Исследование

Враг в телефоне

Среди неспециалистов бытует мнение, что на смартфонах зловредов нет. Еще несколько лет назад дела почти так и обстояли, ведь разработчики мобильных платформ с самого начала закладывали в свои продукты максимальную защищенность от вредоносного ПО. Мобильные операционные системы не позволяли вредоносным программам так просто захватывать управление и хозяйничать на устройстве.

Со временем, увы, ситуация изменилась в корне, в первую очередь благодаря расширению возможностей мобильных устройств. Современный смартфон – полноценный рабочий инструмент, центр развлечений и средство управления личными финансами. И чем больше он умеет, тем сильнее привлекает злоумышленников, которые не против поживиться за чужой счет, тем больше вредоносных приложений они выпускают, и тем больше способов распространения и заражения придумывают.

За последние два года число мобильных зловредов выросло более чем в 10 раз и превысило 12 миллионов в Q4 2014

Tweet

Это подтверждает стремительный рост числа мобильных троянцев. Динамика впечатляет: с первого квартала 2012 года число зловредов выросло более чем в десять раз и в четвертом квартале 2014 года превысило 12 миллионов.

mobile_threats_2015_ru_1

Количество обнаруженных вредоносных установочных пакетов

Показательно меняется и распределение вредоносных программ по типам. Легко заметить, что традиционные SMS-троянцы и многофункциональные бэкдоры уступают дорогу рекламным зловредам и троянцам-банкерам. При этом уменьшение доли зловредов какого-либо типа вовсе не говорит о том, что они уходят со сцены – не забывайте про рост общего числа вредоносных программ для мобильных устройств.

mobile_threats_2015_ru_2

Распределение мобильных зловредов по функциям
(файлы из коллекции «Лаборатории Касперского»)

Разумеется, вирусописатели плодят своих троянцев в таких масштабах вовсе не для того, чтобы коллекционировать их и хвастаться ими на подпольных форумах. Нет, все они находят своих жертв, и порой диву даешься, какими нехитрыми способами зловреды попадают на мобильные устройства.

Сделай сам

Хотите верьте, хотите нет, но пользователи собственноручно заражают свои мобильные устройства.

Как без ведома пользователя вредоносная программа может оказаться на его компьютере, хорошо известно. Вы заходите на знакомый популярный сайт, взломанный злоумышленниками, и в вашем браузере в скрытом фрейме открывается вредоносный сайт, после чего с помощью арсенала эксплойтов на компьютер незаметно загружается вредоносная программа.

На мобильных платформах все совсем не так. Благодаря заложенным в них принципам, почти никакие уязвимости не помогут хакерам проникнуть на ваше устройство без вашего ведома и разрешения. И потому, как в известном анекдоте про монгольский вирус («пожалуйста, сами удалите все свои важные данные и отформатируйте винчестер»), установить себе мобильного троянца и запустить его вы должны самостоятельно.

Классическим способом получения денег с помощью мобильных зловредов является отправка SMS на премиум номера

Tweet

Механизм установки программ является одним из уязвимых мест мобильных платформ, особенно это касается Android. В iOS для установки программы не из App Store надо повозиться, а вот Android позволит вам это после простановки лишь одной галочки в настройках. При этом система проверит цифровую подпись установочного пакета, что, по идее, должно защитить от вредоносных программ. Да вот незадача: не существует для Android удостоверяющих центров, некому проверить владельца подписи. Потому злоумышленники просто подписывают программу любой подписью, и установка проходит без проблем, лишь бы ее разрешил пользователь.

И многие пользователи разрешают. В самом деле, куда проще ткнуть в ОК на экране в окне запроса на установку, чем задуматься над своими действиями.

mobile_threats_2015_3

Обычный пользователь вообще редко задумывается о такой далекой от народа дисциплине, как информационная безопасность. Велико искушение не покупать полезную программу или интересную игру, а скачать ее где-нибудь в интернете бесплатно. И вполне возможно, что скачанное приложение будет работать, как и ожидает пользователь, да вот только деньги с мобильного счета начнут исчезать с головокружительной скоростью, и банковская карта вскоре опустеет… А если на интересном сайте предлагают посмотреть откровенное видео (только обновите Flash Player!) – разве это угроза?

mobile_threats_2015_4

Поддельная страница обновления Adobe Flash Player. Пользователю сообщается, что его версия устаревшая, и ее необходимо обновить.

Неопытный пользователь не знает, что программы в смартфоне обновляются совсем не так, как на компьютерах, и под видом обновления полезной программы злоумышленники могут подсунуть ему все что угодно.

