Menu

Як поводилися віруси в 2012 році

Компанія «Доктор Веб» представила огляд вірусної активності в 2012 році.

Минулий рік запам'ятається, насамперед, найбільшої в історії епідемією троянської програми Backdoor.Flashback.39 для «маків». Це подія світову громадськість сколихнула і багато в чому підірвало віру користувачів в «непогрішність» операційної системи від Apple. Крім того, за минулі дванадцять місяців значно зросла кількість різновидів троянців-енкодерів, а також кількість заражень цими шкідливими програмами. Одна з найбільших на сьогоднішній день бот-мереж, що складається з персональних комп'ютерів, інфікованих файловим вірусом Win32.Rmnet.12, перевищила рекордну шестимиллионную позначку. На жаль, значно зросла різноманітність загроз для мобільної платформи Google Android.

Найбільший ботнет для Mac OS X

Поява троянської програми Backdoor.Flashback.39, за якої почалася справжня епідемія серед Apple-сумісних комп'ютерів, можна назвати, мабуть, найяскравішою подією 2012 року в сфері інформаційної безпеки. Вперше це шкідливе пз було виявлено фахівцями компанії «Доктор Веб» ще в кінці березня 2012 року, а інформаційне повідомлення про виявлення найбільшого в історії ботнету, що працює під управлінням Mac OS X, було опубліковано 4 квітня. Ще в кінці березня у вірусну лабораторію почали надходити повідомлення про розповсюдження троянців для Mac OS X з використанням уразливості Java, саме тоді і виникло припущення про те, що Backdoor.Flashback.39 комбінує «маки» в бот-мережі. Аналітики «Доктор Веб» вивчили алгоритм, який використовується цим троянцем для створення імен керуючих серверів, і зареєстрували кілька таких імен. Результат перевершив усі очікування: вже в перші добу стало зрозуміло, що кількість заражених «маків» перевищила 600 000 і продовжує стрімко зростати. Географія розповсюдження інфекції також була досить великої:

Как вели себя вирусы в 2012 году
За наступні 10 днів розмір бот-мережі досяг максимальної позначки 670 тисяч з гаком одночасно працюючих інфікованих комп'ютерів (більше 800 000 унікальних комп'ютерів з урахуванням «які вилікувалися») і поступово пішов на спад. Опублікований компанією «Доктор Веб» прес-реліз з описом цієї загрози наробив багато шуму в пресі і викликав широкий суспільний резонанс. Міф про те, що Mac OS X є однією з найбільш захищених операційних систем у світі, був відразу зруйнований.

Основною причиною епідемії стала та обставина, що корпорація Apple випустила оновлення безпеки для реалізації власної Java через два місяці після аналогічного оновлення, опублікованого корпорацією Oracle, що дозволило зловмисникам безкарно поширювати шкідливе пз протягом тривалого часу. Інша причина - це, безумовно, сліпа віра користувачів продукції Apple в абсолютну захищеність платформи Mac OS X: на користь цієї думки говорив, зокрема, той факт, що число інфікованих «маків» продовжувало збільшуватися навіть після того, як компанія «Доктор Веб» повідомила на весь світ про цю загрозу.

Как вели себя вирусы в 2012 году
Дослідження, проведені аналітиками компанії «Доктор Веб», дозволили визначити версії платформи Mac OS X, які інфікувала шкідлива програма, версії ядра ОС, а також ряд інших характеристик ботнету, виходячи з аналізу звернень цієї шкідливої програми до керуючим серверів. Результати цих досліджень за даними на квітень 2012 року показані на представлених нижче ілюстраціях.

Как вели себя вирусы в 2012 году
Как вели себя вирусы в 2012 году
Как вели себя вирусы в 2012 году
В грудні 2012 року зростання бот-мережі Backdoor.Flashback.39 практично повністю зупинився, однак остаточно вона не переможена - у всьому світі ще налічується кілька десятків тисяч інфікованих «маків».

