Symantec выявила новые виды мобильных угроз

Symantec выявила новые виды мобильных угроз

Корпорация Symantec сообщает о выявлении качественно новых вредоносных программ для мобильных устройств, которые могут лечь в основу следующего поколения мобильных угроз. Пользователи  все  больше  используют  мобильные  устройства  для задач,  которые  раньше  решались  с  помощью  персонального  компьютера,  распространяются технологии  мобильной  оплаты. Все это делает мобильных пользователей привлекательной жертвой для злоумышленников, которые совершенствуют свои приемы, не отставая от производителей мобильных устройств и приложений.

24-27 февраля прошел Международный мобильный конгресс. На мероприятии были показаны инновационные смартфоны и планшеты, которые в течение следующих 12 месяцев станут реальностью. Однако в то время как производители мобильных устройств и приложений с каждым годом предлагают все более совершенные решения, вирусописатели от них не отстают. По данным Symantec за 2013 год, в среднем каждый месяц появлялось 5 новых типов и 272 разновидности вредоносных программ, цель которых – устройства на платформе Android. Эти угрозы наносят вред целым рядом способов, таких как кража личных данных и финансовой информации, слежка за пользователями, отправка с их устройств платных sms-сообщений и отображение назойливой рекламы. В этот раз специалисты Symantec были свидетелями появления нескольких качественно новых вирусов, которые могут лечь в основу следующего поколения мобильных угроз.

Более агрессивные угрозы на Android

Пользователи все чаще пользуются своими смартфонами и планшетами, для того чтобы управлять своими банковскими счетами и совершать онлайн-покупки. Согласно недавнему исследованию института Pew, 51% граждан США управляет своими банковскими счетами через Интернет, а 35% использует для этого свои мобильные устройства. Молодые люди лидируют в этом тренде, что позволяет предположить, что со временем он получит еще большее распространение.

Помимо доступа к банковским приложениям, мобильные устройства также могут использоваться при двухфакторной аутентификации: когда пользователь заходит в свой личный кабинет через персональный компьютер, ему на его мобильное устройство приходит код, который он должен ввести для подтверждения своей личности. 

Злоумышленники учли все эти особенности и разработали вредоносные программы для Android, которые крадут эти коды. Такие угрозы, как Android.Hesperbot и Android.Perkel перехватывают SMS-сообщения с кодом подтверждения и сразу отправляют их злоумышленникам. Они также могут красть другие банковские данные или работать совместно с вирусами для персональных компьютеров, для того чтобы взламывать аккаунты жертв.

Такие угрозы могут стать более распространенными в ближайшие годы, по мере того как набирает популярность концепт «мобильного кошелька». И хотя идея оплаты товаров и услуг при помощи мобильного устройства в физических магазинах еще не стала повсеместной, очевидно, что злоумышленники будут следить за прогрессом и в этой сфере.

Повышая уровень скрытности – буткиты для Android

Буткиты, как правило, применяются в продвинутых угрозах для систем на базе ОС Windows. Такие угрозы осуществляют работу глубоко внутри операционной системы и обычно встраиваются в код инициализации системы, как это делает Master Boot Record, что позволяет осуществлять запуск вредоносной программы еще до запуска самой операционной системы. Подобные программы позволяют злоумышленникам на долгое время сохранять контроль над системой жертвы и предотвращать обнаружение некоторых процессов. В результате этого с буткитами зачастую трудно справиться, поскольку их компоненты защищены руткитами или другими приемами. Symantec предлагает такие решения, как Symantec Power Eraser, Norton Power Eraser и Norton Bootable Recovery Tool, позволяющие удалять подобные угрозы с компьютера.

Недавно угроза типа буткит была обнаружена и на платформе Android, она получила название Android.Gooboot. Этот буткит модифицирует загрузочный раздел устройства и скрипт загрузки, что позволяет запускать вредоносный код прямо в процессе загрузки операционной системы. Удалить эту вредоносную программу особенно трудно, с другой стороны – для того чтобы заразить устройство, злоумышленник должен иметь физический доступ к нему. Также стоит отметить, что Android.Gooboot не несет в себе никаких эксплоитов и не пытается получить никаких особых прав. Однако это дает представление о том, каких Android-угроз стоит ожидать в будущем. На данный момент пользователям стоит с осторожностью относиться к покупке устройств с root-правами.

Новые пути заражения

Как правило, вредоносные программы для Android подразумевают изначальную установку пользователем вредоносной программы через магазины приложений. Однако все более тщательная проверка администрацией магазинов приложений на предмет вредоносного кода делает размещение вирусописателями там своих программ все более трудным. Вместо этого злоумышленники начинают использовать стационарные компьютеры как способ доставки вредоносного ПО на Android-устройства. Это проводит к появлению гибридных угроз.

Недавно обнаруженная угроза, получившая название Trojan.Droidpak, сначала загружается на компьютер под управлением ОС Windows и в конечном итоге загружает файл вредоносного Android-приложения формата APK. При подключении к компьютеру любого Android-устройства троян пытается установить на него этот вредоносный APK-файл, определяемый как Android.Fakebank.B. Если установка проходит успешно, APK-программа начинает искать на устройстве приложение одного конкретного корейского банка, чтобы потом заменить его на зараженную версию.

Для того чтобы защититься от подобных угроз, пользователи должны избегать подключения их мобильных устройств к неизвестным стационарным компьютерам, а также убедиться, что на их компьютере и мобильном устройстве установлены последние версии антивирусного ПО.

Конечно, стационарные компьютеры – не единственный путь работы этих гибридных угроз. По мере того как «Интернет-вещей» будет становиться реальностью, мы, вероятно, увидим угрозы, использующие мобильные устройства как путь заражения систем автоматизации и наоборот.

Растущая угроза мобильных вирусов

Вирусописатели мобильных угроз становятся все более изощренными, часто учась у вирусописателей Windows-угроз или пытаясь ориентироваться на последние технологические тренды. И использование буткитов тому подтверждение. Так же, как в случае с угрозами для стационарных компьютеров, основным мотивом здесь является нажива. По мере распространения технологий мобильной оплаты мобильные устройства становится все более привлекательной жертвой.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Исходники Banshee Stealer слиты в Сеть, подписку на macOS-трояна закрыли

Исходные коды Banshee, программы-стилера для macOS, обнаружены онлайн. Авторы находки скопировали их и выложили на GitHub.

После утечки созданный на основе трояна сервис (MaaS, Malware-as-a-Service), по данным VXunderground, закрылся.

Платный доступ к Banshee стали активно продвигать на хакерских форумах в минувшем августе. Вредонос не очень сложен, поддерживает аппаратные платформы x86_64 и Arm64 и умеет воровать данные из браузеров, криптокошельков и сотни браузерных плагинов.

Авторы инфостилера успели снабдить его только базовой защитой — средствами противодействия запуску из-под отладчика и в виртуальной среде. Примечательно, что зловред также откатывает свое исполнение, когда в предпочтениях выставлен русский язык.

Отметим: утечки исходников вредоносных программ нередки, и злоумышленники охотно используют такие возможности для создания кастомных вариантов и форков. Иногда вирусописатели сами выкладывают свои творения в паблик, обнаружив, что те слишком сильно засветились.

Некоторые создатели зловредов сразу открывают доступ к исходным кодам — как это сделал, к примеру, автор Luca Stealer. Случайные утечки в мире киберкриминала и вовсе редки, как и происки хактивистов — разве что тех раздражает такое оружие, как сталкерский софт.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru