Troienii care afişează reclame nesolicitate, principala ameninţare pentru dispozitivele mobile

Autor: Aurelian Mihai 03.03.2017
Troienii care afişează reclame nesolicitate, principala ameninţare pentru dispozitivele mobile

Potrivit raportului anual Mobile Virusology, realizat de Kaspersky Lab, în 2016 s-a înregistrat aproape o triplare a numărului de detecţii malware pentru dispozitive mobile comparativ cu 2015 – cu un total de 8,5 milioane de programe malware identificate. Pe primul loc sunt troienii care afişează reclame nesolicitate, reprezentând 16 din Top 20 programe malware detectate, de la 12, în 2015.

În 2016, produsele de securitate Kaspersky Lab pentru dispozitive mobile au detectat:

  • Aproape 40 de milioane de tentative de atacuri realizate prin malware mobil, şi peste 4 milioane de utilizatori de dispozitive Android protejate (comparativ cu 2,6 milioane în 2015);
  • Peste 260.000 de detecţii ale unor pachete de instalare a troienilor ramsomware pentru dispozitive mobile (o creştere de aproape 8,5 ori, faţă de anul trecut);
  • Mai mult de 153.000 de utilizatori unici vizaţi de programe de ransomware pentru mobil (o creştere de 1,6 ori comparativ cu 2015);
  • Peste 128.000 de troieni bancari pentru dispozitive mobile detectaţi (de aproape 1,6 ori mult decât în 2015).

Troieni care afişează reclame

Cel mai răspândit tip de malware din 2016, troieni care afişează reclame sunt capabili să obţină drepturi de administrator, putând nu doar să afişeze în mod agresiv reclame – care, de obicei, fac imposibilă folosirea acestora – pe dispozitivele infectate, ci şi să instaleze în secret alte aplicaţii. Mai mult, aceşti troieni pot să cumpere aplicaţii de pe Google Play.

În multe cazuri, troienii au reuşit să exploateze vulnerabilităţi rezolvate deja, deoarece utilizatorul nu îşi instalase ultima versiune disponibilă.

În plus, acest malware îşi instalează simultan modulele în director, ceea ce face repararea dispozitivului infectat foarte dificilă. Câţiva troieni care afişează reclame sunt chiar capabili să infecteze partiţia de recuperare pentru sistemul de operare, făcând imposibilă rezolvarea problemei prin revenirea dispozitivului la setările din fabrică.

Reprezentanţii acestei clase de malware au fost găsiţi de mai multe ori în magazinul oficial Google Play, de exemplu, deghizaţi sub forma unui ghid pentru Pokemon GO. În acest caz, aplicaţia a fost descărcată de peste 500.000 de ori şi este detectată ca Trojan.AndroidOS.Ztorg.ad.

Perspective pentru ransomware-ul mobil

În 2016, au fost atacaţi 153.258 de utilizatori unici din 167 de ţări cu troieni cu funcţionalitate ransomware, un număr de 1,6 ori mai mare decât în 2015.

Ransomware-ul modern afişează ferestre cu mesaje de solicitare a unei sume de bani, făcând imposibilă utilizarea dispozitivului. Acest principiu a fost utilizat de cel mai popular program ransomware pentru mobil, din 2016 – Trojan-Ransom.AndroidOS.Fusob.

Acest troian atacă mai ales utilizatori din Germania, Statele Unite şi Marea Britanie, dar evită utilizatorii din Comunitatea Statelor Independente şi din câteva state vecine. Odată lansat, verifică limba dispozitivului şi, după obţinerea câtorva rezultate, poate să oprească instalarea. Infractorii cibernetici din spatele troianului cer între 100 şi 200 de dolari pentru a debloca dispozitivul. Răscumpărarea trebuie să fie plătită folosind coduri de carduri prepaid iTunes.

Troienii bancari pentru dispozitive mobile: o ameninţare în creştere

În 2016, peste 305.000 de utilizatori din 164 de ţări au fost atacaţi cu troieni bancari pentru mobil, comparativ cu peste 56.000 de utilizatori din 137 de ţări, anul trecut;

Rusia, Australia şi Ucraina sunt în top 3 ţări afectate în ceea ce priveşte procentul utilizatorilor atacaţi de troieni bancari pentru mobil, raportat  la toţi utilizatorii afectaţi de malware mobil.

Mulţi dintre troienii bancari pentru mobil au evoluat pentru a evita noile mecanisme de securitate Android şi au fost capabili să fure date personale chiar şi din cele mai recente versiuni ale sistemului de operare. În acelaşi timp, dezvoltatorii de troieni bancari pentru mobil îşi îmbunătăţesc creaţiile permanent. De exemplu, familia Marcher a reuşit ca, în afară de substituirea aplicaţiilor obişnuite de banking, să redirecţioneze utilizatorii de la site-urile instituţiilor financiare către pagini de phishing.

Dark Web

Conform ofiţerilor de la INTERPOL Global Complex for Innovation, care au contribuit la raport, Dark Web rămâne un mediu atractiv pentru afaceri şi activităţi ilicite. Date fiind anonimitatea, preţurile scăzute şi strategia orientată pe client, Dark Web le oferă infractorilor posibilitatea să comunice şi să participe la tranzacţii comerciale, cumpărând şi vânzând diferite produse şi servicii, inclusiv kit-uri malware pentru mobil. Acest malware mobil este oferit spre vânzare în pachete software, soluţii individuale şi instrumente complexe, ca acelea dezvoltate de firme specializate. Malware-ul mobil este, de asemenea, un ”subiect de interes” în magazinele furnizorilor, pe forumuri şi în social media.

În 2016, a crescut în continuare numărul troienilor care afişează reclame şi care sunt capabili să obţină drepturi de administrare”, precizează  Roman Unuchek, Senior Malware Analyst la Kaspersky Lab USA. “De-a lungul anului, aceştia au fost ameninţarea principală şi nu vedem o schimbare a acestei tendinţe. Infractorii cibernetici profită de faptul că cele mai multe dispozitive nu primesc actualizările sistemelor de operare sau le primesc târziu şi sunt, aşadar, vulnerabile în faţa unor exploit-uri vechi, binecunoscute şi uşor de găsit. Mai mult, vedem că peisajul mobil devine puţin cam aglomerat pentru infractorii cibernetici, iar ei încep să interacţioneze mai mult cu lumea de dincolo de smartphone-uri. Probabil în 2017 vom vedea atacuri majore asupra unor componente IoT, lansate de pe dispozitive mobile.