Kaspersky przygotował raport "Ewolucja mobilnego szkodliwego oprogramowania: 2012", który zawiera dane dotyczące ewolucji szkodliwego oprogramowania oraz analizę głównych trendów, zarówno w zakresie szkodliwych programów jak i ataków szkodliwego oprogramowania.
To, że eksperci z Kaspersky Lab nie wykryli dotychczas szkodliwego oprogramowania, które wykorzystuje błędy w zabezpieczeniach Androida w celu przeprowadzania ataków w trakcie przeglądania stron WWW, może wydawać się pozytywnym faktem, jednak tylko na pierwszy rzut oka. Rzeczywistość jest taka, że użytkownicy aktywnie szukają oprogramowania w podejrzanych źródłach i nie stosują żadnych środków ochrony podczas uruchamiania nieznanych aplikacji - wszystko to ułatwia cyberprzestępcom infekowanie smartfonów i tabletów.
Dopełnieniem tego jest nieustanne pojawianie się szkodliwych aplikacji w oficjalnym sklepie Google Play oraz pierwszy zarejestrowany przypadek pojawienia się programu o szkodliwym zachowaniu w oficjalnym sklepie Apple'a - App Store.
W 2012 roku cyberprzestępcy skupili uwagę na bardzo popularnej platformie Android, a liczba tworzonych dla niej zagrożeń nadal rosła w szybkim tempie. W styczniu 2012 roku Kaspersky Lab posiadał w swojej bazie niecałe 6 tys. unikatowych próbek szkodliwego oprogramowania dla Androida, jednak pod koniec roku liczba ta wynosiła już ponad 43 tys. Celem ponad 99 proc. nowych zagrożeń wykrytych w 2012 roku były smartfony i tablety oparte na Androidzie, natomiast 1 proc. stanowiły zagrożenia dla urządzeń działających pod kontrolą systemu Symbian i BlackBerry oraz obsługujących mobilną wersję Javy.
Najbardziej rozpowszechnione zagrożenia dla Androida można podzielić na trzy główne grupy: trojany SMS kradnące pieniądze poprzez wysyłanie wiadomości tekstowych na numery o podwyższonej opłacie, oprogramowanie adware wyświetlające reklamy oraz exploity tworzone w celu uzyskania dostępu na poziomie administracyjnym, co daje pełny dostęp do urządzenia i przechowywanych na nim danych. Kolejnym istotnym członkiem rodziny szkodliwego oprogramowania dla Androida był nowy mobilny botnet o nazwie Foncy, który pozwalał cyberprzestępcom przejmować kontrolę nad smartfonami i tabletami. Wprawdzie osoby podejrzane o stworzenie tego botnetu zostały aresztowane przez francuską policję, jednak zanim to nastąpiło, na swoim procederze mogły zarobić ponad 100 tys. euro.
Mimo niewielkiej liczby nowych szkodliwych aplikacji dla smartfonów z systemem Symbian i BlackBerry niektóre z nich wyróżniają się tym, że ich celem są konta bankowe ofiar. W 2012 roku Kaspersky Lab zidentyfikował nowe wersje trojanów, takich jak Zeus-in-the-Mobile oraz SpyEye-in-the-Mobile, które połączyły siły ze swoimi odpowiednikami dla tradycyjnych systemów operacyjnych w celu przejęcia kontroli nad kontami bankowymi online użytkowników. W tym konkretnym przypadku mobilny szkodliwy program jest wykorzystywany do kradzieży wiadomości SMS z banku służących do autoryzacji transakcji przy użyciu kodów jednorazowych. Taki szkodnik ukrywa również wiadomości z banku przed użytkownikami, którzy nie podejrzewają, że coś jest nie w porządku, dopóki nie sprawdzą kont bankowych.
Urządzenia mobilne stały się obecnie celem ataków ukierunkowanych i cyberszpiegostwa, podobnie jak tradycyjne komputery. Przykładem cyberprzestępczej aktywności jest moduł o nazwie FinSpy, opracowany przez brytyjską firmę Gamma International w celu kontrowersyjnej działalności określanej jako "legalna inwigilacja". Innym przypadkiem jest szeroko rozpowszechniona kampania szpiegowska Czerwony Październik wykryta przez Kaspersky Lab - niektóre z modułów wykorzystywanych przez atakujących zostały specjalnie opracowane z myślą o kradzieży danych z telefonów, takich jak iPhone, BlackBerry czy smartfony Nokii. Ponadto, dostępne są dowody (nazwy domen, klucze rejestru itd.) wskazujące na istnienie modułów Czerwonego Października atakujących urządzenia mobilne z systemem Android.
