версия для печати
Мобильные угрозы 2011 года

Мобильные угрозы 2011 года

Распространение смартфонов и коммуникаторов, планшетов и ридеров, активно задействующих беспроводные модули для связи с Сетью и внешним миром, укрепило растущий тренд к появлению вредоносных программ под популярные мобильные ОС. В 2011 году вирусные аналитики зарегистрировали ощутимый рост подобных угроз на Android OS и отметили предпосылки к эпидемии на iOS и на BlackBerry OS.

Фокус злоумышленников, разрабатывающих вирусы для мобильных устройств, остался прежним – это кража данных и денег со счетов абонента. С распространением мобильных банков (реализуемых как в виде веб-интерфейса, так и в виде мобильных приложений), когда смартфон становится инструментом для доступа к более крупным суммам, чем остаток на предоплаченном балансе, вирусописатели сконцентрировались и на этом направлении.

Помимо этого, активно эксплуатируется тема бесплатного доступа к различному платному контенту (взломанные сборки shareware-приложений, игры, доступ к эротическим материалам и так далее). Более продвинутые атаки, позволяющие превратить сотовые телефоны в распределенную зомби-сеть для рассылки спама, вирусов, DDoS-активности по аналогии с настольными системами, пока не осуществляются, но могут стать реальностью, поскольку вредоносные приложения и среда для их исполнения уже существуют.

По консолидированным данным нескольких вирусных лабораторий, занимающихся анализом «живых» экземпляров вредоносного ПО, в мире сейчас насчитывается порядка 1000-1300 различных программ, относящихся к троянам, червям и бэкдорам, написанных для мобильных ОС. Их число стремительно растет. Так, например, по данным «Лаборатории Касперского», по сравнению с 2009 годом в 2010 году количество вновь обнаруженных вирусов увеличилось на 65,12%. Тем не менее, динамика изменения характеризуется отсутствием серьезных всплесков, что характерно для неразвитой отрасли. Рост при этом обеспечивают преимущественно модификации ограниченного количества вирусов, относящихся к семействам.

Лидерами в этом отношении пока остаются платформы J2ME (для обычных сотовых телефонов) и S60, хотя новые платформы Android OS и iOS также вносят свои коррективы в картину на рынке. По данным «Доктор Веб» на январь 2011 года было зарегистрировано около 50 вредоносных программ, а уже в сентябре 2011 года их количество приблизилось к 400. Подобная оценка основана на собственной классификации Dr.Web. Согласно ей, на платформе существуют три основных типа угроз:  вредоносные приложения, не несущие полезной нагрузки, платные шпионские программы и легитимные инфицированные приложения, распространяющиеся на сторонних контент-площадках. Вирусы для iOS пока появляются у маргинальных владельцев устройств, взламывающих защиту системы и устанавливающих софт из сторонних источников, не проверяя запрашиваемые права доступа.

SMS-трояны и шпионы лидируют

В 2011 году быстрорастущей и вызывающей интерес со стороны вирусописателей группой вредоносного ПО для мобильных платформ были SMS-трояны. На Западе вследствие иной политики по отношению к VAS-провайдерам и организации приема платежей по премиальным SMS, популярны трояны, осуществляющие звонки на платные номера доступа. Подобные программы распространены в силу легкости своего изготовления и массовости соответствующих инструментов – так, к примеру, троянец Android.SmsSend встраивается в приложения через веб-конструктор, с помощью которого мошенник может, даже не зная основ программирования, задать число платных SMS, которые должны быть отправлены на номер мошенников, иконку и название трояна и пр.

Подобные ресурсы периодически закрываются компетентными органами, но потом они возникают снова, а создаваемые на их базе «приложения» достаточно свободно анонсируются в блоках контекстной рекламы, отображаясь рядом с первыми местами поисковой выдачи или на баннерах в доверенных приложениях. Аналогичная схема выстроена и отлажена для J2ME-троянцев. Создав на конструкторе файл, мошенник может легко встроить его в легальную программу – например, игру, назначив отправку SMS на кнопку действия в игре или на какое-либо подтверждающее диалоговое окно.

