Компания «Доктор Веб» на прошлой неделе сообщила, что в Рунете зарегистрирована целая серия взломов веб-сайтов с целью распространения вредоносного ПО — мобильного на сей раз. Речь шла о семействе троянцев Android.SmsSend, без ведома пользователей отправляющих SMS на платные номера, принадлежащие злоумышленникам. Модифицировав серверные сценарии на взломанных ресурсах, злоумышленники смогли добиться, что пользователи мобильных устройств на базе Android перенаправлялись на фишинговые ресурсы, с которых и устанавливались зловреды.
Любые платформы, обретающие массовый статус, неизбежно становятся объектом пристального интереса со стороны киберкриминала (вне зависимости от того, что им движет — желание нажиться или просто крупно напакостить). Начало прошлого десятилетия было отмечено рядом массовых эпидемий интернет-червей, наносивших подчас многомиллиардные ущербы, — ILOVEYOU, Code Red, Nimda, Blaster, Sobig, SQL Slammer, чьё стремительное распространение привело к общему замедлению трафика в интернете.
С тех пор, конечно, в области безопасности сделано очень многое. И тем не менее новые зловреды появляются ежедневно в огромных количествах, а главным «бичом» безопасности сегодня стали ботнеты — целые сети заражённых и дистанционно управляемых пользовательских машин, используемых для рассылок спама и DDoS-атак. Между тем сегодня растущую популярность приобретают мобильные устройства — смартфоны, планшеты, всё менее отстающие по своим возможностям от ПК. Соответственно встаёт и вопрос безопасности в этой сфере.
На протяжении многих лет антивирусные вендоры (исходя из вполне понятных мотивов) предвещали эпидемии в мобильной области. Ничего столь же громкого и катастрофичного по своим последствиям, как эпидемии Slammer, ILOVEYOU или Code Red, пока не случилось, однако какова на самом деле ситуация с безопасностью в мобильной сфере? Можно ли говорить об эпидемиях в принципе?
— Да, безусловно, — говорит Сергей Комаров, руководитель отдела антивирусных разработок «Доктор Веб». — Они пока не такие массовые, как для обычных компьютеров, и имеют несколько иную природу, но уже сейчас трудно встретить владельца смартфона, особенно на Android, который не сталкивался бы сам или через знакомых с вредоносным ПО.
— Более чем в 4 раза возросло количество Android-троянцев в первом полугодии 2012 года по сравнению с показателями последних шести месяцев 2011 года. С января по июнь этого года в нашу коллекцию было добавлено более 20 000 вредоносных мобильных программ, — отмечает ведущий антивирусный эксперт «Лаборатории Касперского» Денис Масленников. — Столь активное развитие Android-зловредов говорит о том, что всё больше вирусописателей переключаются на разработку вредоносных программ под мобильные устройства. Как и в случае с Windows-зловредами, развитие мобильных вредоносных программ привело к формированию чёрного рынка услуг по их распространению. Основными каналами распространения являются неофициальные магазины приложений и партнёрские программы. Нельзя не отметить, что мобильные вредоносные программы становятся всё сложнее: злоумышленники активно развивают технологию обфускации и защиты кода, усложняющие анализ зловредов.
Антивирусные вендоры в один голос говорят, что ОС Anrdoid является «лидером» по количеству вредоносных программ. Почему? Потому что Android стал самой массовой и при этом самой открытой операционной системой для мобильных устройств.
— Чаще всего это так называемые SMSsend’ы — вредоносные программы, отсылающие платные СМС на определённые номера. Но встречаются и банковские троянцы, крадущие банковскую информацию, и даже блокировщики, вымогающие деньги за разблокировку заражённого устройства, — сообщил Комаров. — Платформа Android — одна из самых открытых из существующих мобильных платформ, она предусматривает возможность установки и запуска программ из любых источников на усмотрение пользователя. Этим и пользуются злоумышленники.
Тем не менее, как отметил Сергей Комаров, чаще всего для упрощения создания вредоносной программы процесс установки возлагается на пользователя, а зловреды мимикрируют под легальное ПО (простой социальный инжиниринг).
