan-SMS в европейских странах в период с апреля по июль 2014 года

На графике выше представлены данные об атаках с помощью Trojan-SMS в европейских странах, попавших в TOP 5 по количеству атак с использованием Trojan-SMS. Как видно, в четырех из пяти стран отмечено снижение числа атак.

Небольшой рост количества атак в Германии в конце периода показала также вредоносная программа Agent.ao, распространяемая партнерской программой, ориентированной преимущественно на эту страну.

Все прочие до того активные партнерские программы, действовавшие на территории Европы и в Азии, стали заметно снижать активность.

Рис.14: Динамика атак с помощью троянцев семейства Agent в странах из разных регионов в период с августа 2013 по июль 2014 гг.

Таким образом, число атак убывало и на постсоветском пространстве, и в Европе, и в Азии.

Причин у этого может быть две.

Во-первых, в сезон отпусков, начинающийся весной, киберпреступники снижают активность.

Во-вторых, спад могли спровоцировать описанные выше российские события в области законодательства. Эксперты «Лаборатории Касперского» не раз отмечали, что русскоязычные создатели вредоносного ПО под Android имеют глобальные амбиции и адаптируют вредоносные программы, включая Trojan-SMS, под атаки на не русскоязычных рынках. Однако количество срабатываний, регистрируемых вне постсоветского пространства, всегда было в десятки раз меньше, чем в России и соседних с ней странах. Едва ли дальнее зарубежье приносило владельцам партнерских программ, базирующихся в России, много денег. И когда основные «игроки» российской сферы вредоносного ПО для Android перестали активно распространять SMS-троянцев, это закономерно повлекло за собой закрытие их зарубежных «проектов».

Впрочем, у экспертов «Лаборатории Касперского» нет твердых оснований считать эту теорию верной, однако если она все же верна, то этот случай является примером того, как меры по противодействию мошенничеству в одной стране приводят хоть и к незначительному, но снижению его уровня в других странах.

Мобильные банковские троянцы: те же партнерки, те же тенденции

Всего за этот период было зарегистрировано 67,5 тысяч атак с помощью семейства Trojan-Banker, направленного на похищение данных для доступа к системам онлайн-банкинга. Банковскими мобильными троянцами были атакованы 37,7 тысяч пользователей. Общее количество модификаций мобильных банковских троянцев выросло с 423 в августе 2013 до 5967 в июле 2014 года. Более чем в 14 раз!

Однако, несмотря на рост числа модификаций, снижение числа атак и пользователей, атакованных Trojan-SMS, отразилось и на количестве атак троянцами Trojan-Banker. Прежде всего, произошло это потому, что один из троянцев использовал те же партнерские сети, что и Trojan-SMS.

Рис.15: Динамика атак и количества пользователей, атакованных с помощью мобильных вредоносных программ Trojan-Banker в период с августа 2013 по июль 2014 гг.

Рис.16: Географическое распределение пользователей, столкнувшихся с Trojan-Banker на Android в период с августа 2013 по июль 2014 гг.

Общий тон сокращению атак задал банковский троянeц Faketoken, который способен похищать одноразовые пароли, присылаемые банком для подтверждения транзакций и работает в паре с «настольными» банковскими троянцами.

Рис 17: Динамика изменения количества атак с помощью Faketoken в сравнении с совокупным числом атак с помощью мобильных банковских троянцев в период с августа 2013 по июль 2014 гг.

Как видно на графике выше, с августа по март Faketoken фактически был единственной банковской троянской программой, которую использовали злоумышленники. Начиная с апреля 2014 года, когда распространявшийся через одну из закрывшихся в то время российских партнерских сетей Faketoken стал «увядать», общее количество срабатываний на мобильные банковские троянцы в целом осталось на более высоком уровне, чем Faketoken, а в июле общее число атак немного увеличилось.

Эту положительную динамику обеспечили две другие программы, направленные против пользователей интернет-банкинга: Svpeng и Marcher.

Рис.18: Динамика изменения количества атак с помощью банковских троянцев Marcher и Svpeng в период с марта по июль 2014 года

Как видно, количество атак с помощью Svpeng в период с конца мая до конца июня уменьшалось. В июне эксперты «Лаборатории Касперского» обнаружили новую модификацию Svpeng. До этого преимущественно «русскоязычный» и исключительно «банковский», Svpeng обрел функции троянца-вымогателя, который показывал жертве сообщение о блокировке телефона и требовал несколько сотен долларов за разблокировку устройства. Судя по результатам анализа контента, который использовала эта вредоносная программа, основными ее целями были пользователи из США.

