Jak przez 10 lat ewoluowały mobilne zagrożenia

W ostatniej dekadzie powstało bardzo dużo szkodliwego oprogramowania (ang. malware) na urządzenia mobilne. Obecnie znanych jest ponad 400 000 robaków atakujących system Android. Należą one do ponad 300 różnych rodzin.

Rok 2004: pierwsze kroki

Pierwszym na świecie robakiem na telefon komórkowy był Cabir. Został zaprojektowany do infekowania aparatów NOKIA z serii 60 (m.in. model 7650 czy popularna N-Gage) . Efektem jego działania było wyświetlanie się tekstu „Caribe” na ekranie zainfekowanego telefonu. Robak rozprzestrzeniał się na inne znajdujące się w pobliżu urządzenia (telefony, drukarki, konsole do gier itd.), wykorzystując technologię Bluetooth. Zdaniem ekspertów robak ten został zaprojektowany przez grupę hakerów zwaną „29A” jedynie w celu sprawdzenia koncepcji ataku na telefon komórkowy, na co wskazuje jego stosunkowo mało ofensywne działanie.

Rok 2005: ewolucja MMS

CommWarrior, wykryty w 2005 roku, poczynił dalsze kroki, rozszerzając możliwość rozprzestrzeniania się nie tylko przez Bluetooth, lecz także przez MMS. Po zainfekowaniu urządzenia CommWarrior uzyskiwał dostęp do pliku kontaktów i sam się rozsyłał do wszystkich figurujących tam odbiorców, wykorzystując usługę MMS oferowaną przez operatora. Użycie MMS, jako metody rozprzestrzeniania się wprowadziło aspekt ekonomiczny: właściciel telefonu musiał płacić operatorowi za każdy tak wysłany MMS. Wirus CommWarrior atakował również platformę Symbian 60 i został wykryty w ponad 18 krajach Europy, Azji oraz Ameryki Północnej. Liczba zainfekowanych urządzeń mobilnych sięgnęła 115 000, a liczba MMS-ów wysłanych bez wiedzy użytkowników przekroczyła 450 000. Okazało się wówczas po raz pierwszy, że robak na urządzenia mobilne może się rozprzestrzeniać równie szybko jak na PC. W tamtym czasie Symbian był najbardziej popularną platformą smartfonów, z dziesiątkami milionów użytkowników na całym świecie.

Rok 2006: zyski

Po sukcesach robaków Cabir i CommWarrior, wykryty został koń trojański o nazwie RedBrowser, który niósł ze sobą szereg istotnych udoskonaleń w stosunku do swych poprzedników. Pierwsze polegało na tym, że szkodliwe oprogramowanie infekowało telefon za pośrednictwem platformy Java 2 Micro Edition (J2ME). CommWarrior był koniem trojańskim, zamaskowanym, jako aplikacja ułatwiająca korzystanie ze stron internetowych z protokołem WAP (Wireless Application Protocol). Dzięki wykorzystaniu platformy Java, która była powszechnie obsługiwana, hakerzy mogli atakować znacznie szerszą grupę użytkowników niezależnie od producenta telefonu czy systemu. Po drugie – i jest to chyba najważniejsza różnica – CommWarrior został specjalnie zaprojektowany do wykorzystania usługi SMS o podwyższonych opłatach. Właściciel telefonu zazwyczaj był obciążany kwotą ok. 5 dolarów za każdy SMS – oznaczało to kolejny krok na drodze ku wykorzystaniu oprogramowania malware na urządzenia mobilne, jako metody pozyskiwania pieniędzy.

Lata 2007-2008: okres przejściowy

W okresie tych dwóch lat wystąpiła stagnacja w rozwoju zagrożeń dla urządzeń mobilnych, ale rosła liczba aplikacji malware wykorzystujących usługi o podwyższonych opłatach bez wiedzy właściciela urządzenia.

Rok 2009: pojawienie się mobilnego botnetu

Na początku 2009 roku FORTINET wykrył konia trojańskiego o nazwie „Yxes” (anagram wyrazu „sexy”), kryjącego się za aplikacją „Sexy View”. Yxes uzyskał status certyfikowanej aplikacji na system Symbian, ewidentnie wykorzystując osobliwość tego OS-a, która pozwalała autorom na samodzielne „zatwierdzanie” swoich własnych aplikacji.

• Zainfekowany telefon wysyłał książkę adresową do centralnego serwera, a ten z kolei do każdego odbiorcy SMS przekazywał informację zawierającą adres internetowy. Jeśli odbiorca kliknął w ten adres, pobierana była i instalowana kolejna kopia oprogramowania malware. Yxes rozprzestrzeniał się głównie w Azji, gdzie w 2009 roku zainfekował, co najmniej 100 000 urządzeń.

Rok 2010: tworzenie oprogramowania malware na urządzenia mobilne staje się „przemysłem”

W roku 2010 miało miejsce ważne wydarzenie w historii oprogramowanie malware na urządzenia mobilne: przestało ono być procederem dokonywanym przez pojedyncze osoby lub małe grupy, a stało się zorganizowaną działalnością przestępczą na skalę światową.

