Defend what you create

Other Resources

Zamknij

Library
My library

+ Add to library

Profile

Przegląd aktywności wirusów mobilnych według Doctor Web - wrzesień 2015

2 października 2015

Główne trendy września:

  • Pierwszy na tak dużą skalę atak na App Store
  • Wykrycie dużej liczby Trojanów w Google Play
  • Nowe przypadki firmware Androida zainfekowanego złośliwymi aplikacjami
  • Pojawienie się nowego ransomware dla Androida
  • Trojany bankowe wciąż stanowią zagrożenie dla użytkowników urządzeń mobilnych

Liczba wpisów w bazie wirusów Dr.Web dotycząca złośliwego i niepożądanego oprogramowania dla Androida

siepień 2015wrzesień 2015Dynamika
12,50414,033+12.23%

Mobilne zagrożenie miesiąca

We wrześniu jednym z najbardziej znaczących wydarzeń z zakresu bezpieczeństwa urządzeń mobilnych było wykrycie w App Store wirusa IPhoneOS.Trojan.XcodeGhost, gdzie samo App Store było dotychczas uważane za najbardziej pewne źródło aplikacji dla urządzeń z systemem iOS. Jednak cyberprzestępcy znaleźli drogę do ominięcia systemów ochrony sklepu firmy Apple, modyfikując jedno z oficjalnych narzędzi deweloperskich zwane Xcode i oferując fałszywy pakiet twórcom legalnego oprogramowania. W rezultacie zmodyfikowana wersja narzędzia wstrzykiwała złośliwy kod do aplikacji już na etapie ich tworzenia. To prowadziło do faktu, że oryginalnie bezpieczne gry i aplikacje, które zostały “zainfekowane” z użyciem tej metody, były zdolne do przejścia rygorystycznego procesu weryfikacji przez Apple i dostania się do App Store. Z przyczyny, że to podrobione oprogramowanie było dystrybuowane wśród chińskich twórców oprogramowania, większość użytkowników dotkniętych aktywnością IPhoneOS.Trojan.XcodeGhost to właściciele urządzeń z iOS z Chin. Jednak użytkownicy z innych krajów również mogli paść ofiarą tego złośliwego programu, jeśli pobrali zainfekowane wersje legalnych aplikacji.

Gdy aplikacja z wbudowanym IPhoneOS.Trojan.XcodeGhost zostanie uruchomiona, trojan rozpoczyna pozyskiwanie informacji o zainfekowanym urządzeniu (włączając jego rodzaj, nazwę modelu i jego UUID, bieżący język systemowy i dane operatora sieci) wysyłając je na serwer kontrolno zarządzający. Jednakże, główne zagrożenie ze strony IPhoneOS.Trojan.XcodeGhostlies leży w fakcie, że potrafi on wyświetlać fałszywe okienka dialogowe w celu przeprowadzania ataków phishingowych, otwierania linków określonych przez cyberprzestępców, a nawet wykradania haseł z historii schowka.

Trojany bankowe

W zeszłym miesiącu cyberprzestępcy kontynuowali ataki na użytkowników urządzeń z systemem Android w celu kradzieży ich pieniędzy. W szczególności na początku miesiąca analitycy bezpieczeństwa Doctor Web zarejestrowali spamową kampanię SMS wymierzoną w użytkowników zamieszczających reklamy i ogłoszenia na niektórych stronach internetowych. Wiadomości pochodzące z tych kampanii oferowały ofiarom możliwość odwiedzenia strony www w celu uzyskania wiadomości na temat potencjalnej transakcji. Warto zauważyć, że w wielu przypadkach do ofiar zwracano się po imieniu, co czyniło ten cały schemat bardzo wiarygodnym. Jeśli użytkownik otworzył link z takiej wiadomości, na jego urządzenie mobilne pobierany był Android.SmsBot.459.origin, zaprojektowany do wykradania pieniędzy z kont bankowych użytkowników. Aby uzyskać więcej informacji na ten temat, zajrzyj do artykułu opublikowanego przez Doctor Web.

screen

Liczba wpisów w bazie wirusów Dr.Web dotycząca trojanów bankowych z rodziny Android.SmsBot:

siepień 2015wrzesień 2015Dynamika
495520+5%

Trojany w firmware

W połowie września byliśmy świadkami nowego przypadku firmware systemu Android zainfekowanego trojanem. W tym czasie posiadacze tabletu Oysters T104 HVi 3G byli tymi, którzy stali się ofiarami złośliwego programu nazwanego Android.Backdoor.114.origin. Z przyczyny faktu, że ten program jest wbudowany bezpośrednio w firmware urządzenia mobilnego, staje się praktycznie niemożliwy do usunięcia z użyciem typowych narzędzi. Aby móc pozbyć się malware, użytkownik musi uzyskać uprawnienia root’a, co może być trudne (lub nawet niebezpieczne) do spełnienia. Inną drogą do usunięcia problemu jest ponowna instalacja systemu operacyjnego. Głównym celem Android.Backdoor.114.origin jest skryte pobieranie, instalowanie i usuwanie aplikacji po otrzymaniu komendy z serwera kontrolno-zarządzającego. Co więcej, trojan potrafi aktywować wyłączoną opcję instalowania aplikacji z niepewnych źródeł i wysyłać na zdalny serwer kompleksową informację o zainfekowanym urządzeniu. Po więcej informacji na temat tego malware zapraszamy do tego artykułu.