Оскільки популярність системної платформи від Apple поступово зростає, а користувачі цієї ОС не звикли використовувати антивірусне програмне забезпечення, Mac OS X стає ласим шматком для численних зловмисників. Навряд чи середньостатистичний правопорушник пройде повз багато обставленій квартири, власники якої з ідеологічних міркувань не бажають замикати вхідні двері на замок.

Файлові віруси та інші ботнети

Файловий вірус Win32.Rmnet.12, сигнатура якого була додана в вірусні бази Dr.Web у вересні 2011 року, за минулі 12 місяців побив всі можливі рекорди, утворивши бот-мережа, що складається з шести з половиною мільйонів інфікованих вузлів. Win32.Rmnet.12 - складний багатокомпонентний файловий вірус, що складається з декількох модулів і володіє здатністю до саморазмножению, тобто, він вміє копіювати сам себе і безконтрольно розповсюджуватися без участі користувача. Цей вірус заражає ПК на базі Microsoft Windows, реалізуючи функції бекдор, а також здійснюючи крадіжку паролів від популярних FTP-клієнтів, - ці паролі можуть бути використані для організації мережевих атак. Обробляючи що надходять від віддаленого центру зловмисників вказівки, Win32.Rmnet.12 також може дати команду і на знищення операційної системи. Його шкідливий функціонал дозволяє вбудовувати в популярні веб сторінки сторонній контент (веб-инжекты), перенаправляти користувачів на зазначені зловмисниками сайти, а також передавати на віддалені вузли вміст заповнюваних жертвою форм. Ось чому цей вірус є суттєву небезпеку для користувачів.

Найбільше поширення даний вірус отримав в країнах південно-східної Азії, таких як Індонезія, Бангладеш, В'єтнам, Індія і Пакистан. Однак є значне число інфікованих машин і в Росії.

Спочатку кількість заражень вірусом Win32.Rmnet.12 було відносно невелика, проте з кожним місяцем кількість інфікованих ПК збільшувалася, поки до кінця року не досягла рекордної позначки в 6,5 мільйонів. Динаміку цього процесу можна простежити за допомогою поданої нижче графіка.

Как вели себя вирусы в 2012 году
Оскільки тенденцій до зниження зростання загрози не спостерігається, можна припустити, що вірус Win32.Rmnet.12 продовжить своє поширення. Якщо розширення ботнету продовжуватиметься такими ж темпами, то до 2013 року загальна чисельність зареєстрованих в мережі інфікованих комп'ютерів перевищить 10 мільйонів.

Однією з найбільш поширених модифікацій файлового вірусу Win32.Rmnet.12 є його «рідний брат» Win32.Rmnet.16. Основна відмінність цієї шкідливої програми від її попередниці полягає в тому, що вона використовує цифровий підпис, який підписується IP-адреса керуючого сервера. Також створювачі відновили основні функціональні модулі програми.

Как вели себя вирусы в 2012 году
Ботнет, що складається з інфікованих Win32.Rmnet.16 робочих станцій, найбільш поширений на території Великобританії та Австралії. Однак чисельність цієї бот-мережі значно скромніше порівняно з Win32.Rmnet.12. Кількість випадків зараження протягом 2012 року також поступово росло, однак набагато менш високими темпами, про що свідчить представлена нижче діаграмі.

Как вели себя вирусы в 2012 году
Виходячи з наявної в розпорядженні фахівців «Доктор Веб» статистики можна припустити, що приріст чисельності ботнету Win32.Rmnet.16 буде поступово скорочуватися, а його загальний обсяг навряд чи перевищить мільйон інфікованих вузлів, якщо, звичайно, лавиноподібного зростання заражень не посприяють якісь непередбачені обставини. Нагадаємо, що фахівці компанії «Доктор Веб» повністю контролюють вірусні мережі Win32.Rmnet.12 і Win32.Rmnet.16.

