Wyzwania cyberbezpieczeństwa w roku 2020 według SOPHOS – część II: Urządzenia mobilne w akcji

Grzegorz

Zapraszam na kolejną część raportu SOPHOS, opisującego wyzwania stojące przed administratorami IT w roku 2020. W dzisiejszym artykule zajmiemy się urządzeniami mobilnymi i faktem, że są one nieodłącznym elementem naszego życia, a niejednokrotnie bagatelizujemy ich znaczenie i ochronę informacji, które w nich przechowujemy.

Pierwszą część raportu, opisującą ransomware można znaleźć TUTAJ

Brzydkie zagrywki przynoszą efekty

W ubiegłym roku zaobserwowaliśmy zwiększającą się różnorodność ataków mobilnych wykorzystywanych przez przestępców mających na celu atakowanie właścicieli smartfonów. Kieszonkowe komputery, które wielu z nas nosi, zawierają mnóstwo osobistych i poufnych informacji, które ujawniają wiele o naszym codziennym życiu. Wbrew pozorom, napastnicy wcale nie muszą kraść tych informacji, aby czerpać korzyści z ataku. Coraz częściej polegamy na tych urządzeniach, aby zabezpieczyć nasze prywatne konta, wykorzystując uwierzytelnianie dwuskładnikowe poprzez wiadomości SMS lub przy użyciu aplikacji uwierzytelniających na samych telefonach komórkowych. Wiele ataków „SIMjacking”, które miały miejsce w ubiegłym roku, ujawniło, że atakujący biorą sobie na cel słabe ogniwo między klientami a dostawcami telefonów komórkowych, które może być łatwo skompromitowane za pomocą inżynierii społecznej, co  w konsekwencji doprowadziło do kilku głośnych kradzieży zarówno kryptowaluty, jak i środków finansowych od zamożnych osób.

 Złośliwe oprogramowanie pozostaje największym problemem, przede wszystkim (choć nie wyłącznie) na platformach Android i iOS. Aby temu zaradzić, właściciele dużych sklepów z oprogramowaniem, Apple i Google, skanują aplikacje w poszukiwaniu cech wskazujących na to, że mogą one zawierać kod, o którym wiadomo, że jest wykorzystywany w złośliwy sposób. Jeśli skanowanie zarejestruje podejrzane zachowania aplikacji, to jest ona automatycznie oznaczana jako niebezpieczna. Niestety mechanizm ten nie jest idealny – niektórzy twórcy oprogramowania opracowali genialne metody ukrywania prawdziwych intencji swoich aplikacji przed kontrolą Google (lub badaczy bezpieczeństwa).

Pomyślmy, co się stanie, jeśli programista tak napisze swoją aplikację, aby uniknąć kontroli systemów Google i nadal będzie oszukiwać użytkowników, stosując nieuczciwe metody? W połączeniu z bardzo rozdrobnionym ekosystemem Androida, w którym wielu producentów urządzeń rzadko oferuje aktualizacje systemu operacyjnego, urządzenia mobilne pozostają łatwym celem ataków.

Pieniądze z reklam zasilają oszustów

Reklama pomaga twórcom aplikacji utrzymać się na rynku, a jednocześnie zapewnia użytkownikowi w rewanżu przydatne aplikacje. W samych reklamach nie ma nic złego, pod warunkiem, że celem aplikacji nie jest maksymalizacja przychodów z reklam – kosztem praktycznie wszystkiego innego.

Aby osiągnąć wspomniany wyżej cel, programiści aplikacji mobilnych oszukują klientów i systemy naliczania wynagrodzeń za reklamy. Niektórzy twórcy publikują w sklepie aplikacje zawierające w większości pracę innej osoby, a sama aplikacja jest połączona z bibliotekami reklamowymi, które nie są częścią oryginalnej aplikacji właściwego autora. Ponieważ aplikacje tego typu nie zawierają jawnie złośliwego kodu, automatyzacja zastosowana do skanowania aplikacji po ich pierwszym przesłaniu do Sklepu Play zgłasza, że ​​są one łagodne i umożliwia ich dopuszczenie do pobrania przez konsumentów.

Inni programiści tworzą oryginalne aplikacje, które oprócz podanych funkcji, wykorzystują specjalnie opracowane instrukcje, które automatycznie generują „pseudokliknięcia” treści reklamowych, aby przekonać reklamodawców, że użytkownicy aplikacji byli tak niesamowicie zachwyceni reklamami wyświetlanymi w aplikacji, że klikali w nie bez opamiętania. Gdy użytkownik faktycznie kliknie reklamę, sieć reklamowa płaci premię twórcy, którego aplikacja przedstawiła użytkownikowi reklamę. Fałszywe kliknięcia gwarantują, że partner reklamowy otrzyma premię za reklamy za każdym razem, gdy użytkownik fizycznie kliknie w baner z reklamą. Niektóre z tych zwodniczych aplikacji zgłaszają sfałszowany ciąg User-Agent reklamodawcom, dzięki czemu całe zachowanie wygląda tak, jakby sztucznie wygenerowane kliknięcia, z jednej aplikacji na systemie Android na jednym urządzeniu, faktycznie powstały w kilkudziesięciu różnych aplikacjach na różnych urządzeniach.
Oszustwo to odbija się nie tylko na reklamodawcach, ale również i na samych użytkownikach, ponieważ zauważają oni, że aplikacje, które biorą udział w tego typu oszustwach reklamowych, zużywają ogromne ilości danych, nawet gdy telefon jest w trybie uśpienia. W konsekwencji doprowadza to do skrócenia żywotności baterii, generuje wyższe opłaty za wykorzystanie danych mobilnych i obniżoną wydajność urządzenia.

