Android-загрози 2012 року: основні ризики

Троянці сімейства Android.SmsSend, з'явилися ще в 2010 році і швидко стали справжнім головним болем користувачів мобільних Android пристроїв, по -, як і раніше є найбільш поширеною і масової загрозою для цієї мобільної платформи. Ці шкідливі програми призначені для відправки дорогих SMS-повідомлень і підписки абонентів на різні контент-послуги, що може спричинити за собою серйозні фінансові втрати (при цьому жертва навіть не буде знати, що гроші списані з її рахунку). Найчастіше вони поширюються під виглядом популярних ігор і додатків, а також їх оновлень, проте можуть зустрічатися і інші канали розповсюдження.

Для створення більшості подібних програм не потрібно особливих знань, великої кількості часу і коштів, а одержувана зловмисниками прибуток від їх використання багаторазово компенсує всі витрати.

Широке поширення троянців обумовлено добре розвиненою мережею партнерських програм, які пропонують вельми вигідні умови оплати всім своїм учасникам. Крім того, влітку 2012 року були зафіксовані численні випадки злому легітимних веб-сайтів, які покращувались зловмисниками таким чином, що користувачі, які відвідують їх з мобільних пристроїв, перенаправлялися на шахрайські ресурси, які поширюють ці шкідливі програми.

Саме завдяки відносній простоті, високою окупності та ефективності застосовуваних методів розповсюдження сімейство Android.SmsSend домінувало у минулому році серед інших шкідливих додатків.

Враховуючи можливості мобільних Android пристроїв, а також беручи до уваги зростання числа їх користувачів, не дивно, що проблема збереження конфіденційної інформації стає все більш відчутною. Ризикам у цій сфері схильні всі: як прості користувачі, так і представники комерційного і державного секторів. Цінні відомості, що цікавлять зловмисників, можуть бути найрізноманітнішими.

Самі по собі шкідливі програми, шпіонящіе за користувачами і які крадуть їх конфіденційну інформацію, не унікальні і відомі досить давно. Проте в 2012 році намітилася чітка тенденція до появи досить специфічною групи троянців-шпигунів, спрямованих проти жителів Японії. Всі вони поширювалися за допомогою спам-листів, в яких користувачам пропонувалося встановити те або інше «корисне» додаток, починаючи від еротичної гри і закінчуючи оптимізатором витрати акумулятора.

До цієї групи відносяться такі шкідливі програми як Android.MailSteal.1.origin, Android.Maxbet.1.origin, Android.Loozfon.origin і Android.EmailSpy.origin. Їх основне завдання - викрадення адрес електронної пошти з книги контактів мобільного пристрою і відправлення їх на віддалений сервер. Крім цього, деякі троянці можуть відправляти зловмисникам не тільки адреси електронної пошти, але і всю інформацію з телефонної книги, а також ідентифікатори пристрою, включаючи номер стільникового телефону. Отримана таким чином інформація в подальшому може бути використана кіберзлочинцями для організації нових спам-кампаній і для продажу на чорному ринку, а для власників викрадених адрес це несе потенційну загрозу фішинг-атак і вірогідність зараження їх персональних комп'ютерів різними шкідливими програмами, які використовують для інфікування канали електронної пошти.

Вузькоспрямовані, точкові або таргетированные атаки несуть в собі серйозну загрозу, оскільки вони, на відміну від більшості звичайних атак, спрямовані не на максимально можливе число користувачів, а на їх обмежене коло, що знижує ймовірність оперативного та ефективного виявлення використовуваних при злочині шкідливих програм.

Одним з варіантів точкового атаки є Advanced Persistent Threat або APT-атака. Її суть полягає в тому, щоб шкідлива програма як можна довше залишалася в скомпрометованої системи без виявлення і отримала при цьому максимально можливий обсяг цінних відомостей. Жертвами зазвичай стають різні компанії, організації і державні структури.

Досі під ударом подібних кампаній перебували лише «великі» комп'ютерні системи, такі як робочі станції та сервери. Проте в 2012 році була зафіксована нова APT-атака, в процесі вивчення якої виявилася шкідлива програма Android.Luckycat.origin. Функціонал троянця включав виконання команд, що надходять з керуючого сервера, завантаження різних файлів з мобільного пристрою і на нього, збір ідентифікаційних даних і деякі інші можливості.