Ще в листопаді 2011 року компанія «Доктор Веб» повідомила про появу вузькоспеціалізованої троянської програми BackDoor.Dande, призначеної для крадіжки інформації у російських фармацевтичних компаній і аптек. BackDoor.Dande - складний багатокомпонентний троян, що шифрує свої модулі ключем, прив'язаним до конкретної інфікованої машині, і самостійно downloading їх в пам'ять. Завдяки цьому детектувати його шкідливі модулі можна тільки в оперативній пам'яті зараженого комп'ютера, а розшифрувати їх окремо від інфікованої ПК вкрай складно. Крім того, завантажувач модулів вбудовується в першу секцію одній із системних бібліотек Windows, в результаті чого за формальними ознаками її стає неможливо відрізнити від незараженной бібліотеки. Троянець краде дані з так званих «систем електронного замовлення», до яких відносяться спеціалізована конфігурація «Аналити: Фармація 7.7» для платформи 1С, «Система електронного замовлення» СЕЗ-2 виробництва компанії «Аптека-Холдинг», програма формування заявок компанії «Російська Фармація», система електронного замовлення фармацевтичної групи «Зростання», програма «Катрен WinPrice» і деякі інші.

Незважаючи на те, що троянець вперше був доданий у вірусні бази Dr.Web більше року тому, до кінця грудня 2012 року бот-мережа BackDoor.Dande продовжувала діяти. З урахуванням того, що троянець продовжує роботу тільки на комп'ютерах, де встановлена одна з систем електронного замовлення медикаментів (а при її відсутності самовидаляється), можна з упевненістю говорити, що в бот-мережі BackDoor.Dande складаються переважно робочі станції, що належать аптекам і фармацевтичним компаніям. На 19 грудня 2012 року в ботнете BackDoor.Dande значився 3 031 комп'ютер інфікований. Зміна чисельності даної бот-мережі показано на поданій нижче графіку.

Как вели себя вирусы в 2012 году
Троянці-кодувальники

2012 рік можна, мабуть, назвати періодом найбільшого поширення троянців-енкодерів: за приблизними підрахунками торік від дії цих шкідливих програм постраждали тисячі людей по всій земній кулі. Протягом року в вірусні бази Dr.Web було додано багато нових модифікацій троянців даного типу. Динаміка надходження запитів в службу технічної підтримки компанії «Доктор Веб» від користувачів, які постраждали в результаті дії троянців-кодіровщіков, показана на поданій нижче графіку:

Как вели себя вирусы в 2012 году
Поява перших версій троянців-кодіровщіков було зафіксовано ще в 2009 році. Енкодери відшукують на дисках інфікованого комп'ютера користувача файли, зокрема, документи Microsoft Office, музику, фотографії, зображення та архіви, після чого шифрують їх. За розшифровку файлів зловмисники вимагають заплатити певну грошову суму.

Протягом тривалого часу від дій троянців-кодіровщіков страждали в основному користувачі на території Росії і країн колишнього СРСР, проте навесні 2012 року шкідливі програми сімейства Trojan.Encoder вийшли на зарубіжні простори. Одним з перших троянців-здирників, орієнтованих на західну аудиторію, став Trojan.Encoder.94. Троянець мав англомовний інтерфейс, проте випадки зараження були зафіксовані в Німеччині, Італії, Іспанії, Англії, Польщі, Австрії, Норвегії, Болгарії та деяких інших країнах. Перші звернення потерпілих від Trojan.Encoder.94 зарубіжних користувачів були зафіксовані 9-10 квітня 2012 року. Незабаром в службу технічної підтримки компанії «Доктор Веб» стали звертатися користувачі з Латинської Америки (Бразилії та Аргентини), а також таких європейських країн, як Франція, Бельгія, Швейцарія, Нідерланди, Хорватія, Словенія, Угорщина та Румунія.

