Atak na Androida z antywirusa

Platforma Google Android znajduje się pod ostrzałem twórców złośliwego oprogramowania. Stosują oni również taktykę znaną z Windows - publikują fałszywe narzędzia antywirusowe.

Autodestrukcja wbudowana

Od dawna cyberprzestępcy stosowali techniki zacierania śladów. Aby zmylić użytkownika, wprowadzili opcję wyłączenia lub deinstalacji złośliwego oprogramowania, a nawet unieruchomienia systemu operacyjnego (kill OS). Bardzo prawdopodobny scenariusz ataku zakłada pozyskanie wszystkich oczekiwanych informacji przez przestępców, a następnie deinstalację złośliwego oprogramowania z telefonu, by utrudnić organom ścigania prowadzenie dochodzenia.

Jednym z najpopularniejszych narzędzi do kradzieży informacji w świecie pecetów z Windows jest ZeuS/Zbot, który od co najmniej pięciu lat służy do pozyskiwania dostępu do prywatnych kont bankowości elektronicznej, a obecnie także do innych zasobów, takich jak konta gier online. To złośliwe oprogramowanie zyskało dodatkową platformę ataku - telefony z systemem Android. Cyberprzestępcy wybierają najsłabszy element - człowieka - oraz mechanizm kontroli aplikacji przy publikacji w sklepie.

Fałszywy antywirus

Przemycenie złośliwego kodu do sklepu z aplikacjami nie jest trudne, dlatego złodzieje informacji wykorzystali znaną technikę podawania się za oprogramowanie do ochrony systemu. Aplikacja o nazwie Android Security Suite Premium, znana od lipca 2012 r., pojawiła się znowu w sklepie Google Play i zachęca do pobrania konia trojańskiego, którego zawiera.

Zobacz również:

  • Wskaźnik adopcji iOS 17 rośnie, ale nadal poniżej oczekiwań
  • Gemini Nano trafi na bazowe Pixele
  • Android 15 pomoże rozwiązać palący problem nowych smartfonów

Fałszywe aplikacje pojawiają się regularnie w sklepie, przechodząc za każdym razem proces kontroli kodu. Niekiedy są także hostowane poza sklepem z aplikacjami, na osobnych serwerach. Aby zachęcić użytkowników do ich instalacji, wykorzystywane są komunikaty wyświetlane na ekranie zarażonego komputera (ZeuS umożliwia modyfikację dowolnej sesji w przeglądarce).

Po instalacji w telefonie aplikacja wyświetla niebieską ikonę tarczy ochronnej, a przy wywołaniu wskazuje fałszywy kod aktywacji. Przy komunikacji ze światem zewnętrznym łączy się z sześcioma serwerami zarządzającymi botnetem. Jeden z serwerów jest związany ze znanym od 2011 r. botnetem ZeuS-a.

Chociaż w telefonach znajdują się dane warte kradzieży (najczęściej są to kontakty i e-maile), to nie są to informacje, po które sięgałby typowy cyberprzestępca. Urządzenie mobilne, takie jak smartfon, może jednak posłużyć jako przyczółek do dalszego ataku na chronioną infrastrukturę firmy.

Stacjonarny i mobilny działają razem

Mechanizmy kradzieży informacji, obecne w desktopowej i mobilnej wersji ZeuS-a, mogą być wykorzystane nie tylko do kradzieży pieniędzy z prywatnych kont. Gangi przestępcze, operujące w Europie Wschodniej oraz w Azji, są tolerowane przez władze, dopóki nie atakują własnych obywateli. W razie potrzeby pozyskują nawet informacje, które akurat są potrzebne służbom specjalnym danego kraju. Oznacza to, że kradzież danych znajdujących się na dyskach stacji roboczych i w serwerach może być tylko jednym z działań, a ostatecznym celem jest na przykład szpiegostwo przemysłowe.

Początkowo hasła jednorazowe wysyłane w wiadomościach SMS zapewniały ochronę przed automatycznymi atakami. Obecnie złośliwe oprogramowanie nazywane ZitMo (ang. ZeuS in the mobile) potrafi przejąć otrzymane hasła jednorazowe i przekazać je wprost do serwera zarządzającego botnetem złożonym z desktopowych wersji ZeuS-a. Jeśli przedsiębiorstwo ma wdrożone dwuskładnikowe uwierzytelnienie korzystające z haseł SMS, za pomocą konia trojańskiego w telefonie i zarażonej stacji roboczej można dostać się nawet do pilnie strzeżonych zasobów IT. Za pośrednictwem modułu proxy wbudowanego w "stacjonarnego" ZeuS-a szpieg może zdalnie zainicjować połączenie, a jednorazowe hasło przysłane w wiadomości SMS przez system uwierzytelnienia wykorzystać do zalogowania do wybranych przez siebie zasobów lub potwierdzenia nieautoryzowanej operacji.

Smartfon zwiększa ryzyko

Złośliwe oprogramowanie zarażające prywatne telefony staje się coraz poważniejszym zagrożeniem, gdyż pracodawcy coraz częściej zezwalają na korzystanie z prywatnych urządzeń do pracy (strategia BYOD - Bring Your Own Device). Wydany w styczniu br. raport Dimensional Research ujawnia istotę zagrożenia. Ponad 70% ankietowanych specjalistów IT uważa, że smartfony są odpowiedzialne za wzrost ryzyka biznesowego, a najbardziej narażoną na ataki platformą jest Android.

Od pierwszego kwartału br. notuje się stały wzrost liczby infekcji telefonów z Androidem. Według kwietniowego raportu E-Threat Landscape Report firmy BitDefender, podstawowym zagrożeniem jest ukrywanie złośliwego oprogramowania w aplikacjach umieszczanych w sklepach online. Dotyczy to nie tylko Google Play, ale także repozytoriów utrzymywanych przez producentów telefonów. Czynnikiem odpowiedzialnym za wzrost zagrożenia jest niska świadomość użytkowników. Sześciu na dziesięciu ankietowanych w Dimensional Survey uważa, że ignorancja użytkowników ma wielki wpływ na bezpieczeństwo, niezależnie od stosowanych rozwiązań technicznych.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200