Целеустремленные злодеи крайне настойчивы и хитроумны в достижении своих целей: как правило, вредоносные приложения распространяются под видом различных полезных программ, игр, порновидео или плееров для просмотра порно.

Как найти себе зловреда

Поскольку пользователь сам должен установить на свой смартфон вредоносную программу, надо так или иначе заманить его на ресурс, откуда загружается зловред. Для этого используется, в частности, так называемое «черное SEO», то есть методы поисковой оптимизации, заставляющие поисковую систему показывать вредоносный ресурс в верхних строчках поисковой выдачи. Когда рейтинг подрос – можно собирать урожай.

Заскучавший пользователь набирает «игры для Android скачать» и видит в первой или второй строке выдачи ссылку на сайт, который, может быть, и вправду содержит игры, но эти игры не простые, а с сюрпризом, причем весьма неприятным. Люди склонны доверять сайтам из верхних строчек поисковой выдачи. Пользователь считает, что если на сайт заходят тысячи людей, значит, там точно найдется нужная ему игра или программа. О безопасности он просто не думает. Большая ошибка.

mobile_threats_2015_5

Для того чтобы поднять сайт в топ поисковой выдачи, злоумышленники нередко используют ботнеты: тысячи ботов вводят в Google и Yandex поисковые запросы и заходят на нужный вредоносный сайт, повышая его рейтинг. Кроме того, ссылки на нужную злоумышленникам страницу публикуются на всевозможных форумах, досках объявлений, в комментариях на новостных сайтах. Там их обнаруживают краулеры поисковых систем, и рейтинги растут еще больше.

Нельзя сказать, что поисковики не борются с такими методами раскрутки вредоносных сайтов. Борются, и блокируют сайты десятками и сотнями. Но этим злоумышленников не смутить: они постоянно создают и раскручивают новые сайты с помощью автоматических инструментов.

Еще один способ привлечь пользователя на сайт с вредоносным приложением – SMS-спам. Это может быть массовая нецелевая рассылка сообщений со ссылкой на вредоносный ресурс, с расчетом на то, что кто-нибудь да кликнет по ссылке. Но более эффективно работает рассылка с помощью SMS-червей. Достаточно такой программе попасть на чей-либо смартфон, как она тут же начинает рассылку SMS-сообщений с вредоносной ссылкой по всему списку контактов владельца. Сообщение от знакомого человека обычно не внушает подозрений, особенно если его текст выглядит правдоподобно, и многие действительно переходят по присланной ссылке, ожидая увидеть личные фотографии или какой-нибудь образчик сетевого юмора, которым якобы хочет поделиться друг. Но на открывшемся сайте пользователя ждет вредоносный «подарок» от злоумышленника.

Еще один метод позволяет злоумышленникам паразитировать на популярности легитимных ресурсов.  Хакеры взламывают популярные сетевые ресурсы со множеством посетителей: новостные сайты, интернет-магазины, тематические порталы. Если программное обеспечение сайта содержит уязвимости, известные злоумышленникам, в его страницу внедряется код, перенаправляющий посетителей на другой сайт, содержащий зловреды. Если же уязвимости найти не удалось, всегда можно попытаться украсть учетные данные администратора сайта, для чего применяются фишинг и социальная инженерия. В случае успеха с сайтом можно сделать вообще все что угодно, вплоть до размещения зловредов на нем самом.

mobile_threats_2015_6

Скриншот поддельного Android Market

Помимо этого, мобильные вредоносные программы распространяются «почти честным» способом – через магазины приложений. Это может быть легитимная программа с внедренным в нее вредоносным кодом, специально написанное приложение, имитирующее выполнение каких-либо полезных функций, или совсем уж «голый» зловред, у которого из средств маскировки лишь название да иконка.

mobile_threats_2015_7

Скриншот поддельного Google Play

Такие программы обычно загружаются в неофициальные магазины приложений, которые либо вовсе пренебрегают какой-либо защитой, либо не слишком тщательно контролируют свое содержимое, зачастую ограничиваясь автоматической антивирусной проверкой. Но есть прецеденты попадания таких программ в официальные магазины: Google Play и даже традиционно более защищенный Apple App Store. Компании, конечно, оперативно чистят свои магазины, но и злоумышленники не сидят сложа руки.

Как наживаются злоумышленники

Попав на ваш смартфон, вредоносная программа примется выполнять свою задачу – пополнять карман собственного владельца, причем за ваш счет. Современное мобильное устройство является для злоумышленника настоящим Клондайком, главное — уметь разработать эту золотую жилу.

mobile_threats_2015_ru_8

Мобильные зловреды: используемые способы монетизации

Дорогие хитрости

Самый невинный у мошенников способ заработать деньги – это навязчивая демонстрация рекламы. Особого вреда она вам не нанесет, но периодически всплывающие уведомления с рекламными баннерами вскоре начнут раздражать, а избавиться от них не так уж легко – поди узнай, какая именно из программ этим промышляет! Вполне возможно, что это Angry Birds HD, а может, нечто с непроизносимым названием, выдающее себя за системное приложение.

