26 сентября 2018 г.

Вредоносное ПО, нацеленное на смартфоны с Android, продолжает распространяться всё шире, поскольку пользователи проводят теперь больше времени с мобильными устройствами, а корпоративные средства контроля для смартфонов пока отстают от защиты для ноутбуков.

Мобильные устройства как фактор уязвимости

Очевидно, что взломщики берут на прицел те устройства, с которыми пользователи проводят большую часть времени, так как именно там можно перехватить нужные данные, говорит Мэтт Кук (Matt Cooke), директор по маркетингу продуктов компании Sophos из Абингдона (Великобритания). И, поскольку большую часть времени многие проводят теперь со своими мобильными устройствами, а не с ноутбуком, взломщики также сменили главный вектор атак.

Кроме того, ноутбуки и десктопы в корпоративной сети, как правило, гораздо надежнее защищены, чем мобильные устройства, до которых пока еще не дошли руки, поэтому для взлома требуется меньше усилий, и они часто становятся более легкой добычей, говорит Кук.

Как результат, фронт атак на Android всё больше расширяется, и количество сигнатур вредоносного ПО, нацеленных на эту ОС, увеличилось с 4 миллионов за весь 2017 год до 5 миллионов лишь за первые восемь месяцев этого года, сказал он. И хотя типы атак на мобильные устройства аналогичны таковым на ноутбуках, уровень имеющейся защиты в организациях весьма существенно различается.

В рамках своей традиционной «Недели кибербезопасности» CRN/США рассказывает о наиболее значительных угрозах безопасности, касающихся Android-устройств.

Атаки через приложения

Атаки, нацеленные на приложения для чата или потоковой передачи музыки, — яркий пример того, что вектор атак сместился с десктопов и ноутбуков на мобильные устройства, говорит Виджайа Каза (Vijaya Kaza), директор по развитию компании Lookout из Сан-Франциско.

Любое приложение, в котором есть функция отправки ссылок или URL-адресов, дает возможность злоумышленникам выстроить многоходовую атаку с применением социальной инженерии, используя сообщения или ссылки, и убедить пользователя раскрыть свои идентификационные данные, чтобы получить доступ к нужной им цели, говорит Каза.

Кроме того, вредоносный код может быть скрыт внутри безобидно выглядящих приложений, говорит Каза. К примеру, было обнаружено чат-приложение, предназначенное для пользователей Ближнего Востока, которое на самом деле ведет слежку, будучи установлено на устройство.

Банковские трояны

При желании в Сети можно найти множество троянов для банковской сферы, которые легко модифицировать для конкретной цели, говорит Каза из Lookout.

На официальных витринах приложений действуют надежные средства контроля, которые сканируют все поступающие приложения, проверяя их на соответствие заявленным функциям — что они могут и чего не могут делать, говорит Кук из Sophos. И хотя Google Play забраковал уже 700 тысяч приложений, нарушающих те или иные политики, банковские трояны всё же могут иногда проскочить незамеченными и окажутся на витрине.

Злоумышленники используют хитрые методы, чтобы обмануть средства контроля витрин приложений: например, после установки проверенного приложения оно соединяется с командным серверов хакеров и загружает вредоносный код на устройство. А уж если злоумышленнику даже не приходится искать пути обхода такого контроля, он может достигнуть своей цели с еще меньшими усилиями, сказал Кук.

Атаки на системное ПО и по каналам связи

Помимо загружаемых приложений, атаки на Android могут быть нацелены на ПО в самих устройствах и на каналы связи, такие как Wi-Fi или Bluetooth, используя близость к устройству как еще один маршрут проникновения, говорит Каза из Lookout.

Пока вендоры безопасности развивали свою бизнес-модель, хакеры тоже не сидели сложа руки и создали очень тонко настраиваемый инструментарий, позволяющий применять вредоносное ПО-как услугу, говорит Каза.

Самый большой риск, с которым сталкиваются здесь организации, это доступ к файловой системе мобильных устройств, который смогут получить хакеры, или атаки фишинга, где злоумышленникам удастся убедить пользователей нажать на инфицированные ссылки.

Криптоджекинг

Мобильные устройства привычно считались не слишком привлекательными для криптоджекинга — скрытного использования для майнинга криптовалют, — поскольку их вычислительная мощь невелика, говорит Кук из Sophos. Но майнеры, использующие код Coinhive, встроенные в веб-страницы и веб-платформы, изменили это представление, поскольку могут работать в фоновом режиме, в то время как пользователь занят просмотром Web, говорит Кук.

Криптомайнер, внедренный в само устройство, намного усложняет для пользователя его обнаружение и удаление, говорит Кук. Пользователи обычно теперь в курсе, что их устройство участвует в майнинге, и думают, что имеют дело с легальными майнерами, говорит он.

Есть, конечно, явные признаки криптомайнинга: смартфон прожег дыру в вашем кармане, или очень быстро истощился заряд аккумулятора. Многие компании делали попытку заблокировать доступ к известным сайтам майнинга, таким как Coinhive, но мошенники стали встраивать код Coinhive в поддельные приложения, распространяемые вне официальных онлайн-витрин, сказал Кук.