До кінця року ситуація з троянцями-шифровальщиками кардинально змінилася: якщо в 2011 році подібні шкідливі програми все ще були орієнтовані в основному на російськомовну аудиторію, то вже до грудня 2012, на думку аналітиків «Доктор Веб», співвідношення «російських і зарубіжних» енкодерів становило приблизно 50/50. Основний сплеск поширення шифрувальників, орієнтованих на західний ринок, припав на квітень-травень 2012 року, проте до осені їх число трохи зменшилася. Ґрунтуючись на наявною статистикою можна припустити, що в наступному році число енкодерів, спрямованих на зарубіжних користувачів ПК, буде стрімко зростати. В цілому 2013 рік можна буде, по всій видимості, назвати «роком енкодерів» - поширеність цієї категорії загроз цілком може прийняти масштаби епідемії.

Винлоки

Троянці-здирники, паралізують нормальну роботу операційної системи і вимагають у користувача заплатити певну суму за її розблокування, відомі вже давно. Протягом 2012 року з ’ являлися нові модифікації винлоков, але динаміку їх розповсюдження не можна було назвати надмірно високою. Всього протягом року в службу технічної підтримки «Доктор Веб» звернулося понад 10 000 користувачів, які постраждали від дії троянців-блокувальників, всім їм була надана кваліфікована допомога. Динаміку таких запитів можна відстежити за допомогою поданої нижче графіка.

Как вели себя вирусы в 2012 году
Восени 2012 року було зафіксовано поширення троянців-блокувальників, що одержали загальне найменування «мультилокеры», - виходячи із заголовка, демонструвався на вхідний сторінці використовуваних ними управляють серверів. Такі троянці не містять будь-яких зображень текстових ресурсів або інших компонентів, які зазвичай демонструються подібними шкідливими програмами на екрані комп'ютера при блокуванні Windows. Всі необхідні елементи мультилокеры завантажують з віддаленого сервера. Відповідно, це дозволяє зловмисникам оперативно налаштовувати демонструються на екрані інфікованого комп'ютера текст, зображення, а також змінювати код розблокування.

Запустившись на зараженому ПК, троянці-мультилокеры блокують можливість завантаження ряду додатків і системних утиліт. Крім того, деякі модифікації цих шкідливих програм здатні перехоплювати зображення з підключеною до зараженого комп'ютера веб камери і демонструвати його в блокувальний систему вікні з метою залякування користувача. У тексті повідомлення, написаного нібито від імені державних правоохоронних структур, як правило, згадується про те, що всі дії жертви на даному комп'ютері записуються, а її портрет, отриманий за допомогою веб камери, зберігається для подальшої ідентифікації та отримання додаткової персональної інформації.

Как вели себя вирусы в 2012 году
Фахівцями компанії «Доктор Веб» були зафіксовані випадки розповсюдження подібних загроз в Канаді, Іспанії, Німеччини, Франції, Італії, Португалії, Австрії, Швейцарії, Великобританії, Австралії, США і деяких інших країнах. Для отримання оплати зловмисники зазвичай використовують ваучерні платіжні системи Ukash, Moneypack і Paysafecard. Аналіз троянців-здирників, які надійшли протягом року у вірусну лабораторію «Доктор Веб», говорить про те, що створювачі потроху відмовляються від винлоков традиційної архітектури, в той же час простежується тенденція до ускладнення їх конструкції і зростання функціональних можливостей. Можна припустити, що подібні троянці будуть з певною періодичністю з'являтися на світло і в наступному році, а ареал їх розповсюдження продовжить розширюватися.

Найбільш важливі події в сфері інформаційної безпеки

2012 рік запам'ятається користувачам безліч важливих і цікавих подій у сфері інформаційної безпеки. Так, цей рік був відзначений значним зростанням числа зломів веб-сайтів з метою розповсюдження шкідливого пз. Перша хвиля хакерських атак була зафіксована ще на початку року, коли виявилося зламано від декількох десятків до сотень тисяч сайтів. На скомпрометованих ресурсах зловмисники розміщували містять уразливість сценарії, за допомогою яких, зокрема, поширювався найвідоміший троянець для Mac OS X Backdoor.Flashback.39. Ще одна хвиля злому інтернет-ресурсів припала на середину серпня: у російському сегменті Інтернету було скомпрометовано кілька тисяч сайтів з метою поширення троянців для мобільних платформ. Дана тенденція продовжувала простежуватися до кінця року: вже в грудні були зафіксовані випадки злому популярних порталів, зокрема, офіційного сайту далай-лами. Зловмисники ставили своєю метою заразити комп ’ ютери відвідувачів цих сайтів шкідливими програмами для ОС Windows і Mac OS X.

