В последнее время мобильные устройства обзавелись широким функционалом. Еще не так давно максимум, что можно было делать на них, – это запускать простейшие игрушки на java и менять мелодии. Сейчас смартфоны — это процессоры, превосходящие по мощности процессоры настольных компьютеров, считавшихся топовыми совсем недавно, большой объем памяти, современная удобная операционная система с большим количеством игрушек и всеми необходимыми для повседневной работы офисными приложениями.
Все больше и больше сотрудников компаний имеют такие «продвинутые» смартфоны, все чаще эти мобильные устройства используются для работы. Бизнесу это выгодно — сотрудники постоянно находятся на связи, больше времени отдают работе и т. д.
Есть ли «но»? Да, и огромное! Эти устройства, как правило, принадлежат самим сотрудникам, а не компании — практика раздачи корпоративных устройств распространена, но далеко не общепринята. Личные устройства зачастую никак не защищены от злоумышленников. Немного статистики:
Было бы странно, если бы злоумышленники не попытались выйти на этот рынок. Поначалу их попытки были достаточно робкими — вплоть до того, что вредоносные программы распространялись с инструкциями по их установке. Когда появились первые вирусы под Android — и, соответственно, первые антивирусы для противодействия им — многие не верили в саму возможность угроз. По имеющейся информации, руководитель Google по работе с открытым ПО Крис ДиБона (Chris DiBona) написал в своем блоге на Google+, что поставщики антивирусов для мобильных устройств являются мошенниками и шарлатанами. По его мнению, для смартфонов нет такой вирусной опасности, как для Windows. «Антивирусные компании играют на ваших страхах, чтобы наживаться на продаже бесполезной защиты для Android, RIM и iOS». Увы, это не так. Если бы все было действительно так, жить было бы куда проще.
Уверенные в безопасности своих устройств и доверяющие компании-производителю пользователи даже в те далекие времена активно участвовали в распространении вирусов. Только для одного Android.Plankton.1 (его функцией был сбор и передача информации об устройстве злоумышленнику) было зарегистрировано 150 000 загрузок с официального Android Market.
Но постепенно возможности «мобильных» вредоносных программ росли, и сейчас уже все «по-взрослому» — для заражения нужно просто зайти на сайт или подключиться к компьютеру — и там и там устройство уже ждут с распростертыми объятиями. Что могут современные вредоносные программы на вашем мобильном устройстве:
Вы проводите совещание? Ваш Android к услугам злоумышленников — все переговоры будут записаны. Во время переговоров вы кладете свое мобильное устройство перед собой? Отлично, фотографии участников уйдут заказчикам слежки. Нужно обыскать или ограбить офис или вашу квартиру? Android подскажет, где вы находитесь, и поможет спланировать преступление.
Думаете, это все? Мобильные устройства на данный момент предоставляют криминалу куда больше возможностей, чем обычные компьютеры.
Компания работает с системами дистанционного банковского обслуживания и получает подтверждения в СМС? У вас есть счет в банке и/или пластиковая карта, и вы что-то оплачиваете с мобильного устройства? Ваши деньги — это именно то, что нужно криминалу. Просим не любить и не жаловать: Android.SpyEye.2.origin, Android.Panda.2.origin, Android.SmsSpy.6.origin и Android.FakeSber.1.origin.
Для обеспечения безопасности финансовых операций в сети Интернет банковские системы отправляют СМС-сообщения с кодами подтверждения на привязанный к клиентскому счету номер мобильного телефона. Чтобы успешно завершить транзакцию, пользователь должен ввести в специальную веб-форму полученный код (одноразовый код mTAN). Мобильные банковские троянцы предназначены для перехвата СМС-сообщений, передачи mTAN-кодов злоумышленникам, которые выполняют различные финансовые операции с электронными счетами ничего не подозревающих жертв (например, совершают онлайн-покупки).
Типичный способ распространения таких вредоносных программ — социальная инженерия, когда пользователя вводят в заблуждение, предлагая срочное обновление операционной системы или установку некоего сертификата безопасности, необходимого для дальнейшего получения финансовых услуг. А Android.FakeSber.1.origin — первый Android-троянец, направленный против клиентов российского банка, был даже помещен злоумышленниками непосредственно в официальный каталог приложений Google play или Play Market. Данный троянец работал не сам по себе, а «в паре» со знаменитым Trojan.Carberp. В случае удачной установки троянец имитировал ожидаемый пользователем функционал, но при этом незаметно пересылал злоумышленникам все входящие СМС-сообщения, что позволяло в итоге скрыть факт хищения средств.