Główne statystyki dla 2012 r.
Najistotniejsze dane statystyczne dla 2012 roku wiążą się z dużym wzrostem liczby nowych szkodliwych programów dla Androida. W 2011 roku Kaspersky Lab wykrył prawie 5300 nowych szkodliwych programów dla wszystkich platform mobilnych; w ciągu kilku miesięcy w 2012 roku wykryto więcej nowych szkodników stworzonych tylko dla Androida. Jednocześnie liczba unikatowych szkodliwych plików przekroczyła 6 milionów!
Łączna liczba modyfikacji i rodzin mobilnego szkodliwego oprogramowania na dzień 1 stycznia 2013 r.:
| Platforma | Modyfikacja | Rodzina |
| --- | --- | --- |
| Android | 43600 | 255 |
| J2ME | 2257 | 64 |
| Symbian | 445 | 113 |
| Windows Mobile | 85 | 27 |
| Inne | 28 | 10 |
| Łącznie | 46415 | 469 |
Jeżeli chodzi o rozkład mobilnych zagrożeń według platformy (2004-2012), sytuację obrazuje poniższy diagram:
Pod koniec 2011 roku platforma Android był celem około 65 proc. mobilnych zagrożeń; pod koniec 2012 roku odsetek ten wynosił niemal 94 proc.
Jednocześnie 99 proc. wszystkich wykrytych mobilnych szkodliwych programów w 2012 roku stanowiły zagrożenia atakujące urządzenia z Androidem.
Najczęściej wykrywane przez Kaspersky Lab zagrożenia na urządzeniach z Androidem można podzielić na trzy główne grupy: trojany SMS, oprogramowanie adware oraz exploity, których celem jest uzyskanie dostępu na poziomie root.
Zagrożenia dla użytkowników
Mobilne botnety - technicznie, pierwszy mobilny botnet pojawił się jesienią 2009 roku. Drugi najbardziej rozpowszechniony program atakujący urządzenia z systemem iOS, które zostały poddane jailbreakowi, został wykryty niedawno. Potrafił akceptować i wykonywać polecenia ze zdalnej usługi.
Pojawienie się mobilnych botnetów w 201. roku złożonych z urządzeń działających pod kontrolą Androida nie stanowił niespodzianki. Pierwszy powód do niepokoju pojawił się w styczniu wraz z wykryciem bota IRC dla Androida, który współdziałał z trojanem SMS. Oba szkodniki otrzymały nazwę Foncy.
W lutym wykryto mobilny botnet, który miał od 10 000 do 30 000 aktywnych zainfekowanych urządzeń jednocześnie. Całkowita liczba zainfekowanych telefonów wynosiła setki tysięcy. Botnet ten został stworzony przez chińskich twórców wirusów i opierał się na backdorze RootSmart, który posiada różne funkcje zdalnego kontrolowania urządzeń mobilnych z Androidem. Cyberprzestępcy wykorzystali wypróbowaną taktykę w celu rozprzestrzenienia RootSmarta: spakowali go wraz z legalnymi programami przy użyciu pakerów i wrzucili plik archiwum do nieoficjalnych sklepów z aplikacjami powszechnie wykorzystywanych w Chinach w celu pobierania aplikacji dla Androida.
Polowanie na kody mTan - W atakach ukierunkowanych w 2012 roku wykorzystano kilka nowych zagrożeń, takich jak ataki przeprowadzane przy użyciu ZitMo oraz SpitMo (ZeuS- i SpyEye-in-the-Mobile). Nowe wersje ZitMo i SpitMo pojawiają się regularnie, zarówno dla Androida jak i innych systemów operacyjnych. W celu ukrycia swoich zagrożeń twórcy wirusów wykorzystują te same metody co dwa lata temu. Zwykle jest to podszywanie się pod "certyfikat bezpieczeństwa" lub oprogramowanie bezpieczeństwa dla smartfona. W efekcie zamiast aplikacji antywirusowej użytkownicy pobierają na swoje urządzenia szkodliwe oprogramowanie.