Ransomware dla Androida

We wrześniu niektóre z firm antywirusowych raportowały o wykryciu nowego trojana ransomware dla Androida (nazwanego przez specjalistów Doctor Web Android.Locker.148.origin), który został posądzony o posiadanie nowych metod uzyskiwania uprawnień administratora i ustawiania hasła odblokowania na zaatakowanych urządzeniach mobilnych. Jednakże ten złośliwy program posiada te same funkcje, jak już znane analitykom bezpieczeństwa Doctor Web inne złośliwe programy (wykryte w 2014 roku) — w szczególności takie trojany jak Android.Locker.38.origin i Android.BankBot.29.origin mogą być wymienione w nawiązaniu do tej wiadomości.

Tak jak inne programy należące do tej kategorii, tuż po uruchomieniu się, Android.Locker.148.origin próbuje pozyskać uprawnienia administratora w celu wykonania wszystkich swoich złośliwych działań “na pełną skalę” i w celu ochrony przed usunięciem. Aby to osiągnąć, trojan wyświetla powiadomienie na górze standardowego systemowego okienka dialogowego prosząc użytkownika o zainstalowanie kilku aktualizacji. Dając swoją zgodę użytkownik udziela trojanowi uprawnień administratora. Jeśli do tego dojdzie, trojan będzie zdolny do bezproblemowego zablokowania urządzenia, ustawienia hasła odblokowania i zażądania okupu.

Liczba wpisów w bazie wirusów Dr.Web dotycząca ransomware dla Androida:

siepień 2015wrzesień 2015Dynamika
431490+13.7%

Trojany w Google Play

Pomimo wszystkich wysiłków podejmowanych przez Google w celu zapewnienia jak najwyższej ochrony w Google Play, cyberprzestępcy kontynuują infiltrację tego serwisu ze wszystkimi rodzajami złośliwych aplikacji. Jedna z tych aplikacji, wykryta w wymienionym serwisie i nazwana Android.MKcap.1.origin, została wbudowana w różne gry i posiada dość interesujący zestaw funkcji. W szczególności, cyberprzestępcy wykorzystują ją do automatycznego zapisywania użytkowników na różne płatne usługi. Procedura wygląda następująco: w pierwszym kroku Android.MKcap.1.origin otrzymuje link do strony www z zawartością premium; następnie kopiuje on kod CAPTCHA z tej strony, ładując go na portal www z dobrze znaną usługą rozpoznawania kodów CAPTCHA. Jak tylko obrazek zostanie rozwiązany, trojan przekierowuje rezultat na stronę www z zawartością premium w celu zakończenia procesu rejestracji. Następnie, jeśli podczas rejestracji zostały odebrane od usługi jakieś dodatkowe wiadomości SMS z kodami potwierdzającym, Android.MKcap.1.origin również przetwarza je i przesyła rezultaty na stronę www usługi.

screen   screen

Inny trojan wykryty we wrześniu w Google Play to Android.Backdoor.273.origin. Ten niebezpieczny backdoor używający algorytmu step-by-step do infekowania urządzeń mobilnych został wbudowany w aplikację nazwaną Brain Test. Program sam z siebie nie zawiera złośliwego “arsenału” — jest on ładowany ze zdalnego serwera. Uruchomiony, Android.Backdoor.273.origin pobiera ze zdalnego serwera kilka exploitów i próbuje je wykonać, aby uzyskać uprawnienia root’a. Jeśli się to powiedzie, trojan otrzymuje z serwera drugi złośliwy komponent (wykrywany jako Android.DownLoader.173). Ten komponent jest następnie wykorzystywany przez cyberprzestępców do ładowania i instalowania na urządzeniu innego złośliwego oprogramowania.

screen   screen

Funkcjonalności Android.Backdoor.273.origin są następujące:

Co więcej, we wrześniu wykryto w Google Play kolejnego trojana — ten złośliwy program wbudowany w bezpieczną grę został dodany do bazy wirusów Dr.Web jako Android.MulDrop.67. W zależności od modyfikacji, gdy Android.MulDrop.67 zostanie uruchomiony, potrafi rozpocząć realizację swojej złośliwej aktywności od razu, lub zaczekać 24 godziny aby dopiero wtedy zaskoczyć swoją ofiarę. W obydwóch przypadkach trojan wypakowuje Android.DownLoader.217.origin ze swojego kodu i próbuje zainstalować go na urządzeniu. Co więcej, Android.DownLoader.217.origin prosi użytkownika o udzielenie mu uprawnień administratora, aby uchronić się przed usunięciem. Głównym celem tych złośliwych programów jest wyświetlanie reklam, oraz pobieranie i instalowanie innych trojanów.

Chroń swoje urządzenie z Androidem instalując Antywirusa Dr.Web!

The Russian developer of Dr.Web anti-viruses

Doctor Web has been developing anti-virus software since 1992

Dr.Web is trusted by users around the world in 200+ countries

The company has delivered an anti-virus as a service since 2007

24/7 tech support

© Doctor Web
2003 — 2020

Doctor Web to rosyjski producent oprogramowania antywirusowego Dr.Web. Rozwijamy nasze produkty od 1992 roku.

125040, Rosja, Moskwa, 3. ulica Jamskiego Pola 2-12A