Необходимо отметить, что большая часть вредоносных программ создается для долговременного незаметного пребывания на зараженном компьютере, — «доить» постепенно всегда выгоднее и безопаснее, чем сразу попытаться увести все деньги. Заметить такие программы неподготовленному пользователю невозможно. К такому ПО, кроме уже упоминавшихся банковских троянцев, относятся шпионские программы и ПО, разработанное для проведения APT-атак. Так, Android.Luckycat.origin должен был обеспечивать не только сбор данных с зараженного устройства, загрузку различных файлов с мобильного устройства и на него, но и выполнение команд, поступающих с управляющего сервера. Android.MailSteal.1.origin, Android.Maxbet.1.origin, Android.Loozfon.origin и Android.EmailSpy.origin собирали всю информацию из телефонной книги (включая адреса электронной почты), а также идентификаторы устройства.
Получив контакты из телефонной книги, злоумышленники могут не просто отправлять спам, а подделывать письма от известных вам отправителей, что существенно повышает вероятность того, что вы поможете злоумышленникам в инфицировании вашего устройства.
Прогресс криминальных структур хорошо иллюстрирует развитие СМС-троянцев, ведущих свою родословную от Android.SmsSend, появившегося еще в 2010 году. Эти вредоносные программы предназначены для отправки дорогостоящих СМС-сообщений и подписки абонентов на различные контент-услуги, что может повлечь серьезные финансовые потери (при этом жертва даже не будет знать, что деньги списаны с ее счета). Чаще всего они распространяются под видом популярных игр и приложений, а также их обновлений, но далеко не только этими способами.
Широкое распространение этого типа троянцев обусловлено тем, что теперь криминальные структуры не только разрабатывают вредоносное ПО, но и, как обычные компании, развивают и продвигают партнерские программы, предлагающие весьма выгодные условия оплаты всем своим участникам.
Выше уже упоминалось, что для установки вредоносных программ на устройство нужно дать на это разрешение, — скажем, скачав самостоятельно некое приложение или клюнув за заманиловку их очередного спам-письма: кому не хочется, к примеру, увеличить время работы аккумулятора?
Но летом 2012 года были зафиксированы многочисленные случаи взлома легитимных веб-сайтов — для заражения устройства достаточно просто зайти на свой любимый сайт. Само инфицирование производилось через уязвимость.
Количество зараженных мобильных устройств все время увеличивается — в прошлом году появились сообщения о создании первых бот-сетей на основе Android. Теперь DoS-атаку можно проводить уже и с мобильных! Есть спрос — есть и услуга. Воспользоваться возможностями Android.DDoS.1.origin мог теоретически любой, кто проявит должный интерес и заплатит соответствующую цену за оказание незаконной услуги.
Шопоголизм – болезнь общества, а вирусы — болезнь устройств. Но троян-шопоголик? В нашем мире возможно и не такое! Android.MMarketPay.origin мог сам покупать приложения в электронном магазине китайского оператора связи China Mobile. Для этого он перехватывал СМС-сообщения с кодами подтверждения совершения покупки, а также обходил проверку captcha, отправляя на удаленный сервер соответствующие изображения для анализа.
Все мы хотим жить, а чем вредоносные программы хуже? У них какая-никакая, а тоже жизнь! Так все тот же Android.Relik.origin завершал работу популярных китайских антивирусных средств — нечего мешать работать криминалу! А Android.SmsSend.186.origin в случае получения прав администратора мобильного устройства становился практически неуязвим. Антивирусные средства, не располагающие функционалом по нейтрализации таких угроз, не могли избавить систему от инфицирования, даже если и детектировали вредоносную программу.
Не стоит думать, что список написанного злоумышленниками для мобильных ограничивается только вышеперечисленными примерами. К сожалению нет. Рост количества угроз для мобильных существенно опережает рост угроз для обычных компьютеров. Да, пока вирусов для того же Android мало – но ведь и появился Android на рынке совсем-совсем недавно
Одной из причин поражения Египта в «войне Судного дня» стало то, что его армии вышли из-под «зонтика» ПВО. Лишившись надежной защиты, танковые соединения были уничтожены, что не позволило отразить встречную атаку... Если пользователи думают, что сами смогут заметить и устранить любую угрозу, полезно вспомнить о данном случае.