Twórcy wirusów nie zapomnieli o innych platformach. W 2012 roku pojawiły się nowe wersje ZitMo dla BlackBerry.
Trojany SMS - Jeszcze w 201. roku jednym z najbardziej interesujących trendów było pojawienie się trojanów SMS atakujących użytkowników w Europie i Ameryce Północnej. W 2012 roku Kaspersky Lab wykrył programy afiliacyjne wykorzystywane do rozprzestrzeniania trojanów SMS wśród użytkowników w tych samych regionach.
Programy afiliacyjne stanowią jedne z najbardziej skutecznych narzędzi tworzenia, rozprzestrzeniania i zarabiania na szkodliwych programach.
W 2012 roku została wykryta rodzina trojanów SMS dla Androida (o nazwie Vidro) atakująca głównie użytkowników z Polski. Trojan ten nie wyróżniał się niczym szczególnym na tle innych z wyjątkiem jednego małego szczegółu: zagrożenie to rozprzestrzeniało się za pośrednictwem stron zawierających treści dla dorosłych związanych z mobilnymi programami afiliacyjnymi, które zarabiały na ruchu związanym z treściami dla dorosłych.
Incydenty dotyczące oficjalnych sklepów z aplikacjami - Mimo wprowadzenia przez Google nowego modułu antywirusowego Google Bouncer, który automatycznie skanuje wszystkie nowe aplikacje na Google Play, średnia liczba i skala incydentów w tym sklepie nie zmieniła się znacząco. Na uwagę zasługuje incydent z udziałem Dougalek, który zainfekował dziesiątki tysięcy użytkowników (głównie w Japonii). Doprowadziło to do jednego z największych wycieków prywatnych danych spowodowanych infekcją urządzenia mobilnego. Wkrótce po tym incydencie policja w Tokio aresztowała pięć osób podejrzanych o tworzenie i rozprzestrzenianie tego zagrożenia. W 2012 roku miało miejsce kolejne głośne wydarzenie: w sklepie Apple?a App Store został wykryty pierwszy szkodliwy program dla iOS. Na początku lipca wykryto podejrzaną aplikację o nazwie "Find and Call" - aplikacja wymagała podania adresu e-mail i numeru telefonu. Po wykonaniu tego polecenia, jeżeli użytkownik spróbowałby znaleźć przyjaciół wśród swoich kontaktów przy użyciu tej
aplikacji, wszystkie jego kontakty zostałyby przesłane na zdalny serwer - bez wzbudzania podejrzeń użytkownika. Każdy numer skradziony z kontaktów otrzymywałby następnie spamowe wiadomości tekstowe z odsyłaczem proponującym odbiorcy pobranie aplikacji "Find and Call".
Cyberszpiegostwo - W 2012 roku liczba szkodliwych programów wykazujących zachowanie trojanów szpiegujących lub backdoorów zwiększyła się sześciokrotnie. Wzrasta również liczba aplikacji komercyjnych służących do monitorowania, które trudno odróżnić od szkodliwych programów, do których Kaspersky Lab zalicza aplikację FinSpy, opracowaną przez brytyjską firmę Gamma International. Modyfikacje FinSpy'a dla różnych platform posiadają wiele wspólnych funkcji:
- rejestrowanie połączeń przychodzących i wychodzących;
- ukryte połączenia w celu podsłuchiwania otoczenia celu;
- kradzież informacji ze smartfonów (rejestry połączeń, wiadomości tekstowe i multimedialne, kontakty itd.);
- śledzenie współrzędnych geograficznych;
- komunikacja z centrum kontroli za pośrednictwem Internetu i wiadomości tekstowych.
Jednocześnie, każda wersja dla określonej platformy posiada również kilka specjalnych funkcji. Na przykład FinSpy dla Symbiana potrafi wykonywać zrzuty ekranu; FinSpy dla BlackBerry potrafi również monitorować komunikację za pośrednictwem komunikatora BlackBerry Messenger; wersja dla Androida może włączać i wyłączać tryb samolotowy, FinSpy dla iOSa może zostać zainstalowany z ograniczonym asortymentem urządzeń i określonych unikatowych identyfikatorów, natomiast wersja dla Windows Mobile zmienia polityki bezpieczeństwa.
Pełny raport przeczytać można na stronie www.viruslist.pl.