Незважаючи на те, що троянець перебував у стадії розробки, і свідоцтв його застосування на практиці не було, факт існування такого інструменту дає вагомі підстави вважати, що мобільні Android-пристрої незабаром можуть стати такою ж звичною мішенню APT-атак, як і звичайні комп'ютери.

Ще одним інструментом проведення таргетованих атак з метою заволодіння конфіденційною і цінною інформацією стали мобільні банківські троянці, які крадуть одноразові коди mTAN. Для забезпечення безпеки фінансових операцій в мережі Інтернет банківські системи відправляють СМС-повідомлення з цими кодами на прив'язаний до клієнтському рахунку номер мобільного телефону. Щоб успішно завершити транзакцію, користувач повинен ввести в спеціальну веб-форму отриманий код. Мобільні банківські троянці призначені для перехоплення SMS-повідомлень, крадіжки цих кодів і передачі їх зловмисникам, які виконують різні фінансові операції з електронними рахунками нічого не підозрюють жертв (наприклад, здійснюють онлайн-покупки).

Застосування подібних шкідливих програм ніколи не було масовим явищем, у тому числі і для пристроїв під управлінням Android. У 2012 році ми стали свідками появи лише кількох нових представників цього класу троянців, спрямованих на мобільну операційну систему від Google. Ними сталиAndroid.SpyEye.2.origin, Android.Panda.2.origin, Android.SmsSpy.6.origin і Android.FakeSber.1.origin.

Типовий спосіб поширення таких шкідливих програм - соціальна інженерія, коли користувача вводять в оману, пропонуючи термінове оновлення операційної системи або установку якогось сертифікату безпеки, необхідного для подальшого отримання фінансових послуг. Незважаючи на те, що випадки появи банківських троянів для ОС Android є рідкісними, що проводяться з їх допомогою атаки дуже ефективні. Саме завдяки неширокою поширеності таких додатків і спрямованості на конкретних користувачів банківських систем знижується ймовірність їх швидкого виявлення і забезпечення необхідного захисту від них.

Серед усіх цих шкідливих програм варто особливо виділити Android.FakeSber.1.origin: він став першим банківським Android-троянцем, спрямованим проти клієнтів російського банку. До його появи кіберзлочинців цікавили лише закордонні користувачі. Крім того, на відміну від своїх побратимів, що розповсюджуються за допомогою шахрайських сайтів, цей троян був поміщений зловмисниками безпосередньо в офіційний каталог додатків Google Play. На щастя, до моменту, коли троянець був видалений з каталогу, встановити його встигли небагато. Тим не менш, потенційна небезпека, яку він представляв, була дуже істотною.

Принцип, за яким працював Android.FakeSber.1.origin, був схожий зі схемами, застосовуваними зловмисниками в інших банківських Android-трою. По-перше, для того щоб змусити користувачів виконати його установку, була використана вельми поширена тактика залякування: на офіційним веб-сайті банку відвідувачам демонструвалося повідомлення про необхідність авторизації за допомогою мобільного телефону (це повідомлення відображалося завдяки Windows-троянцу, заразившему комп'ютери жертв і працював у зв'язці з Android.FakeSber.1.origin). Користувачам пропонувалося встановити спеціальний додаток, що насправді було мобільним банківським троянцем. По-друге, потрапивши на мобільний пристрій, ця шкідлива програма імітувала очікуваний функціонал, присипляючи пильність користувача. Зрештою Android.FakeSber.1.origin потай перехоплював всі вхідні повідомлення і пересилав отримані з них відомості на віддалений сервер, тому крім mTAN-кодів в руках кіберзлочинців могли виявитися та інші конфіденційні відомості, наприклад, приватне листування.

Потенційну загрозу збереження персональної інформації продовжують нести і різні види комерційного програмного забезпечення для моніторингу і шпигунства. У 2012 році було виявлено значну кількість не тільки нових модифікацій вже відомих програм, але і нові представники цього класу додатків. Більшість подібних шпигунів може використовуватися як легально, за згодою власника мобільного пристрою, так і без його відома. Для їх установки зазвичай потрібно фізичний доступ до мобільного пристрою, однак після установки дані програми здатні приховувати свою присутність в системі (наприклад, не створюючи іконку на головному екрані, а також маскуючись під системне пз). Найбільш поширеними функціями таких шпигунів є відстеження SMS-повідомлень, отримання координат користувача, перехоплення скоєні ним дзвінків, а також запис того, що відбувається навколо у аудіофайл.

