RSS-лента

 
Новости
Пресс-релизы

Поиск по компаниям

 
Расширенный поиск
Обзоры сети

Архив пресс-релизов

 

2002 г
2003 г
2004 г
2005 г
2006 г
2007 г
2008 г
2009 г
2010 г
2011 г
2012 г
2013 г
янв фев мар апр
май июн июл авг
сен окт ноя дек

январь

Пн Вт Ср Чт Пт Сб Вс
1 2 3 4 5 6
7 8 9 10 11 12 13
14 15 16 17 18 19 20
21 22 23 24 25 26 27







© ICC.  Перепечатка допускается

только с разрешения .

Пресс-релизы

 

30 января 2013 г

Обзор Android-угроз в 2012 году: основные риски для пользователей

С угрозами со стороны вредоносных программ ОС Android столкнулась практически с момента своего появления на рынке. И хотя многие пользователи поначалу восприняли этот факт скептически, постепенно их сомнения сменились обеспокоенностью за безопасность используемых мобильных устройств, так как число вредоносных приложений продолжало неуклонно расти. 2012 год в этом плане не стал исключением. В этом обзоре мы рассмотрим наиболее интересные и заметные прошлогодние события, связанные с Android-угрозами.

СМС-троянцы

Троянцы семейства Android.SmsSend [vms.drweb.com/search/?q=Android.SmsSend], появившиеся еще в 2010 г. и быстро ставшие настоящей головной болью пользователей мобильных Android-устройств, по-прежнему являются наиболее распространенной и массовой угрозой для этой мобильной платформы. Эти вредоносные программы предназначены для отправки дорогостоящих СМС и подписки абонентов на различные контент-услуги, что может повлечь за собой серьезные финансовые потери (при этом жертва даже не будет знать, что деньги списаны с ее счета). Чаще всего они распространяются под видом популярных игр и приложений, а также их обновлений, однако могут встречаться и другие каналы распространения.

Для создания большинства подобных программ не требуется особых знаний, большого количества времени и средств, а получаемая злоумышленниками прибыль от их использования многократно компенсирует все затраты.

Широкое распространение троянцев обусловлено хорошо развитой сетью партнерских программ, которые предлагают весьма выгодные условия оплаты всем своим участникам. Кроме того, летом 2012 г. были зафиксированы многочисленные случаи взлома легитимных веб-сайтов, которые модифицировались злоумышленниками таким образом, что пользователи, посещающие их с мобильных устройств, перенаправлялись на мошеннические ресурсы, распространяющие эти вредоносные программы.

Именно благодаря относительной простоте, высокой окупаемости и эффективности применяемых методов распространения семейство Android.SmsSend доминировало в прошедшем году среди остальных вредоносных приложений.

Увеличение риска кражи конфиденциальной информации, негласный мониторинг и кибершпионаж

Учитывая возможности мобильных Android-устройств, а также принимая во внимание продолжающийся рост числа их пользователей, неудивительно, что проблема в сохранности конфиденциальной информации становится все более ощутимой. Рискам в этой сфере подвержены все: как простые пользователи, так и представители коммерческого и государственного секторов. Ценные сведения, интересующие злоумышленников, могут быть самыми разнообразными.

Шпионы — пособники спамеров

Сами по себе вредоносные программы, шпионящие за пользователями и крадущие их конфиденциальную информацию, не уникальны, и о них известно уже достаточно долго. Однако в 2012 г. обозначилась четкая тенденция к появлению довольно специфической группы троянцев-шпионов, направленных против жителей Японии. Все они распространялись при помощи спам-писем, в которых пользователям предлагалось установить то или иное «полезное» приложение – начиная от эротической игры и заканчивая оптимизатором расхода аккумулятора.

