Eksperci z Kaspersky Lab przeanalizowali ewolucję cyberzagrożeń mobilnych w 2016 r. Zaobserwowano niemal trzykrotny wzrost liczby wykrytych mobilnych szkodliwych programów w stosunku do 2015 r. — łącznie zidentyfikowano 8,5 miliona instalacji niebezpiecznych aplikacji. Na prowadzeniu znalazły się trojany wyświetlające reklamy na urządzeniach mobilnych.
Dane pochodzą z corocznego raportu opracowywanego przez Kaspersky Lab. Dokument prezentuje również ewolucję mobilnych trojanów bankowych oraz analizę mobilnego szkodliwego oprogramowania w sieci Dark Web, dostarczoną przez specjalistów z ośrodka Interpol Global Complex for Innovation.
Rok 2016 w liczbach
W 2016 r. produkty bezpieczeństwa Kaspersky Lab dla urządzeń mobilnych zarejestrowały następujące dane statystyczne:
- niemal 40 milionów prób ataków przez mobilne szkodliwe oprogramowanie, przy czym liczba użytkowników chronionych urządzeń z systemem Android wynosiła ponad 4 miliony (dla porównania — w 2015 r. liczba ta wynosiła 2,6 miliona),
- ponad 260 000 wykryć pakietów instalacyjnych dla mobilnych trojanów ransomware wyłudzających okup za odblokowanie danych (8,5-krotny wzrost w stosunku do poprzedniego roku),
- ponad 153 000 unikatowych użytkowników atakowanych przez mobilne oprogramowanie ransomware (1,6-krotny wzrost w porównaniu z 2015 r.),ponad 128 000 wykrytych mobilnych trojanów bankowych (niemal 1,6-krotnie więcej niż w 2015 r.).
Trojany wyświetlające reklamy
Najbardziej rozpowszechnionym typem cyberzagrożeń mobilnych w 2016 r. były trojany wyświetlające reklamy.
Trojany te potrafią uzyskiwać uprawnienia na poziomie administratora zainfekowanego smartfona/tabletu, co pozwala im nie tylko agresywnie wyświetlać reklamy na urządzeniu (w efekcie korzystanie z urządzenia może być bardzo utrudnione lub nawet niemożliwe), ale również ukradkowo instalować inne aplikacje. Trojany te potrafią także automatycznie kupować aplikacje w oficjalnym Sklepie Play firmy Google.
W wielu przypadkach trojany potrafiły wykorzystać luki w zabezpieczeniach, dla których istniały już łaty, jeśli użytkownik nie zainstalował najnowszej aktualizacji.
Co więcej, szkodniki tego typu instalują jednocześnie swoje moduły w folderze systemowym, co znacznie utrudnia leczenie zainfekowanego urządzenia. Niektóre trojany wyświetlające reklamy potrafią nawet zainfekować obraz odzyskiwania systemu, uniemożliwiając rozwiązanie problemu poprzez przywrócenie urządzenia do ustawień fabrycznych.
Przedstawiciele szkodliwego oprogramowania tej klasy byli wielokrotnie wykrywani w oficjalnym sklepie z aplikacjami firmy Google, podszywając się np. pod przewodnik do gry Pokemon GO. W tym przypadku aplikacja została pobrana ponad 500 000 razy i jest wykrywana przez rozwiązania Kaspersky Lab jako Trojan.AndroidOS.Ztorg.ad.
Mobilne oprogramowanie ransomware: dalszy rozwój
W 2016 roku 153 258 unikatowych użytkowników z 167 państw zostało zaatakowanych przez trojany żądające okupu — 1,6-krotnie więcej niż w 2015 r.
Współczesne mobilne oprogramowanie ransomware nakłada okna z żądaniem okupu, uniemożliwiając tym samym korzystanie z urządzenia. Zgodnie z tą zasadą działał najpopularniejszy mobilny program ransomware w 2016 roku — Trojan-Ransom.AndroidOS.Fusob.
Trojan ten atakuje głównie użytkowników w Niemczech, Stanach Zjednoczonych oraz Wielkiej Brytanii, omija natomiast użytkowników ze Wspólnoty Niepodległych Państw oraz niektórych państw sąsiednich. Po uruchomieniu szkodnik sprawdza język urządzenia, a po uzyskaniu określonych wyników może zakończyć działanie. Odpowiedzialni za to zagrożenie cyberprzestępcy żądają zwykle od 100 do 200 dolarów za odblokowanie urządzenia. Okup należy zapłacić przy użyciu kodów z kart do sklepu iTunes firmy Apple.
Mobilne trojany bankowe: rosnące zagrożenie
W 2016 roku ponad 305 000 użytkowników w 164 krajach było atakowanych przez mobilne trojany bankowe. Dla porównania — rok wcześniej cyberprzestępcy finansowi atakowali 56 000 użytkowników urządzeń mobilnych w 137 krajach.
Mobilne trojany bankowe ewoluowały przez cały rok. Wiele z nich zyskało narzędzia pozwalające na omijanie nowych mechanizmów zabezpieczających w systemie Android i nadal mogło kraść informacje dotyczące użytkowników z najnowszych wersji tego systemu operacyjnego. Jednocześnie twórcy mobilnych trojanów bankowych nieustannie udoskonalali swoje szkodniki o nowe możliwości. Na przykład rodzina Marcher, oprócz typowej funkcji nakładania się na aplikacje bankowe, przekierowywała użytkowników ze stron internetowych instytucji finansowych na oszukańcze strony phishingowe.
Widmo sieci Dark Web
Według specjalistów z ośrodka Interpol Global Complex for Innovation, którzy wnieśli wkład w stworzenie raportu Kaspersky Lab, tzw. sieć Dark Web, zwana mroczną stroną internetu, nadal stanowi atrakcyjne środowisko prowadzenia nielegalnych transakcji i działań.
Ze względu na anonimowość, niskie ceny oraz strategię zorientowaną na klienta Dark Web umożliwia przestępcom komunikowanie się i przeprowadzanie transakcji handlowych, a także nabywanie i sprzedaż różnych produktów oraz usług, w tym zestawów do tworzenia mobilnego szkodliwego oprogramowania. Mobilne szkodliwe oprogramowanie jest oferowane na sprzedaż w formie pakietów oprogramowania (np. trojanów zdalnego dostępu — RAT), indywidualnych rozwiązań i wyrafinowanych narzędzi opracowanych przez profesjonalnych programistów. Niezaawansowani technicznie przestępcy mogą także wynająć konkretny atak w modelu „cyberzagrożenie jako usługa”.
– W 2016 r. miał miejsce dalszy wzrost liczby trojanów wyświetlających reklamy, które potrafiły wykorzystywać prawa administratora. Było to główne zagrożenie w całym roku i nic nie wskazuje na zmianę tego trendu. Cyberprzestępcy wykorzystują fakt, że większość urządzeń nie otrzymuje aktualizacji systemu operacyjnego (lub otrzymuje je z dużym opóźnieniem), w wyniku czego występują w nich stare, dobrze znane i łatwe do wykorzystania luki w zabezpieczeniach. Co więcej, można zauważyć, że krajobraz mobilny staje się nieco zatłoczony dla cyberprzestępców i coraz częściej zaczynają oni wychodzić poza świat smartfonów/tabletów. Być może w 2017 r. będą miały miejsce znaczące ataki na urządzenia Internetu Rzeczy przeprowadzane z urządzeń mobilnych — powiedział Roman Unuchek, starszy analityk szkodliwego oprogramowania, Kaspersky Lab.