Мобильные угрозы

 РОМАН УНУЧЕК, антивирусный эксперт «Лаборатории Касперского»

Мобильные угрозы

В современном мире люди уже не представляют свою жизнь без мобильных устройств, телефоны настолько плотно вошли в нашу жизнь, что отказаться от их использования на работе крайне сложно, даже если речь идет о режимном предприятии

Так, сегодня в России, согласно опросу домашних пользователей, проведенному «Лабораторией Касперского» в 2015 году, почти каждый четвертый сотрудник компании использует собственное мобильное устройство для работы и хранит нанем рабочие файлы. Нужно понимать, что использование смартфонов и планшетов сотрудниками любых организаций сейчас действительно несет в себе ряд угроз и рисков информационной безопасности.

Речь в первую очередь идет об утечке конфиденциальных данных при подключении телефона к корпоративной сети или изолированным узлам, прослушке, неконтролируемой аудио и видеозаписи, а также проникновении в сеть предприятия, целевых атаках и даже выводе из строя целых подсистем.

При этом Россия – традиционно любимая страна хакеров для совершения кибератак, в том числе и на мобильные платформы. Например, мы занимаем первое место по проценту пользователей, атакованных мобильными банковскими троянцами. Рассмотрим статистику и описание основных угроз подробнее на примере третьего квартала 2016 года.

Все статистические данные, использованные в обзоре, получены с помощью распределенной антивирусной сети Kaspersky Security Network (KSN) как результат работы различных компонентов защиты от вредоносных программ. Данные получены от тех пользователей KSN, которые подтвердили свое согласие на их передачу. В глобальном обмене информацией о вредоносной активности принимают участие миллионы пользователей продуктов «Лаборатории Касперского» из 213 стран и территорий мира.

Статистика мобильных угроз

В третьем квартале 2016 года «Лабораторией Касперского» было обнаружено 1 520 931 вредоносных установочных пакетов – это в 2,3 раза меньше, чем в предыдущем квартале.

В TOP 20 мобильных угроз попали семнадцать троянцев, которые используют рекламу в качестве основного средства монетизации. Их цель – доставить пользователю как можно больше рекламы различными способами, в том числе за счет установки новых рекламных программ, зачастую скрытно. Эти троянцы могут воспользоваться правами суперпользователя для того, чтобы скрыться в системной папке, откуда удалить их будет очень сложно. Используя права суперпользователя на устройстве, троянцы могут делать незаметно от пользователя очень много разных вещей, в том числе устанавливать различные программы из официального магазина приложений Google Play Store, включая платные.

Стоит отметить, что троянцы семейства Ztorg, которые заняли четыре строки в TOP 20, часто распространяются через официальный магазин приложений Google Play Store. С конца 2015 года мы зарегистрировали более 10 подобных случаев (в том числе распространение под видом гида для игры Pokemon GO). Несколько раз у троянца было более 100 000 установок, а один раз – более 500 000.

Рисунок 1. Trojan.AndroidOS.Ztorg.ad в официальном магазине приложений Google Play Store

Кроме того, в рейтинг попали два представителя семейства мобильных банкеров Trojan-Banker.AndroidOS.Svpeng. Как мы уже писали выше, Svpeng.q стал самым популярным зловредом в третьем квартале 2016-го. Такой популярности злоумышленникам удалось добиться благодаря распространению троянца через рекламную сеть AdSense, которой пользуется большое количество сайтов в Рунете.

Pokemon GO: популярен и у пользователей, и у злоумышленников

Одним из знаковых событий этого лета стал выход игры Pokemon GO. Злоумышленники, конечно же, не могли оставить без внимания популярность новинки и старались использовать ее для своих целей. Чаще всего они добавляли вредоносный код в оригинальную игру и распространяли вредоносное приложение через сторонние магазины.

Таким образом распространялся, например, банковский троянец Trojan-Banker.AndroidOS.Tordow, использующий уязвимости в системе для получения прав суперпользователя на устройстве. Обладая правами суперпользователя, этот троянец защищается от удаления, кроме того, он может воровать сохраненные пароли из браузеров.