По версии «Лаборатории Касперского», картина выглядит следующим образом: примерно 49 процентов выявленных «Лабораторией Касперского» вредоносных файлов — это различные многофункциональные троянцы, которые крадут с телефона данные (имена контактов, почтовые адреса, телефоны и т.д.), а также могут загружать дополнительные модули с серверов злоумышленников. Ещё около четверти — это троянцы, отправляющие SMS на разорительно дорогие платные номера без ведома хозяев мобильных устройств. Ещё 2 процента — это Trojan-Spy, ворующие информацию о банковских счетах пользователей. По мнению «Лаборатории Касперского», именно они представляют наибольшую угрозу для пользователей. В марте этого года, например, под ОС Android был выявлен троянец, способный красть SMS, содержащие мобильные коды аутентификации транзакций (такие посылаются банками на телефоны своих клиентов), а также красть сами данные авторизации в системах онлайн-банкинга.
— Порядка 18 процентов обнаруженных Android-зловредов — бэкдоры, дающие злоумышленникам возможность полного контроля над заражённым устройством. На основе таких программ создаются мобильные ботнеты, — говорит Денис Масленников.
Первый такой ботнет, состоящий из устройств на базе Android, был обнаружен «Лабораторией Касперского» в начале этого года. По словам Масленникова, где-то в феврале 2012 года китайским вирусописателям удалось создать мобильный ботнет RootSmart, в котором число активных устройств варьируется, по последним данным, от 10 до 30 тысяч, а общее число заражённых за все время существования ботнета смартфонов исчисляется сотнями тысяч:
— Все устройства в составе данного ботнета способны удалённо принимать и исполнять команды с C&C-сервера. У лиц, контролирующих ботнет, есть возможность задавать частоту отправки премиум-SMS, количество дней, в течение которых будет осуществляться отправка, а также короткие номера, на которые будут отправляться SMS. Такой подход, в отличие от обычных SMS-троянцев, позволяет злоумышленником получать стабильный ощутимый доход на протяжении длительного времени, — сообщил Масленников.
Комментируя «Компьютерре» ситуацию с мобильной безопасностью, Денис Масленников особо остановился на «банковских» троянцах. Зловреды подобного рода появились уже даже не вчера — первые случаи фиксировались ещё в 2010 году. Нынешнее поколение мобильных троянцев — ZitMo (ZeuS-in-the-Mobile) и SpitMo (SpyEye-in-the-Mobile) — работает в связке с «обычным», десктопным вредоносным ПО — троянцами ZeuS и SpyEye.
С помощью троянца ZeuS злоумышленникам в своё время удалось создать целый ряд крупных ботнетов, часть из которых в начале этого года нейтрализовала корпорация Microsoft. Увы, часть — это далеко не всё.
Опасность ZitMo и SpitMo усиливается тем обстоятельством, что их вариации написаны сразу для нескольких мобильных операционных систем. Помимо Android, оба зловреда функционируют под Symbian, а ZitMo — ещё и под Windows Mobile и BlackBerry.
В июне этого года «Лаборатория Касперского» обнаружила новую версию мобильной вредоносной программы, занимающейся кражей входящих SMS, маскировавшуюся под пакет Android Security Suite Premium. Все серверы управления этой вредоносной программой были зарегистрированы на одного человека — данные оказались теми же, что были использованы и для регистрации ряда управляющих доменов Zbot (ZeuS). Отсюда можно сделать вывод, что кража SMS нацелена именно на получение кодов авторизации банковских транзакций и зловред относится к семейству Trojan-Spy.AndroidOS.Zitmo.
На все эти случаи с обнаружением вредоносного ПО под Android приходится лишь один громкий случай, когда какое-то распространение получил зловред, написанный под Apple iOS. Приложение Find and Call представляло
собой троянца, загружавшего на удалённый сервер телефонную книгу пользователя, после чего этот сервер начинал бомбить спамом по списку пользовательских контактов. К счастью, и Apple App Store, и Google Play удалось довольно быстро избавить от этого приложения.
В целом, по словам Масленникова, ситуация такова, что под Android в месяц пишется до 5000 новых зловредов, в то время как возникновение подобных программ под iOS — явление крайне редкое: сказывается закрытость системы и высокая степень контроля Apple над своим магазином приложений.
Сейчас на подходе Windows 8/Windows RT и планшеты, которые будут работать под управлением этой операционной системы. На будущий год ожидается также выход новой версии ОС BlackBerry. Скажется ли это как-то на общей картине «мобильной» безопасности?
— Мы не прогнозируем никаких изменений в связи с выходом этих систем и устройств, — заявил Сергей Комаров. — Сейчас доля Windows и Blackberry довольно мала и злоумышленники, скорее всего, не обратят внимания на эти системы. Если же рыночная ситуация изменится, то появление новых угроз для них вполне вероятно.