Шпионские приложения на мобильных устройствах пока не так популярны, как на десктопных платформах, поскольку хранящиеся на мобильных аппаратах личные данные еще не настолько ценны, чтобы их можно было похищать в коммерческих целях. Тем не менее, подобные разработки ведутся. Так, в 2011 году было удалено больше 30 приложений с официального репозитория Android Market (в нем уже около полумиллиона программ), которые предназначались для перехвата и отправки злоумышленникам пользовательских данных, хранящихся на смартфонах. Преимущественно, речь шла о фотографиях, базе контактов, сообщениях и паролях (последнее в силу того, что у ряда разработчиков данная информация хранилась в незашифрованном виде).

Так, например, один из троянов Android.Plankton.1, распространяющийся «официально» как дополнительный мод-разблокировщик уровней в платных играх по типу AngryBirds, был скачан 15 тыс. раз с Android Market и передал на сервера злоумышленников личные фотографии владельцев зараженных аппаратов, при этом параллельно играя роль бэкдора, исполняя в системе команды, получаемые удаленно.

Ряд программ, в частности, Zbot, который назван так из-за сходства с печально известным банковским трояном Zeus, умеет фильтровать SMS на предмет нахождения в них идентификаторов банковских счетов, кодов подтверждения операций в интернет-банках и различных мастер-паролей. Также ряд бэкдоров, рассчитанных на работу на мобильных ОС, где пользователь получил права доступа корневого администратора и может изменять системные файлы, поддерживают функцию загрузки дополнительных вирусов или программ-шуток, как, например, случилось с владельцами взломанных iPhone, увидевших измененный фоновый рисунок с помощью программы NetWorm без изменения SSH-пароля. Удаленные команды можно было выполнить и через PDF-эксплойт стандартного приложения для просмотра на iOS, открыв в нем специально созданный документ.

Веб-угрозы

На мобильных платформах в 2011 году появились и различные веб-угрозы: от навязчивых всплывающих окон, которые препятствуют нормальной работе браузера на Android OS и iOS (злоумышленники предлагают отправить SMS для устранения проблемы), до подделки сертификатов у интернет-банков или платежных систем с последующими фишинг-атаками. Авторы таких разработок живут преимущественно в Юго-Восточной Азии, а сами программы ориентированы на жителей развитых стран, где много активных пользователей мобильного интернета и востребованы услуги проведения платежей и покупок с портативных устройств.

Многие атаки производятся только на мобильных ОС – вредоносный скрипт отслеживает user agent-браузера и сведения о платформе, на которой он установлен, после чего инициирует процесс заражения (при этом на настольном ПК обычно открытие таких сайтов вызывает ошибку). Дальнейшее развитие подобных атак может выйти в плоскость drive-by заражений, когда браузер будет неправильно обрабатывать типы файлов и запускать на исполнение вредоносную программу, упакованную под видом неисполняемого файла.

Вообще, защита мобильных устройств имеет свою специфику. «На мобильных платформах часто установлены другие системы, другие технологии, и даже другие опасности, чем на десктопах, - комментирует Роман Карась, управляющий продажами в ритейле G Data Software в России и СНГю - Например, очень мало десктопов имеют модули WiFi или Bluetooth, в то время как из мобильных устройств только нетбуки и ноутбуки имеют сетевые модули для проводной сети типа Ethernet. Особенности операционных систем, протоколов коммуникационных каналов для стационарных и мобильных устройств так же вносят свой вклад в дифференциацию».

Таким образом, перспективы развития вирусных угроз для мобильных систем в ближайшее время связаны с усилением роли планшетов в повседневной работе и переносе на них части деловых функций (например, работы с офисными документами, корпоративной почтой), что повлечет за собой определенные трудности в обеспечении безопасности самих беспроводных соединений и создания необходимой инфраструктуры для защищенного доступа в корпоративные сети.

Для конечных пользователей мобильные вирусы будут по-прежнему ассоциироваться с кражей средств со счета и фишингом на веб-сайтах. Тем не менее, инициативы в области дальнейшего развития мобильных платежей и хранения персональных данных для различных сервисов, будут сопровождаться синхронными «ответами» со стороны мошенников, которые будут находить новые способы обхода антивирусной защиты. Так, вполне возможно, что вирусы под популярную Android OS будут написаны на нативном коде, что сделает невозможным их детектирование антивирусным сканером, рассчитанным на сигнатурное или поведенческое определение.

«Представленные сегодня решения по защите мобильных устройств пока не совершенны и решают лишь часть  проблем. Однако мы видим стремительный прогресс в данной области», - успокаивает Евгений Чанышев, генеральный директор компании «Инфозащита».

Михаил Демидов, CNews Analytics

Toolbar | КПК-версия | Подписка на новости  | RSS