К этой группе относятся такие вредоносные программы, как Android.MailSteal.1.origin [vms.drweb.com/search/?q=Android.MailSteal.1.origin], Android.Maxbet.1.origin [vms.drweb.com/search/?q=Android.Maxbet.1.origin], Android.Loozfon.origin [vms.drweb.com/search/?q=Android.Loozfon.origin] и Android.EmailSpy.origin [vms.drweb.com/search/?q=Android.EmailSpy.origin]. Их основная задача — похищение адресов электронной почты из книги контактов мобильного устройства и отправка их на удаленный сервер. Помимо этого, некоторые троянцы могут отправлять злоумышленникам не только адреса электронной почты, но и всю информацию из телефонной книги, а также идентификаторы устройства, включая номер сотового телефона. Добытая таким образом информация в дальнейшем может быть использована киберпреступниками для организации новых спам-кампаний и для продажи на черном рынке, а для владельцев похищенных адресов это несет потенциальную угрозу фишинг-атак и вероятность заражения их персональных компьютеров самыми разными вредоносными программами, использующими для инфицирования каналы электронной почты.

Узконаправленные атаки — угроза с повышенным риском

Узконаправленные, точечные, или таргетированные, атаки несут в себе серьезную угрозу, поскольку они, в отличие от большинства обычных атак, направлены не на максимально возможное число пользователей, а на их ограниченный круг, что снижает вероятность оперативного и эффективного обнаружения используемых при преступлении вредоносных программ.

Одним из вариантов точечной атаки является Advanced Persistent Threat, или APT-атака. Ее суть заключается в том, чтобы вредоносная программа как можно дольше оставалась в скомпрометированной системе без обнаружения и получила при этом максимально возможный объем ценных сведений. Жертвами обычно становятся различные компании, организации и государственные структуры.

До сих пор под ударом подобных кампаний находились лишь «большие» компьютерные системы, такие как рабочие станции и серверы. Однако в 2012 г. была зафиксирована новая APT-атака, в процессе изучения которой обнаружилась вредоносная программа Android.Luckycat.origin [vms.drweb.com/search/?q=Android.Luckycat.origin]. Функции троянца включали выполнение команд, поступающих с управляющего сервера, загрузку различных файлов с мобильного устройства и на него, сбор идентификационных данных и некоторые другие возможности.

Несмотря на то что троянец находился в стадии разработки и свидетельств его применения на практике не было, факт существования такого инструмента дает серьезное основание полагать, что мобильные Android-устройства в скором времени смогут стать такой же привычной мишенью APT-атак, как и обычные компьютеры.

Еще одним инструментом проведения таргетированных атак с целью завладения конфиденциальной и ценной информацией стали мобильные банковские троянцы, крадущие одноразовые коды mTAN. Для обеспечения безопасности финансовых операций в сети Интернет банковские системы отправляют СМС с этими кодами на привязанный к клиентскому счету номер мобильного телефона. Чтобы успешно завершить транзакцию, пользователь должен ввести в специальную веб-форму полученный код. Мобильные банковские троянцы предназначены для перехвата СМС, кражи этих кодов и передачи их злоумышленникам, которые выполняют различные финансовые операции с электронными счетами ничего не подозревающих жертв (например, совершают онлайн-покупки).

Применение подобных вредоносных программ никогда не было массовым явлением, в том числе и для устройств под управлением Android. В 2012 г. мы стали свидетелями появления лишь нескольких новых представителей этого класса троянцев, направленных на мобильную операционную систему от Google. Ими стали Android.SpyEye.2.origin [vms.drweb.com/search/?q=Android.SpyEye.2.origin], Android.Panda.2.origin [vms.drweb.com/search/?q=Android.Panda.2.origin], Android.SmsSpy.6.origin [vms.drweb.com/search/?q=Android.SmsSpy.6.origin] и Android.FakeSber.1.origin [vms.drweb.com/search/?q=Android.FakeSber.1.origin].

Типичный способ распространения таких вредоносных программ — социальная инженерия, когда пользователя вводят в заблуждение, предлагая срочное обновление операционной системы или установку некоего сертификата безопасности, необходимого для дальнейшего получения финансовых услуг. Несмотря на то что случаи появления банковских троянцев для ОС Android являются редкими, проводимые с их помощью атаки весьма эффективны. Именно благодаря неширокой распространенности таких приложений и направленности на пользователей конкретных банковских систем снижается вероятность их быстрого обнаружения и обеспечения необходимой защиты от них.