Но самым громким случаем использования популярности Pokemon GO для заражения мобильных устройств пользователей стало размещение злоумышленниками гида для этой игры в официальном магазине приложений Google Play Store. Это приложения на самом деле оказалось рекламным троянцем, способным получить на устройстве права суперпользователя, эксплуатируя уязвимости в системе.

Впоследствии экспертам «Лаборатории Касперского» удалось обнаружить еще две модификации этого троянца, которые были размещены в магазине Google Play под видом разных приложений. Один из них, выдававший себя за эквалайзер, по данным Google Play имел от 100 000 до 500 000 установок.

Обход защитных механизмов Android 6

В начале 2016 года активно развивалось семейство банковских троянцев Trojan-Banker.AndroidOS.Asacub, которое обходило некоторые ограничения системы. Банкеры продолжают эволюционировать, и здесь стоит отметить семейство банковских троянцев Trojan-Banker.AndroidOS.Gugi, которые научились обходить некоторые защитные механизмы, появившиеся в Android 6, обманывая пользователя. Во-первых, троянец запрашивает права на перекрытие других приложений, а во-вторых, воспользовавшись предоставленным ранее правом, вынуждает пользователя дать ему права на работу с SMS и на совершение звонков.

Троянец-вымогатель в официальном магазине приложений Google Play

Популярная у злоумышленников угроза – вымогатели и шифровальщики – давно перекинулась с ПК и рабочих компьютеров на мобильные платформы, и, более того, в третьем квартале эксперты «Лаборатории Касперского» зафиксировали распространение мобильного троянца-вымогателя Trojan-Ransom.AndroidOS.Pletor.d через официальный магазин приложений Google Play. Троянец выдавал себя за приложение для обслуживания устройства, в задачи которого входили очистка от ненужных данных, ускорение работы устройства и даже антивирусная защита.

Рисунок 2. Trojan-Ransom.AndroidOS.Pletor.d в Google Play Store

На самом же деле троянец проверял страну устройства, и если это была не Россия или Украина, то запрашивал права администратора устройства и обращался к серверу за командами. Несмотря на то что ранние модификации этого троянца шифровали данные пользователя, эта модификация не имеет такой функциональности – троянец блокирует работу устройства, открыв свое окно поверх всех открытых окон на устройстве, и вымогает деньги за разблокировку.

Мобильные банковские троянцы

С 2014 года мы наблюдаем планомерное увеличение количества атак финансового вредоносного ПО на платформу Android. Хакеры постепенно переключаются с самой популярной Windows на «Зеленого робота». Так, если в первом полугодии 2014 года только 22% атак были направлены на Android, то за аналогичные три месяца этого года уже 72%. Кстати, именно в 2016-м количество атак финансововых зловредов на мобильные гаджеты впервые превысило количество атак на компьютеры в РФ.

За третий квартал этого года «Лабораторией Касперского» было обнаружено 30 167 установочных пакетов мобильных банковских троянцев, что в 1,1 раза больше, чем в прошлом квартале.

Рисунок 3. Количество установочных пакетов мобильных банковских троянцев, обнаруженных «Лабораторией Касперского» (Q4 2015 – Q3 2016)

Самым популярным мобильным банковским троянцев в этом квартале стал Trojan-Banker.AndroidOS.Svpeng.q благодаря активному распространению через рекламную сеть AdSense. Более половины пользователей, встретившихся в этом квартале с мобильными банковскими троянцами, столкнулись с Trojan-Banker.AndroidOS.Svpeng.q. В третьем квартале троянец постоянно наращивал темпы распространения – в сентябре мы зарегистрировали практически в восемь раз больше атакованных пользователей, чем их было в июне.

Более 97% атакованных пользователей находились в России. Это семейство мобильных банковских троянцев использует фишинговые окна для кражи данных кредитной карточки и логина-пароля от онлайн-банкинга. Кроме того, злоумышленники воруют деньги посредством смс-сервисов, в том числе мобильного банкинга.

В третьем квартале 2016 года в этом рейтинге первое место заняла Россия (3,12%), где по сравнению со вторым кварталом практически удвоилась доля пользователей, атакованных мобильными банковскими троянцами.

Таблица 1. TOP 10 стран по проценту пользователей, атакованных мобильными банковскими троянцами

* Из рейтинга мы исключили страны, где количество пользователей мобильного антивируса «Лаборатории Касперского» относительно мало (менее 10 000).

