30 мая 2012 г.
Финская ИБ-компания F-Secure Labs сообщает о невиданном росте количества и сложности атак на Android-устройства по сравнению с тем, что было лишь год назад.В своем отчете «Мобильные угрозы: состояние в 1 квартале 2012 г.» компания объясняет это популярностью платформы. В 1 квартале 2011 г. было обнаружено 10 новых семейств и вариантов вредоносного ПО; год спустя эта цифра выросла до 37, т. е. почти вчетверо. В то же время, количество вредоносных запакованных файлов приложений (APK) для Android подскочило за год со 139 до 3063. Авторы отчета полагают, что столь резкий рост вызван главным образом внедрением троянов в приложения (в том числе, в нелегальные копии популярных пакетов) в попытке обмануть антивирус, проводящий анализ сигнатур.
Недавние примеры включают вредоносный код, который был внедрен в нелегальные копии популярной игры Angry Birds. В данном случае игра нормально работала, не создавая подозрений, что скрывало присутствие вредоносного ПО.
«Эти штуки называются "упаковщики", - пояснил Джордж Узи, президент компании Sacramento Technology Group. - Авторы вредоносного ПО внедряют свой код в популярные приложения и начинают ловить пароли и сообщения с мобильных устройства. Пока мы не наблюдали, чтобы они захватили управление устройствами своих жертв, но это наверно следующий шаг. Когда мы увидим, что они начали ловить ввод с клавиатуры мобильных устройств, тогда они смогут получить доступ к чему угодно».
В отчете также говорится, что создатели вредоносного ПО демонстрируют всё больше мастерства в уклонении от обнаружения и в нахождении новых путей инфицирования устройств.
Некоторые семейства, такие как DroidKungFu, GinMaster и FakeInst, начали даже использовать шифрование и рандомизацию. Другой тактикой является скрытие кода в файле изображения, как в случае FakeRegSMS.
«RootSmartA, например, загружает рут-эксплойт, чтобы получить расширенные привилегии на инфицированном устройстве, что позволяет ему устанавливать другие приложения. Он включает также бот-компонент, который может получать команды от сервера, чтобы выполнять злонамеренные действия, такие как неразрешенные вызовы, отправка SMS-сообщений по повышенному тарифу или просмотр видео с повременной оплатой», - говорится в отчете.
«Троянцы определенно атакуют дроидов, - добавил Узи. - Главная задача - обеспечить, чтобы устройство не могло подключиться к корпоративной сети, если нет соединения по VPN. И поскольку это система с обновлением сигнатур, она может отражать вредоносное ПО чуть лучше, чем стандартное ПО защиты. Атаки становятся всё агрессивнее».
Отчет указывает на свидетельства того, что вредоносное ПО для Android «нацелено на использование собственного компонента [ОС] и загружает рут-эксплойт, только когда это необходимо». В отчете говорится также, что рут-эксплойт часто удаляется самим вредоносным ПО в попытке замести следы.
Большинство атак это SMS-баги, которые отправляют сообщения на специальные платные номера, принося им доход. Как правило, вредоносный код находится на соответствующих сайтах, но кое-что уже проникло на магистральный рынок Android.
Эти атаки не только создают риск для рядовых пользователей, но и требуют свежего взгляда на то, как выполняются регулятивные требования в тех или иных вертикалях.
«Людям следует взглянуть на соблюдение регулятивных норм, будь то закон Сарбанеса-Оксли, [стандарты] PCI, HIPAA или что-то еще, после чего признать и устранить дыры в защите, которые создают мобильные устройства, - говорит Узи. - Если вы забываете про мобильные устройства - вы не жилец. Самое надежное, что можно сделать сейчас, это обеспечить использование VPN и многофакторной аутентификации».
Источник: Кен Прести, CRN/США