Среди всех этих вредоносных программ стоит особо выделить Android.FakeSber.1.origin. Он стал первым банковским Android-троянцем, направленным против клиентов российского банка. До его появления киберпреступников интересовали лишь зарубежные пользователи. Кроме того, в отличие от своих собратьев, распространяющихся при помощи мошеннических сайтов, данный троянец был помещен злоумышленниками непосредственно в официальный каталог приложений Google Play. К счастью, к моменту, когда троянец был удален из каталога, установить его успели немногие. Тем не менее потенциальная опасность, которую он представлял, была весьма существенной.

Принцип, по которому работал Android.FakeSber.1.origin, был схож со схемами, применяемыми злоумышленниками в других банковских Android-троянцах. Во-первых, для того чтобы заставить пользователей выполнить его установку, была использована весьма распространенная тактика запугивания: на официальным веб-сайте банка посетителям демонстрировалось сообщение о необходимости авторизации при помощи мобильного телефона (это сообщение отображалось благодаря Windows-троянцу, заразившему компьютеры жертв и работавшему в связке с Android.FakeSber.1.origin). Пользователям предлагалось установить специальное приложение, которое на самом деле и было мобильным банковским троянцем. Во-вторых, попав на мобильное устройство, эта вредоносная программа имитировала ожидаемую совокупность функций, усыпляя бдительность пользователя. В конечном итоге Android.FakeSber.1.origin скрытно перехватывал все входящие сообщения и пересылал полученные из них сведения на удаленный сервер, поэтому помимо mTAN-кодов в руках киберпреступников могли оказаться и другие конфиденциальные сведения: например, частная переписка.

Коммерческое шпионское ПО

Потенциальную угрозу сохранности персональной информации продолжают нести и различные виды коммерческого программного обеспечения для мониторинга и шпионажа. В 2012 г. было обнаружено значительное число не только новых модификаций уже известных программ, но и новые представители этого класса приложений. Большинство подобных шпионов может использоваться как легально, с согласия владельца мобильного устройства, так и без его ведома. Для их установки обычно требуется физический доступ к мобильному устройству, однако после установки данные приложения способны скрывать свое присутствие в системе (например, не создавая иконку на главном экране, а также маскируясь под системное ПО). Наиболее распространенными функциями таких шпионов являются отслеживание СМС, получение координат пользователя, перехват совершаемых им звонков, а также запись происходящего вокруг в аудиофайл.

Затрудненный анализ, разделенные функции и активное противодействие удалению

Борьба с вредоносными Android-программами при помощи антивирусных средств и постепенное повышение компьютерной грамотности среди владельцев мобильных устройств на базе ОС от Google заставляет злоумышленников искать способы обхода возникающих трудностей. И если раньше троянцы представляли собой единственный программный пакет, содержащий весь набор вредоносных функций, сейчас все чаще встречаются более сложные схемы их построения и работы.

Весьма интересным решением киберпреступников была своеобразная матрешка из трех вредоносных приложений, обнаруженных в мае 2012 г. Дроппер Android.MulDrop.origin.3 [vms.drweb.com/search/?q=Android.MulDrop.origin.3] содержал в своих ресурсах зашифрованный пакет, который также являлся дроппером (Android.MulDrop.origin.4 - [vms.drweb.com/search/?q=Android.MulDrop.origin.4]). Он в свою очередь имел в своих ресурсах еще один зашифрованный пакет, представляющий собой троянца-загрузчика Android.DownLoader.origin.2 [vms.drweb.com/search/?q=Android.DownLoader.origin.2], способного получать с удаленного сервера список приложений для загрузки на мобильное устройство.

Для успешного функционирования разработанной схемы были необходимы root-привилегии, а так как основной дроппер находился в модифицированном злоумышленниками легитимном приложении, для работы которого требовался root-доступ, у пользователей не должно было возникнуть серьезных опасений в связи с необходимостью предоставления ему соответствующих прав. Примененный в данном случае механизм может быть весьма эффективным способом избежать лишних подозрений, увеличивая при этом шансы успешного заражения мобильного Android-устройства.

