Мобильная эпидемия - «Новости Банков»

Один из главных советов специалистов по безопасности звучит примерно так: устанавливайте на смартфон приложения только из официального магазина. Однако на практике может оказаться, что, установив приложение из Play Market или App Store, пользователь заразит свой смартфон вредоносной программой.

Социальная инженерия

Заразить смартфон пользователя незаметно от самого пользователя можно, но довольно сложно. Для этого необходимо предпринять ряд довольно нетривиальных действий. Поэтому злоумышленники часто прибегают к другому способу доставки вредоносного ПО на устройство пользователя — социальной инженерии.

Со многими пользователями этот метод в нашей стране работает особенно хорошо. Почему именно в России? Согласно исследованию, проведенному Synovate Comcon, в 2015 году пользователи стали больше платить за контент, чем в прошлом. Однако этот показатель составлял во второй половине прошлого года всего 46%. Несмотря на то что виден явный рост, большая часть пользователей платить за программное обеспечение по-прежнему не готова.

Что представляет собой такая «вредоносная» социальная инженерия? В ход идут разные способы, от рассылок со взломанных аккаунтов социальных сетей или мессенджеров до спама и баннерной рекламы. В социальных сетях могут быть созданы целые группы, посвященные, например, какой-то определенной игре или приложению.

Некоторые такие сообщества легко распознать по отсутствию комментариев, другие же отличить от настоящего довольно сложно — все зависит от того, сколько времени было потрачено на его создание. Целей у подобных групп две: заставить доверчивого пользователя перейти по ссылке на страницу, где на него будет оформлена платная подписка, либо загрузить зараженный файл. Насторожиться следует в тот момент, когда после клика по ссылке вместо официального магазина приложений откроется сайт-файлообменник.

Контрольная закупка

Однако гораздо сложнее распознать фейковое приложение, размещенное в официальном магазине. В качестве одного из громких примеров можно привести вредоносную игру Cowboy Adventure, обнаруженную специалистами ESET летом прошлого года. По статистике магазина, приложение было скачано в диапазоне от 500 тыс. до 1 млн раз (более конкретной статистики в Play Market нет).

Сама игра была полностью работоспособной, однако в ней имелся один нюанс: для того чтобы результаты игрока отображались в общей турнирной таблице, необходимо было ввести свои идентификационные данные для Facebook. Именно за ними и охотились злоумышленники. Сколько именно аккаунтов социальной сети подверглись взлому, неизвестно. Утешает лишь то, что не все игроки рискнули передать эти данные приложению.

До недавнего времени среди вирусописателей была популярна стратегия дублирования: в магазин приложений загружалась вредоносная программа с названием, похожим на название популярной программы или игры либо дублирующим его. Отличить такую подделку можно было лишь по имени разработчика. На сегодняшний день количество подобных обманок практически сошло на нет.

Однако злоумышленники взяли на вооружение новую стратегию. В январе этого года аналитики компании «Доктор Веб» сообщили об обнаружении в каталоге Play Market более чем 60 игр, инфицированных различными вирусами. Все эти приложения были вполне работоспособны (хотя качество и оставляло желать лучшего), а помимо своего основного функционала, такие «игрушки» позволяют злоумышленникам собирать данные о владельце смартфона и устанавливать собственное ПО.

Плохо и еще хуже

Однако даже если предположить, что администраторы торговых площадок будут всесторонне проверять загружаемый софт и не допускать возможности загрузки вредоносного ПО, останется еще одна проблема, связанная с уязвимостью в средствах разработки. Так, по словам ведущего вирусного аналитика ESET Russia Артема Баранова, 2015 год ознаменовался атакой на магазин приложений от Apple. Компания настолько ревностно следит за «чистотой» загружаемого ПО, что до сих подавляющее количество вирусов нацелено на взломанные (jailbreak) устройства. Поэтому появление XcodeGhost стало резонансным событием.

«Вредоносный код был интегрирован в среду разработки Xcode, после чего ПО распространялось в китайских файлообменных сетях и на форумах. Опасность в том, что скомпилированное в зараженной среде приложение по умолчанию содержало вредоносный код XcodeGhost. При этом разработчик не подозревал о заражении, и его программа получала легитимную цифровую подпись. Результатом стало появление в App Store сотен или даже тысяч потенциально опасных приложений», — рассказал Банки.ру аналитик.

Исследователь безопасности Digital Security Борис Рютин отмечает, что аналогичная проблема была найдена специалистами компании FireEye: «Они обнаружили библиотеку, которая использовалась в большом количестве приложений из App Store и представляла собой потенциальный бэкдор, с помощью которого можно также записывать аудио, делать скриншоты, открывать ссылки и тому подобное».

Если уж в защищенной экосистеме Apple возникают проблемы, то что говорить о более распространенной операционной системе Android? Здесь можно найти аналогичные проблемы, говорит Рютин: «Желание создавать программы сразу под все платформы не всегда приводит к хорошему результату. Так, найденная уязвимость в программной платформе Apache Cordova позволяет атакующему изменять поведение приложения просто по клику».

Кроме этого, злоумышленники используют незакрытые уязвимости в самой системе. В качестве примера можно привести ситуацию с атакой на компонент системы Stagefright, отвечающий за работу с медиафайлами, в частности с MP4. «Уязвимость […] была найдена исследователем Joshua Drake и позже опубликована. На этом история могла бы закончиться, но, увы, патч (информация, предназначенная для автоматизированного внесения определенных изменений в компьютерные файлы. — Прим. ред.) для нее был не совершенен и привел к появлению новых уязвимостей, по сути, там же. […] Такая уязвимость не могла не привлечь внимание злоумышленников, которые добавили ее эксплуатацию в свои вредоносные программы», — рассказывает эксперт.

Наш паровоз вперед летит

По словам Артема Баранова, в 2015 году каждый месяц появлялось порядка 200 новых образцов вредоносных программ для Android: «Злоумышленники научились встраивать во вредоносный софт механизмы обхода системы анализа файлов Google Bouncer. Кроме того, они совершенствуют навыки маскировки вредоносных приложений под легитимные, что позволяет вводить в заблуждение десятки тысяч пользователей. Нельзя не отметить и широко растиражированную историю об уязвимости Stagefright, которая делала потенциально уязвимыми сотни миллионов устройств».

«В сегменте банковских угроз, связанных с мобильными телефонами клиентов, стало на десять преступных групп больше. Все группы работают по физическим лицам, и количество инцидентов выросло в три раза», — рассказали порталу Банки.ру в компании Group-IB. Основными причинами такого роста, по мнению специалистов, являются увеличение количества пользователей мобильного банкинга и уязвимость мобильной инфраструктуры.

Как защищаться? Использовать как минимум бесплатные версии антивирусных программ и не устанавливать приложения из сомнительных источников, как бы этого ни хотелось. В случае с официальными магазинами обращайте внимание на отзывы пользователей и рейтинг приложения.

Павел ШОШИН,