У минулому році кіберзлочинці досить активно використовували в своїх цілях різні уразливості Java. Так, навесні 2012 року зловмисники поширювали з використанням уразливості CVE-2012-0507 шкідливі програми сімейства Trojan.Carberp і бекдор для Mac OS X Backdoor.Flashback.39. У липні засоби масової інформації повідомили про використання уразливості CVE-2012-1723 в популярному серед зловмисників наборі експлойтів BlackHole. А вже 26 серпня була виявлена чергова критична уразливість Java, яка стала використовуватися зловмисниками в спрямованих атаки на комп'ютери, що працюють під управлінням Mac OS X, Linux і Windows. Аналітики компанії «Доктор Веб» вважають, що ситуація на той момент складалася критична: на день публікації першої новини про виявлення експлойтів зловмисникам було широко відомо про критичну уразливості Java 7, а оновлення Java-машини планувалося тільки на середину жовтня. Отже, приблизно 2 місяці шкідливе пз мало б можливість потоком йти через цю «незалатанную дірку» в Java, а також перенаправляти користувачів на шкідливі ресурси за допомогою зламаних сайтів, які на перший погляд абсолютно нешкідливі. Дії компанії Oracle в даній ситуації не були оперативними, внаслідок чого шкідливе пз проник на комп'ютери незахищених користувачів. Тим не менш, з виходом чергового оновлення Java у вересні 2012 фахівці в галузі комп'ютерної безпеки виявили ще кілька критичних вразливостей цієї платформи. Крім того, на початку листопада з'явилися повідомлення про виявлення zero-day уразливості в Adobe Reader (версіях 10 та 11). За допомогою цієї уразливості зловмисникам вдавалося запускати на комп'ютері жертви шкідливе додаток. Сам містить уразливість файл кіберзлочинці поширювали в Інтернеті, а також розсилали по електронній пошті.

Вельми резонансною подією у сфері інформаційної безпеки стало виявлення фахівцями однією з антивірусних компаній шкідливої програми Win32.HLLW.Flame - складного багатокомпонентного шкідливого програми, прозваного фахівцями «Доктор Веб» за рекордний розмір (більше 6 МБ) «троянським слоном». Ця програма має досить широкими функціональними можливостями, однак «у дикій природі» практично не зустрічається. На думку аналітиків «Доктор Веб», небезпека цього троянця, розтиражована численними публікаціями в інтернеті та ЗМІ, дещо перебільшена.

Ще однією важливою подією в світі інформаційних технологій стала ліквідація у липні 2012 ботнету BackDoor.BlackEnergy. Це була найбільша бот-мережа, орієнтована на масову розсилку спаму, а також проведення DDoS-атак, і припинення її діяльності досить швидко призвело до зниження обсягів спам-трафіку починаючи з липня 2012 року. Разом з тим, незважаючи на знищення головних керівників центрів BackDoor.BlackEnergy, фахівці «Доктор Веб» зафіксували декілька більш дрібних командних серверів цієї мережі, які продовжували свою діяльність і після опублікованих у пресі заяв про знищення даної бот-мережі. Тим не менше, вже через кілька місяців припинили своє існування і ці сервери, тому зараз ми дійсно можемо говорити про повну і беззастережну ліквідації ботнету BackDoor.BlackEnergy.

