Symantec: будущее мобильных угроз

24-27 февраля прошел Международный мобильный конгресс. На мероприятии были показаны инновационные смартфоны и планшеты, которые в течение следующих 12 месяцев станут реальностью. Однако в то время как производители мобильных устройств и приложений с каждым годом предлагают все более совершенные решения, вирусописатели от них не отстают. По данным Symantec за 2013 год, в среднем каждый месяц появлялось 5 новых типов и 272 разновидности вредоносных программ, цель которых – устройства на платформе Android. Эти угрозы наносят вред целым рядом способов, таких как кража личных данных и финансовой информации, слежка за пользователями, отправка с их устройств платных sms-сообщений и отображение назойливой рекламы. В этот раз специалисты Symantec были свидетелями появления нескольких качественно новых вирусов, которые могут лечь в основу следующего поколения мобильных угроз.

Более агрессивные угрозы на Android

Пользователи все чаще пользуются своими смартфонами и планшетами, для того чтобы управлять своими банковскими счетами и совершать онлайн-покупки. Согласно недавнему исследованию института Pew, 51% граждан США управляет своими банковскими счетами через Интернет, а 35% использует для этого свои мобильные устройства. Молодые люди лидируют в этом тренде, что позволяет предположить, что со временем он получит еще большее распространение. 

Помимо доступа к банковским приложениям, мобильные устройства также могут использоваться при двухфакторной аутентификации: когда пользователь заходит в свой личный кабинет через персональный компьютер, ему на его мобильное устройство приходит код, который он должен ввести для подтверждения своей личности.

Злоумышленники учли все эти особенности и разработали вредоносные программы для Android, которые крадут эти коды. Такие угрозы, как Android.Hesperbot и Android.Perkel перехватывают SMS-сообщения с кодом подтверждения и сразу отправляют их злоумышленникам. Они также могут красть другие банковские данные или работать совместно с вирусами для персональных компьютеров, для того чтобы взламывать аккаунты жертв.

Такие угрозы могут стать более распространенными в ближайшие годы, по мере того как набирает популярность концепт «мобильного кошелька». И хотя идея оплаты товаров и услуг при помощи мобильного устройства в физических магазинах еще не стала повсеместной, очевидно, что злоумышленники будут следить за прогрессом и в этой сфере.

Повышая уровень скрытности – буткиты для Android

Буткиты, как правило, применяются в продвинутых угрозах для систем на базе ОС Windows. Такие угрозы осуществляют работу глубоко внутри операционной системы и обычно встраиваются в код инициализации системы, как это делает Master Boot Record, что позволяет осуществлять запуск вредоносной программы еще до запуска самой операционной системы. Подобные программы позволяют злоумышленникам на долгое время сохранять контроль над системой жертвы и предотвращать обнаружение некоторых процессов. В результате этого с буткитами зачастую трудно справиться, поскольку их компоненты защищены руткитами или другими приемами. Symantec предлагает такие решения, как Symantec Power Eraser, Norton Power Eraser и Norton Bootable Recovery Tool, позволяющие удалять подобные угрозы с компьютера. 

Недавно угроза типа буткит была обнаружена и на платформе Android, она получила название Android.Gooboot. Этот буткит модифицирует загрузочный раздел устройства и скрипт загрузки, что позволяет запускать вредоносный код прямо в процессе загрузки операционной системы. Удалить эту вредоносную программу особенно трудно, с другой стороны – для того чтобы заразить устройство, злоумышленник должен иметь физический доступ к нему. Также стоит отметить, что Android.Gooboot не несет в себе никаких эксплоитов и не пытается получить никаких особых прав. Однако это дает представление о том, каких Android-угроз стоит ожидать в будущем. На данный момент пользователям стоит с осторожностью относиться к покупке устройств с root-правами.

Новые пути заражения

Как правило, вредоносные программы для Android подразумевают изначальную установку пользователем вредоносной программы через магазины приложений. Однако все более тщательная проверка администрацией магазинов приложений на предмет вредоносного кода делает размещение вирусописателями там своих программ все более трудным. Вместо этого злоумышленники начинают использовать стационарные компьютеры как способ доставки вредоносного ПО на Android-устройства. Это проводит к появлению гибридных угроз. 

Недавно обнаруженная угроза, получившая название Trojan.Droidpak, сначала загружается на компьютер под управлением ОС Windows и в конечном итоге загружает файл вредоносного Android-приложения формата APK. При подключении к компьютеру любого Android-устройства троян пытается установить на него этот вредоносный APK-файл, определяемый как Android.Fakebank.B. Если установка проходит успешно, APK-программа начинает искать на устройстве приложение одного конкретного корейского банка, чтобы потом заменить его на зараженную версию.

Для того чтобы защититься от подобных угроз, пользователи должны избегать подключения их мобильных устройств к неизвестным стационарным компьютерам, а также убедиться, что на их компьютере и мобильном устройстве установлены последние версии антивирусного ПО.

Конечно, стационарные компьютеры – не единственный путь работы этих гибридных угроз. По мере того как «Интернет-вещей» будет становиться реальностью, мы, вероятно, увидим угрозы, использующие мобильные устройства как путь заражения систем автоматизации и наоборот.

Растущая угроза мобильных вирусов

Вирусописатели мобильных угроз становятся все более изощренными, часто учась у вирусописателей Windows-угроз или пытаясь ориентироваться на последние технологические тренды. И использование буткитов тому подтверждение. Так же, как в случае с угрозами для стационарных компьютеров, основным мотивом здесь является нажива. По мере распространения технологий мобильной оплаты мобильные устройства становится все более привлекательной жертвой. Все больше перекладывая функции персонального компьютера на мобильные устройства, пользователи должны обеспечивать защиту своих устройств от настоящих и будущих угроз при помощи таких решений, как Norton Mobile Security.