** Процент в стране уникальных пользователей, атакованных мобильными банковскими троянцами, по отношению ко всем пользователям мобильного антивируса «Лаборатории Касперского» в этой стране.

Самыми распространяемыми мобильными банковскими троянцами в третьем квартале 2016 года стали представители семейств Svpeng, Faketoken, Regon, Asacub, Gugi и Grapereh.

Отметим, что семейство Trojan-Banker.AndroidOS.Gugi в этом квартале научилось обходить некоторые защитные механизмы Android c помощью обмана пользователей.

Мобильные троянцы-вымогатели

В третьем квартале 2016 года эксперты «Лаборатории Касперского» обнаружили 37 150 установочных пакетов мобильных троянцев-вымогателей.

Рисунок 4. Количество установочных пакетов мобильных троянцев-вымогателей, обнаруженных «Лабораторией Касперского» (Q4 2015 – Q3 2016)

Резкий рост количества установочных пакетов мобильных вымогателей в первом и втором кварталах 2016 года был обусловлен активным распространением троянцев семейства Trojan-Ransom.AndroidOS.Fusob. В первом квартале 2016 года на это семейство пришлось более 96% обнаруженных установочных пакетов мобильных зловредов типа Trojan-Ransom, во втором квартале их доля составила 85%. В третьем же квартале их доля составила уже 73%.

Это семейство атаковало максимальное количество пользователей в марте 2016-го, с тех пор количество атакованных пользователей уменьшается, причем сильнее всего в Германии.

Несмотря на это, самым популярным троянцем-вымогателем в третьем квартале все равно стал Trojan-Ransom.AndroidOS.Fusob.h. С ним столкнулись более 53% пользователей, атакованных мобильными вымогателями. После запуска этот троянец запрашивает права администратора, собирает информацию об устройстве, в том числе GPS-координаты и историю звонков, и загружает ее на сервер злоумышленников. После чего он может получить команду на блокировку устройства.

Заключение

Естественно, что, наблюдая подобное многообразие мобильных угроз, во многих компаниях пытаются найти различные способы защиты своей инфраструктуры, в которую входят и мобильные сотрудников, от проникновения вредоносного ПО. Самый простой и часто применяемый в отечественном бизнесе метод снижения рисков ИБ заключается во внедрении на предприятии политик, запрещающих использование мобильных телефонов.

К сожалению, как показывают наблюдения, такой способ зачастую малоэффективен и со временем даже приводит к ослаблению информационной безопасности, потому что, даже несмотря на строгие запреты, пользоваться устройствами сотрудники уже не перестают, руководство же со своей стороны достаточно лояльно относится к такого рода нарушениями. Как следствие, необходимые меры для защиты не применяются.

Другим интересным аспектом является область применимости ограничений. Бывают случаи, когда политики запрещают приносить на предприятие мобильные устройства, но никак не регламентируют использование других электронных устройств, а в современном мире многие вещи становятся умными, обладают операционной системой и возможностью выхода в интернет.

Единственный эффективный путь решения проблемы – это построение комплексной многоуровневой системы безопасности, основанной на применении административных, софтверных и аппаратных средств защиты, позволяющих существенно снизить риски утечки конфиденциальных данных.

При применении таких подходов все сотрудники кластеризуются, выделяется несколько групп, к каждой из которых применяются свои специальные политики и средства защиты.

Например, для рабочих, занимающихся физическим трудом и не имеющим доступ к компьютерным узлам внутренней сети, достаточно административных мер, а также средств защиты мобильных устройств, предотвращающих удаленную прослушку и запись.

Для сотрудников, имеющих доступ к конфиденциальным электронным данным, меры защиты должны быть выше, тут уже недостаточно одного антивируса, необходимо внедрение централизованно управляемых средства комплексной защиты класса device management, позволяющих внедрить четкие политики безопасности по работе с сервисами предприятия с мобильного устройства, иметь возможность удаленно управлять устройством, оперативно реагировать навнештатные ситуации, такие как попытка целевой атаки или кража устройства.

Для руководящего состава и ведущих специалистов будут дополнительно полезны и специальные аппаратные решения, например криптосмартфоны.

Комментарии могут оставлять только зарегистрированные пользователи