Особняком стоит вид поддельных приложений, которые в общем-то не делают ничего – ни плохого, ни хорошего, но обходятся пользователю в копеечку. Одни из них откровенные пустышки, размещенные в платных разделах магазинов приложений, как, например, программа, обещающая сделать вас богатым, а на деле лишь демонстрирующая изображение бриллианта на экране смартфона. Другие маскируются под нечто полезное, например под антивирус, требующий от пользователя микроплатежи за защиту от троянцев, якобы заполонивших устройство.

mobile_threats_2015_9

Деньги из телефона

Классическим способом незаконного получения денег с помощью мобильных зловредов является отправка SMS на премиум (то есть платные) номера. Обосновавшийся на телефоне троянец просто отсылает с него несколько платных SMS-сообщений, опустошая ваш мобильный счет. А оператор мобильной связи переводит деньги с вашего счета на счет арендатора номера (злоумышленника), не видя в этом ничего незаконного, ведь премиум-номера до сих пор являются популярным способом оплаты различных интернет-услуг.

Еще один способ нажиться на владельцах зараженных смартфонов – кража ценных данных. В вашей адресной книге, SMS-сообщениях и электронной почте можно найти много интересного. Как минимум, за ваш счет пополнятся адресные базы для спама, и ваших знакомых завалят рекламой и вредоносными ссылками. А если, скажем, вы отправляли или получали по почте учетные данные для администрирования какого-либо сайта и не потрудились их сменить, будьте уверены: злоумышленники это оценят и с радостью примут ваш сайт «в семью».

mobile_threats_2015_10

Смартфон или кошелек?

Относительно недавно на мобильных устройствах появились и троянцы-вымогатели, столь распространенные на компьютерах. Все очень просто: зловред, оказавшийся на вашем мобильном устройстве, демонстрирует на экране картинку с угрозами и требованием выкупа. Работа с устройством оказывается невозможной. Все, что можно сделать, – ввести особый код, который вам обещают прислать, как только вы заплатите определенную сумму.

mobile_threats_2015_11

Удалить троянца бывает невозможно без полного сброса настроек и содержимого флэш-памяти устройства. Утрата хранящихся на устройстве данных может быть настолько болезненна, что некоторым пострадавшим проще заплатить, чем их лишиться, но надо иметь в виду, что, даже получив деньги, код разблокировки злоумышленники присылают далеко не всегда.

Ключ к вашему банку

Но все вышеперечисленное – сущее баловство по сравнению с относительно новым способом «мобильной» наживы. Последние годы довольно большое распространение получили сервисы мобильного банкинга. Каждый уважающий себя банк успел разработать приложение, позволяющее клиенту распоряжаться своими деньгами со своего смартфона, или хотя бы внедрил сервис SMS-банкинга.

В начале 2013 года было меньше ста мобильных банкеров, в октябре 2014 года их количество превысило 13000

Tweet

В результате смартфоны очень многих пользователей являются ключами к их банковскому счету, или даже нескольким. Очевидно, что тут масштаб наживы несопоставим с классическими методами, и это побуждает злоумышленников стремительно продвигаться в направлении атак на мобильный банкинг.

Статистика дает четкую картину, насколько горячий интерес испытывают мобильные вирусописатели к нашим банковским счетам. Если в начале 2013 года число троянцев-банкеров в нашей коллекции не достигало и сотни, то в октябре 2014 года оно превысило тринадцать тысяч.

mobile_threats_2015_ru_12

Количество обнаруженных мобильных банкеров

Во всем мире троянцы-банкеры становятся все популярнее, но в России наблюдается просто настоящий бум мобильных банкеров. Именно в России вирусописатели обкатывают свои творения перед тем, как использовать их в других странах.

Проще всего злоумышленникам заполучить деньги пользователей, используя SMS-банкинг. Для этого не нужны даже новые инструменты, с операцией отлично справляются обычные SMS-троянцы. Дело в том, что многие банки по умолчанию считают телефон клиента доверенной средой и принимают SMS-команды к исполнению без дополнительной аутентификации. Деньги с банковского счета клиент может отправить на собственный или на чужой мобильный счет. Используя эту возможность, злоумышленники отправляют соответствующие SMS и переводят деньги со счета жертвы на свои счета, а уж вывести их оттуда совсем не сложно благодаря развитию систем мобильных платежей.