• Ponadto w roku 2010 pojawiło się pierwsze szkodliwe oprogramowanie na urządzenia mobilne, wywodzące się z platformy PC. Był to Zitmo (Zeus in the Mobile), pierwsze znane rozszerzenie konia trojańskiego Zeus opracowanego na platformę PC w celu kradzieży pieniędzy z kont bankowych. Współpracując z Zeusem, Zitmo pozwalał na obejście zabezpieczenia transakcji bankowych online, opartego na wiadomościach SMS.

Rok 2011: Android, Android i jeszcze raz Android!

W roku 2011 nasiliły się ataki na platformę Android. Pojawił się wówczas DroidKungFu, który nadal uważany jest za jeden z najbardziej zaawansowanych technologicznie wirusów. Wykorzystując dobrze znany exploit (metodę ataku za pomocą luki w zabezpieczeniach) – uDeb albo Rage Against The Cage – wirus przydziela sobie rolę administratora (root) i przejmuje całkowitą kontrolę nad telefonem, który od tej chwili wykonuje polecenia odbierane z serwera. Wirus ten potrafił także uniknąć wykrycia przez oprogramowanie antywirusowe, wygrywając pierwszą bitwę w trwającej wojnie pomiędzy cyberprzestępcami a środowiskiem rozwijającym zabezpieczenia antywirusowe. Podobnie jak w przypadku wcześniejszych wirusów, DroidaKungFu można było zakupić na chińskich forach lub w nieoficjalnych sklepach z aplikacjami online.

• W 2011 roku pojawiło się także szkodliwe oprogramowanie Plankton, nadal zaliczane do najbardziej rozpowszechnionych na platformie Android. Plankton występuje nawet w dużej liczbie aplikacji dostępnych z Google Play – oficjalnego sklepu z aplikacjami do systemu Android. Jest to agresywna wersja oprogramowania typu adware, które pobiera niepożądane reklamy, zmienia stronę startową przeglądarki mobilnej bądź dodaje nowe skróty i zakładki.

Rok 2013: gra toczy się nadal — nowe sposoby ataku

W roku 2013 pojawił się FakeDefend – pierwsze oprogramowanie typu ransomware na telefony z systemem Android. Jest to koń trojański, który ukrywa się pod przykrywką programu antywirusowego i działa analogicznie jak fałszywe programy antywirusowe na platformie PC, tj. blokuje urządzenie i żąda od ofiary zapłacenia okupu (w tym przypadku w formie wygórowanej opłaty „abonamentowej”) w zamian za umożliwienie odzyskania zawartości urządzenia. Zresztą zapłacenie okupu nie daje żadnych efektów i jedynym sposobem odzyskania funkcjonalności urządzenia jest przywrócenie ustawień fabrycznych.

• W 2013 roku pojawił się także Chuli, pierwszy atak APT wykorzystujący oprogramowanie malware na platformę Android. Konto e-mail aktywisty uczestniczącego w Światowej Konferencji Uyghur, która miała miejsce w Genewie w dniach 11-13 marca 2013 roku, zostało wykorzystane do zaatakowania kont innych tybetańskich aktywistów i obrońców praw człowieka. Z zainfekowanego konta zostały rozesłane wiadomości e-mail, które w załączniku zawierały kopię robaka Chuli. Zbierał on następnie takie dane jak przychodzące SMS-y, dane kontaktowe przechowywane na karcie SIM i w telefonie oraz informacje o położeniu, a także rejestrował rozmowy telefoniczne ofiar. Wszystkie te informacje były wysyłane do zdalnego serwera.

Co dalej?

W dziedzinie cyberprzestępczości trudno jest przewidywać przyszłość w skali jednego roku, a co dopiero w skali następnych 10 lat. Zagrożenia na platformy mobilne zmieniły się radykalnie na przestrzeni ostatniej dekady, a środowisko cyberprzestępców w dalszym ciągu poszukuje nowych, coraz bardziej pomysłowych sposobów wykorzystania ataków do jednego celu – uzyskania pieniędzy.

• Poza urządzeniami mobilnymi, najbardziej prawdopodobnym celem przyszłych ataków cyberprzestępców będzie Internet Rzeczy (IoT — Internet of Things). Chociaż prognozowanie liczby połączonych (komunikujących się ze sobą) obiektów w okresie następnych 5 lat jest bardzo trudne, Gartner szacuje, że w 2020 roku będzie to 30 mld obiektów, a IDC — że będzie to 212 mld obiektów. Możemy racjonalnie przypuszczać, że chociaż producenci i usługodawcy w coraz większym stopniu wykorzystują związane z tym możliwości, aspekty bezpieczeństwa nie zostały jeszcze należycie uwzględnione w procesie opracowywania takich nowych produktów.

FortiGuard Labs