Вредоносная реклама

Через приложения, размещенные на официальной витрине Google Play, распространяется сравнительно мало вредоносного ПО, но есть одна растущая область — вредоносные рекламные объявления, которые подталкивают к потенциально опасным действиям, говорит Филип Хитрий (Filip Chytry), директор по исследованию киберугроз в компании Avast из Праги (Чехия).

Через Play Store вас могут направить к вредоносным сайтам и контенту, говорит Хитрий. Так, в мае 2016 года на Google Play появилась реклама якобы кошелька для криптовалют; на деле она оказалась обманкой, которая в итоге препровождала пользователя к вредоносному контенту.

Атака «человек посередине»

Такие атаки имеют место, когда пользователь думает, что подключился к законной общедоступной сети Wi-Fi, а на самом деле это подставная сеть, говорит Кук из Sophos. Техника осуществления таких атак одна и та же независимо от устройства, но картина взаимодействия со стороны пользователя может быть совершенно разной, сказал он.

Ноутбук, взаимодействующий с веб-браузером злоумышленника, наверно, будет упорно показывать ему, что сертификат недействителен или истек, говорит Кук, но пользователь мобильного устройства, вероятнее всего, будет взаимодействовать с приложением, где нет одного, стандартного способа уведомить его, что сертификат недействителен.

Даже если приложение сможет определить, что используется недействительный сертификат, пользователю, как правило, просто сообщается об ошибке без каких-либо разъяснений, говорит Кук. Информация о сертификате должна предоставляться пользователям в удобном для понимания виде — только тогда она принесет пользу, сказал он.

Атаки фишинга

Длящиеся сложно построенные прицельные атаки на мобильные устройства всё чаще используют фишинг как способ кибершпионажа и чтобы добраться до самой ценной информации, какую можно добыть через смартфон пользователя, говорит Каза из Lookout.

Злоумышленники присылают тщательно подготовленные сообщения, чтобы склонить пользователя щелкнуть их инфицированную ссылку и загрузить вредоносное ПО, которое позволит им скрытно пересылать информацию с его смартфона — например, делать записи звонков или вести аудиозапись, говорит Каза. Мошенники представляются под чужим именем, чтобы убедить пользователя перейти по ссылке, которая запускает установку их средств слежки на его смартфоны.

Злоумышленники весьма поднаторели в социальной инженерии и умеют составлять вполне убедительные обращения, говорит Каза. Фишинг стал сегодня действенным и малозатратным способом добыть нужные сведения у пользователей через Web, добавил он.

Контроль привилегий

Android OS эволюционирует сейчас в том же направлении, что и iOS; в ней совершенствуются механизмы защиты, включая и то, какую информацию разрешается считывать каждому приложению на самом устройстве, говорит Хитрий из Avast. Начиная с версии Android 6.0 Google усилила защиту, касающуюся уровня привилегий каждого приложения, и теперь пользователь каждый раз имеет возможность разрешить либо не разрешить приложению доступ к запрашиваемым данным.

Раньше в Android были специальные приложения, предназначенные для контроля привилегий, которые управляли тем, что могут делать другие приложения на смартфоне, говорит Хитрий. Теперь эта ОС предоставляет пользователю исчерпывающую информацию, когда какое-либо приложение стремится получить доступ к данным на устройстве, сказал он.

Злоумышленники начали исследовать другие, менее очевидные уязвимости, поскольку им стало труднее получить нужные привилегии, чтобы считывать данные с мобильных устройств, сказал Хитрий.

Рутинг

Рутинг — это применение вредоносного ПО, дающего доступ к корневому каталогу Android, при этом пользователь полностью теряет доступ к своему устройству, а атакующий получает над ним полный контроль, пояснил Хитрий из Avast. Впрочем, сейчас стало меньше такого ПО, дающего полный доступ, добавил он.

За последние пару лет было найдено очень много уязвимостей в Android, сказал Хитрий, но пользователи, загружающие приложения с официального сайта Google, меньше рискуют пострадать от такого рода атак.

Сторонние витрины приложений

Всевозможные витрины приложений помимо официальных могут принести большие неприятности пользователям, вплоть до инфицирования их мобильных устройств, поскольку представленные там приложения не прошли проверку у Google, говорит Хитрий из Avast. Код приложений, загруженных с Google Play, был тщательно просканирован, и они были проверены в виртуальной машине, чтобы изучить их поведение, сказал он.

Иное дело — витрины приложений у местных операторов связи или OEM-производителей, у которых зачастую нет возможности столь тщательно проверить все приложения, чтобы понять, соответствует ли их поведение заявленному назначению, говорит Хитрий. Поэтому замаскированные приложения, предназначенные для кражи данных с мобильных устройств, чаще появляются на мелких, сторонних витринах, где нет столь серьезного контроля, сказал он.

Неизвестные и недобросовестные разработчики не имеют доверенного аккаунта у Google, говорит Хитрий, поэтому им проще разместить свои приложения на мелких, сторонних витринах. И хотя 99% пользователей ОС Android в Соединенных Штатах скачивают себе приложения с Google Play, половина мирового рынка Android-приложений приходится сейчас на местные онлайн-витрины, особенно в Китае, Индии и Индонезии, сказал он.

По материалам crn.com.

© 2018. The Channel Company LLC. Initially published on CRN.com, a The Channel Company website, at https://www.crn.com. Reprinted with permission.

Источник: Майкл Новинсон, CRN/США