ХАКЕРСКИЕ БАСНИ. ЧАСТЬ 2.

Новая эра мобильных вирусов

В течение многих лет основной угрозой для мобильных устройств было «клик-джек» и рекламное ПО. Но поскольку мобильное устройство стало более глубоко внедренным в жизнь каждого человека, поскольку мобильный банкинг увеличился, а объединение личных данных на устройствах возросло, возросла привлекательность мобильного устройства как для киберпреступников, так и даже для государств.

В своем первом анализе (PDF) платформы мобильных угроз компания «Crowdstrike» по безопасности конечных точек исследует текущее и развивающееся состояние мобильных угроз и вредоносных программ. Эта угроза усугубляется в целом более слабым уровнем «осознанности мобильной безопасности», чем в традиционных настольных компьютерах и серверах.

Существует пять основных категорий вредоносных программ, хотя многие эксперты упоминают легальную коммерческую шпионскую программу как возможно шестую. «Это значительно снижает барьер для входа при развертывании вредоносного программного обеспечения и должно рассматриваться как часть любой модели угроз для мобильных устройств», - утверждают эксперты.Пять основных категорий - это инструменты удаленного доступа (RAT), банковские трояны, вымогатели, криптомайнеры и - старый фаворит - мошенничество с рекламными кликами.

RAT обычно используются для сбора информации о пользователях. Это особенно привлекательно для мобильных устройств из-за легкого доступа к встроенным средствам, таким как микрофоны, камеры и GPS. Однако после установки RAT может перехватывать SMS-сообщения с акцентом на захват токенов MFA, отправленных на устройство. Сбор неизбирательных данных с помощью мобильных RAT требует мульти платформенных возможностей, и, хотя «iOS» от «Apple» не защищена от RAT, кроссплатформенные RAT сложнее разрабатывают и поддерживают хакеры. По этой причине, предполагают авторы, много платформенные кампании лучше всего подходят для субъектов национального государства - и они указывают на четыре коммерческих компании, которые предлагают такие продукты: «Hacking Team» (Remote Control System - RCS); «Gamma Group» (FinFisher), «NSO Group» (Pegasus) и «DarkMatter» (Карма). Другие высококачественные RAT включают в себя Exodus и AndroRAT.

Трояны мобильного банкинга, которые также часто предоставляют функциональность, аналогичную RAT, являются вторыми по росту зараженностью на мобильных устройствах. Ключевым отличием является возможность развертывания экранных наложений, которые размещают невидимые поля ввода над официальными панелями входа. Учетные данные похищаются, но пользователя часто отправляют в реальную банковскую службу для поддержания функциональности и маскировки вредоносного действия. Варианты этой основной темы включают в себя троян «Gustuff» и «Android», который отправляет push-уведомления на фишинговую страницу. Если пользователя убеждают вводить учетные данные, они записываются с виртуальной клавиатуры устройства.

«Ransomware» - еще одна типичная вредоносная программа для настольных компьютеров, которая в настоящее время предназначена для мобильных устройств. Здесь, однако, широкое использование пользователями облачных хранилищ делает шифрование менее полезным. Вместо этого вредоносная программа имеет тенденцию просто блокировать устройство и разблокировать его только после уплаты выкупа.

Вредоносные программы также обнаруживаются на мобильных устройствах. С одной стороны, криптомайнинг неэффективен на мобильных устройствах из-за зависимости от быстро потребляемой мощности батареи и отсутствия оптимизации алгоритма для мобильных процессоров; но с другой стороны, огромное количество потенциальных устройств-жертв делает его привлекательным. Компания «CrowdStrike Intelligence, - утверждают, что троянские мобильные приложения будут продолжать встраивать крипто-добывающий код из-за относительно низких требований к разработке и риска, которому подвергаются авторы вредоносных программ».

Последняя категория мобильных вредоносных программ - мошенничество с рекламными кликами. Это наименее опасно для пользователя, поскольку в первую очередь оно предназначено для захвата пользователя посредством скрытых HTTP-запросов к конкретным рекламным ресурсам. Тем не менее, он представляет собой ценный источник дохода для недобросовестных ребят, так как «Всемирная федерация рекламодателей» оценивает в 2016 году, что такое мошенничество может составить до 50 миллиардов долларов к 2025 году.

Основное распространение мобильных троянов - это через магазины приложений, распространение с поддержкой фишинга, скомпрометированные веб-сайты и скомпрометированные образы ОС. Первый - самый простой метод. «Сырые» версии бесплатных инструментов или легальных приложений загружаются в магазины приложений в огромном количестве. Некоторые из них всегда будут пропущены процессом проверки приложений в магазине приложений, а некоторые из них будут загружены пользователями. Чем привлекательнее предполагаемый предмет приложения, тем более успешным оно будет - одна серия, предназначенная для запуска игр-симуляторов, загружается 560 000 раз.

Второй способ - отправка поддельных SMS-сообщений со ссылками на фальшивый веб-сайт. Поддельный веб-сайт просит пользователя обновить приложение, но загружает троян.

Атаки на интересы сотрудников также используются. Компания «Crowdstrike» считает, что иранская группа «APT», известная как «Static Kitten» (также известная как «MuddyWater»), использовала сайт турецкой неправительственной организации «Setav». Org для распространения мобильных вредоносных программ в рамках механизма распространения, доставляемого дополнительным целям посредством SMS.

В одном из наиболее эффективных дистрибутиров вредоносное ПО, известное как «SimBad», было установлено примерно в 150 миллионов раз в течение 2018 года.

Основными мотивами мобильных вредоносных программ являются финансовая выгода (как в банковских троянах, вымогателях и мошенничестве с использованием кликов), а также сбор информации или личных данных (с помощью RAT и шпионских программ). Предприятие «Crowdstrike» отмечает, что возможной будущей мотивацией может быть срыв в рамках целевой атаки вымогателей на компании. При ударе вымогателей на компании те часто вынуждены прибегать к мобильным устройствам для продолжения внутренней коммуникации. Однако, если злоумышленники смогут получить доступ к корпоративной системе управления мобильными устройствами, можно будет распространять обновления по беспроводной сети (OTA), которые одновременно устанавливает вредоносное ПО на каждое корпоративное устройство, блокируя их от дальнейшего использования.

Из анализа компании «Crowdstrike» становится ясно, что качество мобильных вредоносных программ, так и изощренность хакеров растет, причем даже государства становятся вовлеченными в эти связи. Это связано с тем, что мобильные устройства являются частью жизни каждого человека, а пренебрежение самыми примитивными методами защиты только подогревает интерес хакеров к данному виду мошенничества. Несмотря на то, что для корпоративных устройств появляются и должны применяться надежные параметры безопасности, для частных пользователей доступно меньше вариантов.Частные пользователи в значительной степени предоставлены своим собственным устройствам - и стандартный совет, повторяемый сотрудниками компании «Crowdstrike», заключается в том, чтобы избегать загрузки из других источников, кроме надежных источников и официальных магазинов приложений, быть в курсе фишинговых методологий и попыток, и неукоснительно проверять операционную систему всякий раз, когда новая версия становится доступной для обновление.