Шахрайство в Інтернеті

Не дрімають і мережеві шахраї, всіма силами прагнуть нажитися на довірливості простих користувачів. Так, на початку травня зловмисники влаштували атаку на користувачів Facebook. Заглянувши на свою сторінку в цій соціальній мережі, користувач виявляв в новинній стрічці посилання на програму Profile Visitor, нібито здатну фіксувати і демонструвати на спеціальній сторінці відвідувачів його профілю. Посилання, як правило, публікувалася від імені одного з друзів користувача і вела на сторінку вбудованого програми Facebook, для активації якого потрібно дозволити програмі публікувати контент від імені користувача облікового запису. Як тільки нічого не підозрює жертва натискала на кнопку «Дозволити», на стіні її профілю і в новинній стрічці всіх її друзів з'являлася посилання на цей додаток, розміщена від її імені. Проте навіть якщо користувач не дозволяв програмі Profile Visitor які-або публікації, всі, хто зареєстрований у списку його друзів, отримували «позначку» на «фотографії», що представляє собою рекламний банер-посилання програми Profile Visitor. З допомогою цього банера користувач перенаправляються на різні шахрайські сайти.

Найбільш цікаві загрози року

Однією з найбільш яскравих тенденцій четвертого кварталу стало різке зниження кількості заражень користувачів комп'ютерів троянською програмою Trojan.Mayachok.1, впевнено очолювала список найбільш небезпечних загроз з початку 2012 року. Це пов'язано, насамперед, з тим, що створювачі почали активно модифікувати цю троянську програму: якщо на початок року було відомо лише кілька її версій, то до кінця грудня в базах Dr.Web налічувалося вже понад 1 000 відповідних записів. Змінам піддався і код шкідливої програми, і - частково - її функціонал, при цьому якщо на початку року нові версії Trojan.Mayachok з'являлися не частіше разу на місяць, то в жовтні-листопаді модифікації даного троянця детектировались практично кожен день, проте їх відмінності в цілому були незначними. Нагадаємо, що шкідливі програми Trojan.Mayachok володіють можливістю вбудовувати в популярні користувачем веб сторінки сторонній вміст. Наприклад, блокувати таким чином доступ до Інтернету і вимагати плату за його розблокування. Можна припустити, що нові версії троянців цього сімейства будуть з'являтися і в подальшому.

Наприкінці червня фахівцями компанії «Доктор Веб» був проведений аналіз шкідливої програми Trojan.Hottrend, яку можна назвати самим маленьким з відомих на сьогоднішній день банківських троянів. Розмір її складає всього 20 КБ. Назва функціональне призначення цієї шкідливої програми - відстеження мережевого трафіку з метою перехоплення конфіденційної (у тому числі банківської) інформації, яка згодом передається зловмисникам.

Одним з найцікавіших троянців, досліджених вірусні аналітиками компанії «Доктор Веб» в 2012 році, є шкідлива програма під назвою BackDoor.DaVinci.1. Головною відмінною рисою цього троянського програми є те, що він здатний працювати як в операційній системі Microsoft Windows і Mac OS X. Крім цього, відомо про реалізацію цієї загрози, що представляє небезпеку для мобільних платформ. Ця шкідлива програма являє собою багатокомпонентний бекдор, що включає велику кількість функціональних модулів, у тому числі драйвери, які використовують руткіт-технології для приховування роботи програми в операційній системі.

BackDoor.DaVinci.1 дозволяє встановлювати повний контроль над інфікованим комп'ютером. Крім цього, троянець зберігає і передає зловмисникам інформацію про заражену машині, фіксує натискання клавіш, здатний робити знімки екрану, перехоплювати повідомлення електронної пошти, ICQ, Skype, передавати дані з мікрофона або підключеної до комп'ютера відеокамери. Крім того, бекдор володіє широким функціоналом з обходу антивірусних програм і персональних брандмауерів, завдяки чому може протягом тривалого часу працювати на інфікованої машині непомітно для користувача. Цікавою особливістю реалізації BackDoor.DaVinci.1 для Mac OS X є те, що вперше в цій платформі використовуються руткіт-технології для приховування файлів і процесів.