Другим примером разделения функций между несколькими вредоносными приложениями являются троянцы Android.SmsSend.405.origin [vms.drweb.com/search/?q=Android.SmsSend.405.origin] и Android.SmsSend.696.origin [vms.drweb.com/search/?q=Android.SmsSend.696.origin]. Первый в различных модификациях распространялся в каталоге Google Play под видом сборника обоев для рабочего стола, доступ к которым пользователь мог получить, нажав кнопку «Далее». В этом случае приложение подключалось к облачному сервису Dropbox и загружало второй программный пакет, который являлся СМС-троянцем. По всей видимости, подобным переносом основных функций во второе приложение, расположенное вне Google Play, злоумышленники пытались обойти систему Bouncer, которая контролирует каталог на предмет наличия вредоносных программ.

Весьма тревожит появление у вредоносных Android-приложений функций по противодействию своему удалению. В мае 2012 г. был обнаружен троянец Android.Relik.origin, который завершал работу популярных китайских антивирусных средств, а также запрашивал у пользователя доступ к режиму администратора мобильного устройства. В случае активации этого режима другие антивирусные программы уже не смогли бы удалить троянца, однако для избавления от этой вредоносной программы пользователю ничто не мешало убрать вредоносное приложение из списка администраторов.

Идея противодействия удалению в дальнейшем была значительно развита в другом китайском троянце – Android.SmsSend.186.origin [vms.drweb.com/search/?q=Android.SmsSend.186.origin]. Практически сразу после установки он отображал требование предоставить ему права администратора мобильного устройства, причем в случае отказа требование выводилось вновь до тех пор, пока троянец не получал соответствующие права.

После получения троянцем необходимых прав любая попытка убрать его из списка администраторов мобильного устройства на некоторых версиях ОС Android заканчивалась полным провалом, так как Android.SmsSend.186.origin препятствовал этому, не давая владельцу мобильного устройства зайти в необходимые системные настройки. Антивирусные средства, не располагающие функциями по нейтрализации таких угроз, также не могли избавить систему от инфицирования, даже если и детектировали вредоносную программу. Самостоятельно же избавиться от троянца было весьма проблематично, поскольку это требовало выполнения ряда нетривиальных действий и определенной доли терпения. Ко всему прочему, эта вредоносная программа распространялась при помощи дроппера, помещенного киберпреступниками в «живые обои», которые при установке не требовали никаких специальных разрешений для своей работы. Таким образом, Android.SmsSend.186.origin представляет собой одну из самых серьезных за последнее время Android-угроз.

Нельзя не отметить тенденцию к росту использования авторами вредоносных программ обфускации кода, которая призвана затруднить анализ троянцев и помешать их детектированию антивирусными средствами. Например, обфускация встречается в целом ряде представителей семейства Android.SmsSend.

Интересные и необычные угрозы

Весьма интересной вредоносной программой, обнаруженной в 2012 г., стал троянец Android.MMarketPay.origin [vms.drweb.com/search/?q=Android.MMarketPay.origin], который самостоятельно покупал приложения в электронном магазине китайского оператора связи China Mobile. Для этого он перехватывал СМС с кодами подтверждения совершения покупки, а также обходил проверку captcha, отправляя на удаленный сервер соответствующие изображения для анализа. Целью создания этого троянца могло стать как желание недобросовестных разработчиков увеличить прибыль за счет подобной незаконной продажи своих приложений, так и обычное желание злоумышленников досадить пользователям и сотовому оператору, репутация которого могла заметно пострадать.

Рынок заказных услуг киберпреступников?

Не секрет, что большая часть современных вредоносных программ создается не из простого любопытства. Эта сфера незаконной деятельности уже давно стала источником заработка для самых разнообразных групп киберпреступников. И появившихся в 2012 г. Android-троянцев Android.Spambot.1.origin [vms.drweb.com/search/?q=Android.Spambot.1.origin] и Android.DDoS.1.origin [vms.drweb.com/search/?q=Android.DDoS.1.origin] вполне обоснованно можно отнести к инструментам осуществления киберкриминальных услуг.