Fleeceware – nowa metoda wyłudzania środków przez aplikacje 

W ubiegłym roku laboratoria Sophos odkryły grupę aplikacji, które wykorzystują nowatorski model biznesowy, który nazwany został fleeceware. Aplikacje tego typu istnieją wyłącznie po to, by klienci tracili bardzo duże pieniądze. Same aplikacje nie spełniają nijak definicji złośliwej aplikacji, ani nie wykazują żadnej złośliwej aktywności, nie są również uważane za potencjalnie niechciane aplikacje, czy też takie, które miałyby cokolwiek uszkodzić. Twórcy aplikacji fleeceware korzystają z modelu biznesowego zakupów w aplikacji dostępnego w ekosystemie Sklepu Play na Androida. Użytkownicy mogą pobierać aplikacje i korzystać z nich bezpłatnie przez krótki okres próbny, ale muszą za to podać informację o wybranej przez siebie formie płatności dla programisty na samym początku okresu próbnego. Jeśli użytkownik nie anuluje okresu próbnego przed jego wygaśnięciem, programista obciąża użytkowników regularnie bardzo wysoką kwotą za użytkowanie aplikacji z funkcjami tak prostymi, jak darmowe filtry fotograficzne czy skanery kodów kreskowych. Wielu użytkowników błędnie  zakłada, że odinstalowanie aplikacji kończy okres próbny, ale programiści są o krok przed nimi – wymagają przejścia procesu anulowania subskrypcji. Jeśli po wygaśnięciu okresu próbnego, użytkownik nie odinstalował aplikacji, ale poinformował programistę, że nie chce dalej z niej korzystać, programista pobiera specjalną opłatę za rezygnację z korzystania z aplikacji. I koło się zamyka.

 Pseudobankowe aplikacje unikają kontroli w Sklepie Play

Aplikacje zaprojektowane w celu kradzieży danych uwierzytelniających nasze konta bankowe od dawna niepokoją użytkowników Androida.
Aplikacje dostępne za pośrednictwem Sklepu Google pojawiły się jako te związane z finansami, jednakże dopiero w drugim etapie ujawniają one swoją prawdziwą naturę. Ponieważ złośliwy kod nie jest obecny w pliku .apk, dopóki użytkownik nie pobierze i nie zainstaluje aplikacji na swoim urządzeniu, usługom skanowania bezpieczeństwa Google bardzo trudno jest wykryć i zapobiec tym zagrożeniom. Twórcy aplikacji do wyłudzania danych bankowych zaczęli również nadużywać różnych uprawnień aplikacji na Androida, takich jak pozwolenie na dostęp (które ma pomóc użytkownikom niepełnosprawnym). Złośliwe aplikacje używają tego uprawnienia, aby przyznać sobie prawa do monitorowania działań użytkownika, takich jak naciśnięcia klawiszy na klawiaturach wirtualnych, gdy użytkownicy logują się do zaufanych aplikacji bankowych.

Ukryte aplikacje adware typu hiddad

Hiddad to rodzina szkodliwego oprogramowania, której głównym celem jest zarabianie poprzez agresywną reklamę. Oprogramowanie to przynosi autorowi zyski tak długo, jak długo pozostaje niewykryte i nieusunięte przez użytkownika. W związku z powyższym takie aplikacje ukrywają się w celu uniknięcia prób odinstalowania.
Złośliwe oprogramowanie  typu hiddad ukrywa ikonę aplikacji w zasobniku aplikacji i programie uruchamiającym (launcherze) co więcej często tworzony jest skrót do aplikacji, który nie umożliwia jej usunięcia. Złośliwe oprogramowanie hiddad może również nadawać sobie nieszkodliwe nazwy i systemowe ikony w ustawieniach telefonu. Złośliwe oprogramowanie tego typu zwykle przyjmuje formę legalnej aplikacji, takiej jak czytnik kodów QR czy aplikacja do edycji obrazów. Autorzy bardzo często udostępniają go w sklepach z aplikacjami, aby szybko zainfekować dużą liczbę urządzeń, a tym samym znacząco zwiększyć przychody reklamodawcy. Niektóre aplikacje tego typu wielokrotnie proszą użytkowników o wysoką ocenę aplikacji  lub instalują dodatkowe aplikacje, aby szybko zwiększyć popularność i liczbę instalacji. Tylko we wrześniu 2019 r. W Sklepie Play odkryto co najmniej 57 aplikacji typu hiddad, których łączna liczba instalacji wynosi około 15 milionów. Laboratoria Sophos odkrywają nowy zestaw takich aplikacji regularnie co kilka tygodni. Wielu z tych aplikacji udało się uzyskać ponad milion pobrań w ciągu kilku tygodni od pojawienia się w Internecie.
Aplikacje typu hiddad będą na pewno jednymi z najchętniej wykorzystywanych przez cyberprzestępców w 2020 roku.

źródło: opracowanie własne oraz Sophos Threat Report 2020: https://www.sophos.com/en-us/medialibrary/PDFs/technical-papers/sophoslabs-uncut-2020-threat-report.pdf

Spodobało Ci się? Udostępnij.
Share on FacebookShare on Google+Tweet about this on TwitterShare on LinkedInEmail this to someone