Боротьба з шкідливими Android-програмами за допомогою антивірусних засобів і поступове підвищення комп ’ ютерної грамотності власників мобільних пристроїв на базі ОС від Google змушує зловмисників шукати способи обходу труднощів, що виникають. І якщо раніше троянці являли собою єдиний пакет, що містить весь шкідливий функціонал, зараз все частіше зустрічаються більш складні схеми їх побудови та роботи.

Вельми цікавим рішенням кіберзлочинців була своєрідна матрьошка з трьох шкідливих програм, виявлених у травні 2012 року. Dropper Android.MulDrop.origin.3 містив у своїх ресурсах зашифрований пакет, який також був дроппером (Android.MulDrop.origin.4). Він, у свою чергу, мав на своїх ресурсах ще один зашифрований пакет, який представляє собою троянця-завантажувача Android.DownLoader.origin.2, здатного отримувати з віддаленого сервера список програм для завантаження на мобільний пристрій.

Для успішного функціонування розробленої схеми були необхідні root-привілеї, а так як основний dropper перебував у модифікованому зловмисниками легітимному додатку, для роботи якого був потрібний root-доступ, у користувачів не повинно виникнути серйозних побоювань у зв'язку з необхідністю надання йому відповідних прав. Застосований в даному випадку механізм може бути дуже ефективним способом уникнути зайвих підозр і збільшити шанси успішного зараження мобільного Android-пристрої.

Іншим прикладом поділу функціоналу між кількома шкідливими програмами є троянці Android.SmsSend.405.origin і Android.SmsSend.696.origin. Перший в різних модифікаціях поширювався в каталозі Google Play під виглядом збірки шпалер для робочого столу, доступ до яких користувач міг отримати, натиснувши кнопку «Далі». У цьому випадку додаток підключався до хмарному сервісу Dropbox і downloaded другий програмний пакет, який був СМС-троянцем. По всій видимості, подібним перенесенням основного функціоналу у друге додаток, що розташований поза Google Play, зловмисники намагалися обійти систему Bouncer, яка контролює каталог на предмет наявності шкідливих програм.

Тривожить поява у шкідливих Android-додатків функціоналу протидії своєму видалення. У травні 2012 року був виявлений троянець Android.Relik.origin, який завершував роботу популярних китайських антивірусних засобів, а також просив у користувача доступ до режиму адміністратора мобільного пристрою. У разі активації цього режиму інші антивірусні програми вже не змогли б видалити троян, однак для позбавлення від цієї шкідливої програми користувачеві ніщо не заважало прибрати шкідливе програму зі списку адміністраторів.

Ідея протидії видалення надалі була значно розвинена в іншому китайському троянце,Android.SmsSend.186.origin. Практично відразу після установки він відображав вимога надати йому права адміністратора мобільного пристрою, причому у разі відмови вимога виводилося знову до тих пір, поки троянець не отримував відповідні права.

Після отримання троянцем необхідних прав спроби прибрати його з списку адміністраторів мобільного пристрою на деяких версіях ОС Android закінчувалися повним провалом, так якAndroid.SmsSend.186.origin перешкоджав цього, не даючи власнику мобільного пристрою зайти в необхідні системні налаштування. Антивірусні засоби, що не мають функціоналом з нейтралізації таких загроз, також не могли позбавити систему від інфікування, навіть якщо і детектировали шкідливу програму. Самостійно ж позбутися троянця було досить проблематично, оскільки це вимагало виконання ряду нетривіальних дій і певної частки терпіння. До всього іншого, ця шкідлива програма поширювалася за допомогою дроппера, поміщеного кіберзлочинцями в «живі шпалери», які при установці не вимагали ніяких спеціальних дозволів для своєї роботи. Таким чином,Android.SmsSend.186.origin являє собою одну з найсерйозніших за останній час Android-загроз.