Android.Spambot.1.origin представлял собой троянца, предназначенного для массовой рассылки СМС. Текст сообщений и номера, по которым осуществлялась рассылка, загружались с удаленного сервера, принадлежащего злоумышленникам, поэтому им не составляло большого труда выполнить спам-рассылку для заинтересованных лиц. Чтобы скрыть свою вредоносную деятельность, троянец удалял все сведения об отправляемых СМС, и владельцы инфицированных мобильных устройств могли не сразу обнаружить подозрительную активность. Что же касается Android.DDoS.1.origin, то это вредоносная программа, предназначенная для осуществления DoS-атак с использованием мобильных Android-устройств. Параметры, необходимые для их проведения, троянец получал посредством СМС, в которых указывались имя сервера и требуемый порт. Особенность этой вредоносной программы заключается в том, что атакуемый сайт мог быть абсолютно любым, поэтому теоретически воспользоваться возможностями этой вредоносной программы могли все, кто проявит должный интерес и заплатит соответствующую цену за оказание незаконной услуги.

Вандализм — редкая, но опасная угроза c деструктивным потенциалом

На фоне общей массы вредоносных Android-приложений, направленных на получение той или иной материальной выгоды, Android.Moghava [vms.drweb.com/search/?q=Android.Moghava], обнаруженный весной 2012 г., держится особняком, будучи троянцем-вандалом. Он распространялся в модифицированной злоумышленниками версии приложения — сборнике рецептов иранской кухни. Через определенные промежутки времени троянец выполнял на мобильном устройстве поиск JPEG-изображений в каталоге /DCIM/Camera/ и накладывал на них еще одно изображение. В результате этого фотографии пользователя безвозвратно портились.

Обычно вирусописатели создают подобные вредоносные программы с целью громко заявить о себе либо в качестве мести или простого развлечения. Более редкой причиной является попытка совершить диверсию среди определенной группы лиц. Так или иначе, ущерб от подобных приложений может быть весьма существенным.

Выводы

По состоянию на конец 2012 г. вирусные базы Dr.Web содержали почти 1,3 тыс. записей для Android-угроз.

Следует учитывать тот факт, что специалисты компании проводят постоянную оптимизацию баз, поэтому число соответствующих вирусных записей может со временем уменьшаться.

С ростом популярности мобильных устройств под управлением ОС Android соответственно увеличивается число и разнообразие вредоносных приложений, представляющих опасность для пользователей этой платформы. Описанные выше типы угроз в 2012 г. стали наиболее заметными, а также продемонстрировали потенциальный вектор развития вредоносных Android-программ в ближайшем будущем. Одновременно с этим могут появляться и вредоносные приложения, которые сочетают свойства самых разнообразных угроз или же являются «нестандартными» по сравнению с общей массой, что во многом повторяет ситуацию с Windows. Учитывая то, что в ближайшие несколько лет мобильная платформа Android будет оставаться среди лидеров рынка, стоит ожидать дальнейшего роста числа созданных для нее вредоносных программ.

версия для печати


SMS

 

Сообщите коллегам о последних новостях, пресс-релизах и сведениях из Каталога компаний через наш SMS-гейт.


Смотрите также

 

15 августа 2013 г

 • Дотримання єдиних правил всіма учасниками ринку – основа конкурентного середовища
 • Зловреды во II квартале 2013 года: широкий ассортимент, бесплатная доставка

14 августа 2013 г

 • Итоги конкурса на лучшую историю успеха

12 августа 2013 г

 • CRM Market Leaders 2013: названы главные игроки рынка
 • "Эффект спутника" в широкополосной связи

9 августа 2013 г

 • Донецк отмечает «совершеннолетие» мобильной связи

7 августа 2013 г

 • Страховая компания «УНИКА» перевела ИТ-процессы на облачные технологии при участии De Novo

5 августа 2013 г

 • Учиться и еще раз учиться: «Лаборатория Касперского» рассказывает партнерам о решении Kaspersky Security для бизнеса

2 августа 2013 г

 • Как SkyDrive интегрируется с Windows 8.1 и какие это приносит возможности
 • Завтра начинается здесь: включен счетчик Всеобъемлющего Интернета

Реклама

 

Рубрики

 


© ITware 2000-2013