Что же до Marcher, то на первый взгляд это еще один «русский» банковский троянец – 98,84% пользователей, столкнувшихся с ним, живут на территории России. Однако, как показал анализ кода троянца, проведенный экспертами «Лаборатории Касперского», с целями этой вредоносной программы не все так очевидно.

Заразив устройство, программа отслеживает запуск всего двух приложений: в случае, если пользователь входит в магазин Google Play, Marcher демонстрирует пользователю фальшивое окно Google Play для ввода данных о платежной карте.

Изначально Marcher мог атаковать лишь пользователей Google Play, но в марте 2014 года эксперты компании обнаружили модификацию, нацеленную, в том числе, на мобильный клиент для доступа к системе интернет-банкинга крупного немецкого банка. В случае если пользователь запускает приложение этого банка, открывается другое фальшивое окно, в котором требуется ввести логин и пароль для входа в систему.

Впрочем, пока пользователи мобильных продуктов «Лаборатории Касперского», находящиеся на территории Германии, не сталкивались с этой угрозой, однако эта ситуация вполне может измениться в будущем. Эксперты «Лаборатории Касперского» будут следить за развитием этой и других опасных Android-угроз.

Таким в целом был ландшафт киберугроз для Android в период с августа 2013 по июль 2014 года. Весеннее падение числа атак закончилось, и продукты «Лаборатории Касперского» все чаще присылают уведомление о новых атаках. По прогнозам экспертов «Лаборатории Касперского», этот рост скорее всего продолжится.

Выводы и рекомендации

Данные, проанализированные в ходе этого исследования, показали, что киберпреступность в мобильной сфере – распространенное явление по всему миру. При этом в исследовании нашли отражение лишь данные от защищенных от мобильного вредоносного ПО пользователей «Лаборатории Касперского», что дает лишь примерные представления о распространенности и опасности той или иной угрозы.

Точно можно сказать, что количество угроз растет, а ущерб, который они могут причинить, может исчисляться миллионами долларов.

Еще один вывод заключается в том, что киберпреступники, промышляющие вредоносным ПО, направленным на пользователей мобильных устройств, совершают преступления вне границ тех государств, в которых живут.

В сложившейся ситуации очевидно, что проблема требует внимания не только экспертов по информационной безопасности и правоохранительных органов в тех странах, где совершаются преступления, но и в тех странах, где предположительно могут жить люди, эти преступления совершившие. Защитные решения могут заблокировать угрозу на устройстве пользователя, но в этом случае преступники найдут менее защищенные жертвы. Единственное, что их может остановить – это вмешательство правоохранительных органов.

Для того чтобы не стать жертвой преступников, промышляющих распространением мобильного вредоносного ПО, эксперты «Лаборатории Касперского» и Международной организации уголовной полиции рекомендуют следующие меры безопасности.

Для частных пользователей:

• Защищайте свои Android-устройства надежными паролями, чтобы злоумышленники не могли получить доступ к персональной информации, похитив аппарат и подобрав пароли.
• Не стоит снимать запрет на установку приложений из сторонних источников. Google Play, основной канал распространения приложений для Android, как правило, тщательно проверяет попадающие в него программы. Даже если по каким-то причинам возникает необходимость использования стороннего приложения, после его установки лучше вернуть запрет.
• Разработчики антивирусных решений часто создают приложения для исследования устройств на предмет наличия в них незакрытых уязвимостей. Приложения такого рода периодически обновляются по мере обнаружения новых уязвимостей. Мы рекомендуем время от времени использовать такого рода ПО.
• Обязательно используйте в аппарате защитное решение, проверяющее скачиваемые на устройство файлы и защищающее от прочих интернет-атак. Да, пока вредоносное ПО для Android распространено не так широко, как ПО для персональных компьютеров. Но это вряд ли будет утешением в том случае, если вы окажетесь жертвой злоумышленников.
• При проведении банковских транзакций обязательно используйте двухфакторную аутентификацию. Причем желательно, чтобы временные коды доступа к банковскому аккаунту приходили на специальный телефон. Для этих целей рекомендуется использовать самые простые модели, без функций смартфона — так меньше шансов, что и они окажутся заражены банковским троянцем. Да и вообще, лучше использовать двухфакторную аутентификацию на всех сервисах, где это возможно.
• Если на вашем аппарате находится какая-либо ценная информация (финансовая, приватная или рабочая), следует воспользоваться функцией шифрования. Тогда даже если устройство будет похищено, злоумышленники не смогут получить доступ к данным.
• Если вы считаете, что стали жертвой или свидетелем киберпреступления, не медлите с обращением в правоохранительные органы. В большинстве цивилизованных стран создание и распространение вредоносных программ, похищение частной информации считаются уголовными преступлениями и расследуются специальными подразделениями правоохранительных органов.