Ну а найбільш оригінальним підходом до зараження комп'ютерів відзначився троянець Trojan.KillFiles.9055, розповсюджувався по електронній пошті в повідомленнях із закликами приєднатися до протестних акцій 5 березня 2012 року. Примітний той факт, що тіло троянця розташовувалося безпосередньо у макросі, вбудованому в прикріплений до листа документ Word. Шкідлива програма зберігалася на диск і виконувалася в момент відкриття документа. Запустившись на комп'ютері жертви, Trojan.KillFiles.9055 викликав зависання ОС Windows. Одночасно троянець міняв вміст всіх виявлених на диску З файлів із розширенням .msc .exe .doc .xls .rar .zip .7z) на «цифровий сміття» і позначав їх на видалення після перезавантаження системи, внаслідок чого Windows приходила в неробочий стан. Потім троянець відправляв на віддалений сервер зловмисників повідомлення про те, що операційна система успішно знищено.

Android під атакою: «легкі» гроші, доступ до конфіденційної інформації та ускладнення загроз

Як і очікувалося, число загроз, орієнтованих на ОС Android, в 2012 році продовжило неухильно зростати, що не дивно: мобільні пристрої під управлінням цієї операційної системи продовжують займати все більш міцне положення на ринку. Так, згідно з останнім дослідженням компанії IDC, у третьому кварталі 2012 року три чверті поставляються смартфонів працювали саме на цій платформі. На представленої нижче діаграмі відображено процентне розповсюдження шкідливих програм для Android.

Как вели себя вирусы в 2012 году
Найбільш поширеною і масованої загрозою по -, як і раніше залишаються троянці сімейства Android.SmsSend, що з'явилися ще в 2010 році. Основна функція цих шкідливих програм - відправка дорогих SMS-повідомлень і підписка користувачів на різні контент-послуги. Переважна більшість троянців Android.SmsSend з технологічної точки зору є примітивними розробками, однак простота створення і висока окупність спонукають кіберзлочинців випускати незліченні модифікації цих шкідливих програм.

Однією з найбільш помітних тенденцій 2012 року стало істотне збільшення числа троянських програм-шпигунів для ОС Android. Так, вельми показовою стала поява цілого ряду троянців, які починаючи з середини 2012 року атакували японських користувачів. Всі ці шкідливі програми, серед яких були Android.EmailSpy.origin, Android.MailSteal.1.origin і Android.Maxbet.1.origin, поширювалися за допомогою спам-листів, що містили посилання, яка вела на завантаження нібито корисного програми. Програми-шпигуни призначалися для крадіжки персональної інформації, такої як адреси електронної пошти. Були виявлені і нові представники банківських троянів, зокрема, Android.SpyEye.2.origin, Android.Panda.2.origin і Android.FakeSber.1.origin. Останній особливо цікавий тим, що призначався для атаки на клієнтів одного з найбільших російських банків, у той час як інші шкідливі програми даного типу раніше становили загрозу лише для зарубіжних користувачів. Це свідчить про те, що географія застосування таких шкідливих програм поступово розширюється. Незважаючи на те, що банківські троянці для ОС Android все ще зустрічаються нечасто, вони представляють серйозну небезпеку з-за точкового і добре спланованого характеру атак. Поява першої подібної шкідливої програми в Росії може стати відправною точкою до збільшення інцидентів з їх участю.

У минулому році продовжив розширюватися ринок комерційного шпигунського пз: протягом всього року в вірусні бази Dr.Web вносилися не тільки нові модифікації відомих програм для кибершпионажа і моніторингу, а також цілий ряд нових сімейств.

У 2013 році варто очікувати збільшення кількості подібних потенційно небезпечних програм, а також різних троянців-шпигунів. Вельми вірогідною представляється загроза з боку APT-кампаній (атак з перебором різних видів загроз і вразливостей до отримання результату), в яких будуть використовуватися Android-троянці. В цілому ж можна говорити про те, що все більше число Android-загроз, так чи інакше беруть участь в крадіжки конфіденційної інформації, застосовується в вузьконаправлених атаках. Ця тенденція найближчим часом збережеться.