Не можна не відзначити тенденцію до зростання використання авторами шкідливих програм обфускаціі коду, яка покликана ускладнити аналіз троянів і перешкодити їх детектування антивірусними засобами. Наприклад, обфускація зустрічається в цілому ряді представників сімейства Android.SmsSend.

Вельми цікавою шкідливою програмою, виявленої в 2012 році, став троянець Android.MMarketPay.origin, який самостійно купував програми в електронному магазині китайського оператора China Mobile. Для цього він перехоплював СМС-повідомлення з кодом підтвердження здійснення покупки, а також обходив перевірку captcha, відправляючи на віддалений сервер відповідні зображення для аналізу. Метою створення цього троянця могло стати як бажання недобросовісних розробників збільшити прибуток за рахунок подібної незаконного продажу своїх додатків, так і звичайне бажання зловмисників досадити користувачам і стільниковому операторові, репутація якого могла помітно постраждати.

Не секрет, що велика частина сучасних шкідливих програм створюється не з простої цікавості - ця сфера незаконної діяльності вже давно стала джерелом заробітку для найрізноманітніших груп кіберзлочинців. І що з'явилися в 2012 році Android-троянців Android.Spambot.1.origin і Android.DDoS.1.origin цілком обґрунтовано можна віднести до інструментів здійснення киберкриминальных послуг. Android.Spambot.1.origin являв собою троянця, призначеного для масової розсилки СМС-спаму. Текст повідомлень та номери, за якими здійснювалась розсилка, завантажувалися з віддаленого сервера, який належить зловмисникам, тому їм не становить великої праці виконати спам-розсилку для зацікавлених осіб. Щоб приховати свою шкідливу діяльність, троянець видаляв всі відомості про відправлення СМС, і власники інфікованих мобільних пристроїв могли не відразу виявити підозрілу активність. Що ж стосується Android.DDoS.1.origin, то це - шкідлива програма, призначена для здійснення DoS-атак з використанням мобільних Android пристроїв. Параметри, необхідні для їх проведення, троянець отримував за допомогою SMS-повідомлень, в яких вказано ім'я сервера і потрібний порт. Особливість цієї шкідливої програми - в тому, що атакується сайт міг бути абсолютно будь-яким, тому теоретично скористатися можливостями цієї шкідливої програми могли всі, хто виявить належний інтерес і заплатить відповідну ціну за надання незаконної послуги.

На тлі загальної маси шкідливих Android-програм, спрямованих на отримання тієї чи іншої матеріальної вигоди, Android.Moghava, відкритий навесні 2012 року, тримається осторонь, будучи троянцем-вандалом. Він поширювався в модифікованої зловмисниками версії програми - збірки рецептів іранської кухні. Через певні проміжки часу троянець виконував на мобільному пристрої пошук JPEG-зображень в каталозі /DCIM/Camera/ і накладав на них ще одне зображення. В результаті цього фотографії користувача остаточно псувалися.

Зазвичай створювачі створюють подібні шкідливі програми з метою голосно заявити про себе, або в якості помсти або простого розваги. Більш рідкої причиною є спроба зробити диверсію серед певної групи осіб. Так чи інакше, збиток від подібних програм може бути досить істотним.

За станом на кінець 2012 року вірусні бази Dr.Web містили майже 1300 записів для Android-загроз. Їх процентне розподіл представлено на наступній діаграмі:

Слід враховувати той факт, що фахівці компанії проводять постійну оптимізацію баз, тому кількість відповідних вірусних записів з часом може зменшуватися.

Із зростанням популярності мобільних пристроїв під управлінням ОС Android відповідно збільшується кількість і різноманітність шкідливих додатків, що представляють небезпеку для користувачів цієї платформи. Описані вище типи загроз в 2012 році стали найбільш помітними, а також продемонстрували потенційний вектор розвитку шкідливих Android-програм в найближчому майбутньому. Одночасно з цим можуть з'являтися і шкідливі програми, які поєднують властивості самих різноманітних загроз або ж є «нестандартними» порівняно із загальною масою, що багато в чому повторює ситуацію з Windows. Враховуючи, що в найближчі кілька років мобільна платформа Android буде залишатися серед лідерів ринку, варто очікувати подальшого зростання кількості створених для неї шкідливих програм.