Для корпораций:

• Тенденция Bring Your Own Device вместе с личными мобильными устройствами сотрудников приносит в компанию практически все «потребительские» риски информационной безопасности. Важная корпоративная информация, сохраненная на телефоне сотрудника, может стать ценной добычей для киберпреступников. Применение защитного решения с функциями Mobile Device Management, включающим возможность шифрования и удаленного уничтожения информации на смартфоне, поможет сохранить секретную бизнес-информацию в тайне.
• Банальное незнание элементарных правил информационной безопасности сотрудниками приводит к возникновению инцидентов. Поэтому в условиях, когда почти каждый сотрудник владеет подключенным к интернету устройством, обучение правилам безопасного обращения с мобильными устройствами не станет пустой тратой корпоративного бюджета.
• Обращайтесь в правоохранительные органы и экспертные организации в случае возникновения инцидента информационной безопасности. Многие компании, опасаясь репутационных потерь, сохраняют информацию об инцидентах в тайне и не инициируют расследования преступления. Однако однажды избежавший ответственности киберпреступник может вернуться и причинить еще больший ущерб.

Для правоохранительных органов и регуляторов:

• Рынок услуг в области цифровой криминалистики и анализа вредоносного ПО содержит большое количество высококлассных специалистов, привлечение которых к расследованию киберпреступлений может ускорить и сделать более эффективным и глубоким процесс сбора доказательств и поиска подозреваемых.
• Сейчас кибекриминал практически без опаски устраивает кибератаки на жителей зарубежных стран, пользуясь тем, что процесс инициирования международного расследования связан с большим количеством бюрократических и политических проволочек. Чем эффективнее будет осуществляться сотрудничество киберполицейских разных стран, тем сложнее киберпреступникам будет уходить от ответственности.

Пояснение об ответственном распространении информации

Настоящий текст представляет собой анализ ландшафта киберугроз для мобильных устройств на платформе Android. Основой для данного материала является информация о срабатывании защитных продуктов «Лаборатории Касперского» на приложения, которые в силу своих функций считаются небезопасными или вредоносными. Во избежание возможной неверной интерпретации представленных далее фактов «Лаборатория Касперского» хотела бы подчеркнуть несколько специфических свойств данного отчета.

1. Терминология

В отчете употребляется ряд специфических терминов, описывающих процесс взаимодействия защитного продукта с вредоносным программным обеспечением. Одним из наиболее часто употребляющихся терминов является термин «Атака». В терминологии «Лаборатории Касперского» атакой считается обнаружение защитным продуктом на защищаемом устройстве любого программного обеспечения, считающегося вредоносным, вне зависимости от того, была ли зарегистрирована попытка исполнения вредоносного кода. Под термином «Пользователь» подразумевается исключительно владелец устройства, защищенного продуктом «Лаборатории Касперского».

2. Выборка и географические особенности

Подсчеты и выводы, сделанные для данного исследования, опираются на пользовательскую аудиторию мобильных продуктов «Лаборатории Касперского», превышающую 5 миллионов пользователей в более чем 200 странах и территориях. Необходимо подчеркнуть, что количество пользователей продуктов «Лаборатории Касперского» разнится от страны к стране, и в связи с этим результаты исследования могут не отражать реального положения дел в исследуемой сфере в той или иной стране. Однако опыт многолетнего наблюдения за статистикой, полученной из Kaspersky Security Network (KSN), показывает, что в большинстве случаев данные KSN о степени распространенности той или иной киберугрозы или класса киберугроз, а кроме того, данные о процентном соотношении пользователей устройств на различных операционных системах, совпадают с данными из других источников – компаний, занимающихся сбором и анализом статистики.

Ответственное распространение

Исследование предназначено для свободного распространения. «Лаборатория Касперского» призывает тех, кому представленные ниже сведения окажутся интересными и полезными, учитывать вышеуказанные особенности сбора статистики KSN при подготовке публичных материалов, в которых она будет использована.