Однією з найбільш небезпечних шкідливих програм для мобільних Android пристроїв в 2012 році став троянець Android.SmsSend.186.origin. Від більшості інших представників цього сімейства він відрізнявся дуже передовими методами приховування шкідливого функціоналу. По-перше, при розповсюдженні був використаний dropper, що не вимагає для роботи ніяких спеціальних дозволів. По-друге, після установки Android.SmsSend.186.origin змушував користувача надати йому права адміністратора мобільного пристрою, а після їх одержання на деяких версіях ОС Android його було дуже важко видалити. Цілком імовірно, що в 2013 році з'являться нові шкідливі програми, в тій чи іншій мірі протистоять спробам свого видалення, а також використовують різні техніки для приховування своєї присутності в системі від користувачів.

Шкідливі програми, що використовують уразливості ОС Android для підвищення системних привілеїв, в минулому році не проявляли як щось помітною активності. Причиною цього міг стати поступовий перехід користувачів на більш нові версії Android, в яких відповідні уразливості були виправлені, а також посилення безпеки платформи в цілому. Однак не можна виключати, що в 2013 році можуть з'явитися нові шкідливі програми, які будуть використовувати невідомі раніше уразливості.

Остання версія ОС Android 4.2, що вийшла відносно недавно, містить ряд поліпшень, спрямованих на боротьбу з шкідливим пз. Зокрема, додана функція перевірки додатків, заснована на рейтингу їх безпеки, а також введено обмеження захід для додатків, які мають можливість відправляти СМС-повідомлення на преміум-номери - тепер користувачі мають можливість вибору: дозволити або заборонити надсилання таких СМС. Однак ефективність цих нововведень можна буде повноцінно оцінити лише тоді, коли оновлена версія операційної системи стане використовуватися на істотному кількості мобільних пристроїв. Враховуючи величезний ринок сумісний з ОС Android обладнання, можна припустити, що зловмисники знайдуть способи обходу нових захисних функцій.

Прогнози і перспективи

Виходячи з аналізу загроз, що надійшли у вірусну лабораторію компанії «Доктор Веб» протягом 2012 року, можна спрогнозувати основні тенденції, які з певною часткою ймовірності отримають розвиток в наступні 12 місяців.

  • Буде зростати число загроз для операційної системи Mac OS X. Можливо як поширення троянських програм, що використовують для проникнення в систему різні уразливості (у тому числі уразливості Java), так і бот-мереж, орієнтованих виключно на Apple-сумісні комп'ютери.
  • Значно збільшиться і «асортименти» шкідливих додатків для мобільної платформи Android. Очікувані темпи зростання можуть скласти близько 50-100% від нинішнього числа відомих загроз.
  • Продовжиться зростання ботнетів, орієнтованих на операційну систему Microsoft Windows. Так, вже в першому кварталі 2013 року чисельність зареєстрованих в бот-мережі комп'ютерів, інфікованих вірусом файловим Win32.Rmnet.12, перевищить 10 мільйонів (якщо не будуть вжиті масштабні заходи, спрямовані на ліквідацію ботнету).
  • Можлива поява вірусів і троянських програм, які експлуатують уразливості або характерні технології, застосовувані в ОС Microsoft Windows 8. Наприклад, можливе виникнення шкідливих додатків, перехоплюючих координати GPS-модуля планшетних комп'ютерів, які використовують цю платформу.
  • Буде зростати кількість і ускладнюватися функціонал банківських троянів, орієнтованих на перехоплення конфіденційних даних і розкрадання інформації, необхідної для роботи в системах дистанційного банківського обслуговування. Можливе збільшення кількості заздалегідь сплановані таргетованих атак на різні комерційні структури.
  • З метою стеження за користувачами шкідливі програми будуть все частіше використовувати дані, отримані за допомогою веб-камер, мікрофонів, GPS-приймачів. Зросте асортимент троянців-шпигунів.
  • Можлива поява загроз, які використовують для здійснення атак хмарні сервіси та інші розподілені системи. Збільшиться кількість шкідливих програм, що використовують у своїх цілях P2P-мережі, а також мережа TOR.

 

|