Во всем мире мобильные банкеры становятся популярнее, но в России наблюдается настоящий бум

Tweet

Нередко банковские троянцы работают в паре с компьютерными троянцами – таков, например, Faketoken. Стоит подцепить на свой компьютер банкера и зайти в свой аккаунт интернет-банкинга, как зловред активируется и показывает пользователю требование скачать Android-приложение, которое якобы необходимо для безопасного подтверждения транзакции. И доверчивый пользователь послушно устанавливает себе на смартфон Faketoken. Дальше дело техники: компьютерный зловред крадет логин и пароль, и злоумышленники получают доступ к банковскому аккаунту пользователя. Они проводят транзакцию, в ходе которой Faketoken перехватывает одноразовый код подтверждения (mTAN), присылаемый банком в SMS-сообщении. В результате получателем круглой суммы, переведенной со счета пользователя, оказывается некий Василий П., который тут же обналичит денежный перевод через банкомат. Атаки этого зловреда мы зафиксировали в 55 странах, в том числе в Германии, Швеции, Франции, Италии, Великобритании и США.

Третий способ заключается в использовании независимых мобильных троянцев-банкеров, которые умеют маскироваться под приложение мобильного банкинга или же просто подменять интерфейс банковского приложения. Троянец получает логин и пароль, которые вводит пользователь, и передает полученную информацию на свой командный сервер. Злоумышленник с помощью перехваченных данных проводит транзакцию. Так, например, делает Svpeng. Этот мобильный троянец открывает поверх легитимных приложений самых крупных российских и украинских банков окно, замаскированное под эти приложения.

mobile_threats_2015_14

Фишинговое окно, имитирующее оригинальное приложение банка

С помощью таких программ злоумышленники могут в одночасье лишить вас всех сбережений, опустошив счета и закрыв депозиты, а то и загнать вас в долги, подчистую выбрав лимит кредитного счета.

Не рой себе яму

В разных странах процент вредоносных приложений среди всех приложений, которые устанавливают пользователи, разный. Ниже приведены показатели некоторых стран за январь — октябрь 2014 года (в соответствии с данными, полученными с помощью сервиса «Лаборатории Касперского» KSN):

Вьетнам 2,34% Швейцария 0,36%
Польша 1,88% Индия 0,34%
Чехия 1,02% Канада 0,23%
Франция 0,84% Германия 0,18%
Бельгия 0,74% Бразилия 0,17%
Китай 0,73% Италия 0,09%
Украина 0,70% Австрия 0,07%
Россия 0,69% США 0,07%
Мексика 0,62% Гонконг 0,05%
Испания 0,54% Новая Зеландия 0,05%
Беларусь 0,50% Норвегия 0,04%
Иран 0,38% Япония 0,01%

Интересно, что от всех этих замысловатых мобильных угроз не так сложно защититься. Разработчики мобильных платформ хорошо позаботились о безопасности, и самым слабым звеном в защите стал пользователь. Это и хорошо, и плохо. Плохо — потому что многие пользователи не слишком задумываются о своей безопасности. Хорошо — потому что вам достаточно прислушаться к нескольким простым рекомендациям, чтобы оградить себя от всех вышеприведенных напастей.

Мы рекомендуем вам придерживаться следующих правил.

  • Не взламывайте свой смартфон. Да, Jailbreak на iPhone и root на Android-устройстве обеспечивают вам дополнительные возможности в обращении с вашим телефоном, но они же дают зеленый свет злоумышленникам.
  • Отключите на Android возможность установки программ из недоверенных источников.
  • Обзаведитесь мобильным антивирусом, который будет анализировать приложения на этапе установки.
  • Старайтесь не проходить по ссылкам из SMS, даже если они приходят в сообщениях от знакомых.
  • Если уж вы прошли по ссылке в SMS – не соглашайтесь на какие-либо загрузки и установки.
  • Обновляйте свои приложения только путем загрузки обновлений из официальных магазинов, а не с каких-либо сайтов.

Враг в телефоне

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

  1. happywalrus

    Виктор, тут по сарафанному радио коллеги передавали, что планировалась статья с обзором троянца, который умеет обходить капчу и работает по принципу «автокликера» (если так можно выразиться).
    Будет ли она?

Отчеты

CloudSorcerer: новая APT-угроза, нацеленная на российские государственные организации

«Лаборатория Касперского» обнаружила новую APT-угрозу CloudSorcerer, нацеленную на российские государственные организации и использующую облачные службы в качестве командных серверов аналогично APT CloudWizard.

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике