Totul despre viruşii de Android, OS-ul preferat de răufăcători

"Dacă ceva rău se poate întâmpla, se va întâmpla" - Legile lui Murphy.

Evoluţia sistemelor de operare de pe piaţa telefoanelor mobile a atras noi tipuri de viruşi, troieni şi alte malware-uri, multe dintre acestea necunoscute sau ignorate de către utilizatori. Numărul de malware-uri e cu atât mai mare cu cât platforma de operare este mai populară şi mai deschisă. Cu alte cuvinte - balta are peşte şi nimeni nu verifică cine dă cu undiţa.

Sistemul Android corespunde cel mai bine situaţiei descrise, iar pentru a afla informaţii detaliate despre ameninţările actuale, ce pagube pot produce şi cum putem să ne protejăm, am realizat un interviu cu Alexandru Balan, Product Manager - Innovation and Technology BitDefender.

1. De ce Android?

Android este un sistem de operare cu o rata de adoptie extrem de mare. In plus, permite instalarea aplicatiilor si din alte surse decat din piata de aplicatii, lucru care deschide noi posibilitati de infectare.

In acelasi timp, Android Market este o platforma unde oricine poate urca orice tip de aplicatie fara vreo evaluare in prealabil sau fara a fi nevoie de aprobare. Autorii de virusi o pot folosi rapid pentru a distribui diverse amenintari catre milioane de utilizatori.

Android malware

2. Care sunt cele mai răspândite malware-uri pentru Android în momentul de faţă?

Aprilie 2011 - O imitatie a aplicatiei "Walk and Text" (o aplicatie menita sa previna accidentele in cazul utilizatorilor care doresc sa scrie mesaje in timp ce se deplaseaza) trimitea mesaje tuturor persoanelor din lista de contacte: "Hey, just downloaded a pirated App off the Internet, Walk and Text for Android. Im stupid and cheap, it costed only 1 buck. Don't steal like I did!". Virusul, de asemenea, se conecta la un server unde trimitea numele de utilizator al proprietarului telefonului, numarul de telefon si multe alte informatii.

Iunie 2011 - cel putin 10 aplicatii deghizate in cheats sau add-ons pentru popularul joc Angry Birds au fost scoase de pe Android Market. Aplicatiile aveau incorporat un virus de tip spyware numit Plankton care trimitea catre un server informatii de pe telefon (printre altele IMEI, cele mai vizitate site-uri, istoricul browser-ului, etc). Mai multe informatii gasiti la http://www.wired.com/gadgetlab/2011/06/android-malware-angry-birds/.

15 Iunie 2011 - jSMSHider. Un troian care afecteaza telefoane cu sisteme de operare Android personalizate si lansate de grupuri independente. Printre altele, virusul avea capabilitatea de a intercepta mesajele de tip SMS trimise si primite, de a se conecta la un server remote sau de a accesa un URL in background.

jSMShider

În general, aplicatiile de tip malware din acest moment sunt focalizate pe cateva actiuni:

  • Trimit SMS-uri la numere de telefon cu taxa / supra-taxa;
  • Pentru versiunile de Android inainte de 2.3, acestea exploateaza o vulnerabilitate in sistemul de operare si obtin acces complet la telefon (trecand peste limitarile implicite impuse de Android);
  • In cazul virusilor care exploateaza vulnerabilitatea mentionata mai sus, daca exploatarea este reusita, descarca si instaleaza alte aplicatii de pe internet;
  • Blocheaza sau trimit catre un server in internet SMS-urile primite si trimise;
  • Trimit catre un server in internet IMEI-ul si alte informatii de pe telefon sau SIM.

3. Care sunt canalele prin care se răspândesc aceste malware-uri?

Sunt doi principali vectori prin care se pot raspandi. In primul rand, instalarea de aplicatii din alte surse. Pe Android, aplicatiile se pot instala de pe o locatie web, de pe SD card, pot fi descarcate in calculator (sau direct pe telefon) si instalate de oriunde.

In al doilea rand, prin Android Market. Orice fel de aplicatie poate fi urcata pe Market fara a necesita o verificare prealabila si in cele mai multe cazuri, aplicatiile de tip malware sunt scoase de pe market doar dupa ce sunt raportate de catre comunitate ca ar fi periculoase. Aceasta atitudine reactiva permite o fereastra de vulnerabilitate in care utilizatorii se pot infecta. Ca exemplu, o varianta a virusului GEMINI a infectat 50.000 de utilizatori direct de pe Android Market pana cand a fost scos.

Aditional, unii virusi, odata instalati pe telefon, descarca si instaleaza alte aplicatii periculoase.

Android Market

4. Descrieţi cele mai periculoase ameninţări la ora actuală. Cum acţionează şi ce pagube pot produce?

Phishing-ul este o amenintare valabila pentru absolut orice platforma si potentialele pagube sunt deja cunoscute. Pe langa faptul ca un atacator are acces la credentialele utilizatorului, are acces si la toate informatiile acestuia (conturi bancare, informatii confidentiale, si asa mai departe).

Android.Spyware.SmsSpy - este un virus care ruleaza ascuns in background si trimite intr-un SMS mascat, ca raspuns la alt SMS, un mesaj special cu locatia GPS impreuna cu un link catre locatia pe Google Maps.

Android.Trojan.FakePlayer - este un virus care pretinde ca este un video player, dar care de fapt trimite mesaje catre numere cu plata in Rusia. Din fericire, nu mai este pe Android Market, dar poate fi descarcat din multe alte surse.

Android.Trojan.DroidDream - este primul virus te tip troian care a fost gasit pe Android Market. Este, de asemenea, primul virus care incearca sa obtina acces complet la telefon (root) exploatand o vulnerabilitate in sistemul de operare. Odata obtinut accesul, virusul descarca si instaleaza un set de alte aplicatii, timp in care, in paralel trimite catre un server date confidentiale din telefon.

5. La ce alte pericole sunt expuşi utilizatorii care nu folosesc o aplicaţie de securitate pe smartphone?

Intotdeauna am fost de parere ca nu trebuie sa incurajam utilizatorii sa fie ignoranti. Dar in acelasi timp nu ne dorim sa fie nici paranoici, dat fiind ca exista companii care asigura securitatea lasand-i pe ei sa foloseasca device-ul asa cum doresc.

Fara o solutie de securitate, ramane la latitudinea utilizatorului sa faca analiza si sa isi dea seama daca:

  • Website-ul in care isi introduce datele confidentiale este sau nu phishing;
  • Link-ul pe care da click este un link sigur si la capatul celalalt nu este nici o amenintare;
  • Aplicatia pe care si-o instaleaza de pe market sau "De la un prieten" nu este infectata.

6. Ce pot face utilizatorii în cazul în care au contactat deja un virus pe telefon?

Majoritatea solutiilor de securitate sunt capabile sa detecteze si sa elimine virusii. Raspunsul e unul singur: este necesara o solutie de securitate pe device.

7. Cum va evolua "piaţa" de malware mobil în 2012?

Ganditi-va ca din motive 100% legitime si pentru aplicatii 100% legitime, API-ul de Android ofera acces la functii cum ar fi "Acces la sms-uri", "Acces la addressbook", "Acces la date private". De ce ? Pentru ca exista aplicatii pentru gestionarea SMS-urilor sau gestionarea datelor confidentiale. Din pacate, aceste permisiuni pot fi folosite, dupa cum va puteti imagina, si in scopuri mai putin ortodoxe.

Zilnic se pot naste aplicatii care sa abuzeze de acele permisiuni si sa cauzeze serioase probleme utilizatorilor. Banii pierduti din cauza unui virus care trimite SMS-uri la un numar cu plata din Rusia ar putea deveni cea mai mica problema in momentul in care date critice stocate intr-un e-mail citit de pe telefon ajung in mainile unui atacator. Sistemul de operare Android ia amploare si cu cat are o rata de adoptie mai mare, cu atat vor aparea mai multe tipuri de atacuri directionate catre utilizatorii acestuia.

8. Cum va fi îmbunătăţită aplicaţia de securitate mobilă dezvoltată de BitDefender? Va fi disponibilă şi pe alte platforme (Symbian, Windows Phone 7, iOS etc.)?

BitDefender Mobile Security a pornit cu o filosofie de care vom incerca sa ne tinem si in viitor: oferim functionalitatile necesare de securitate utilizatorilor si, in acelasi timp, promitem utilizatorilor ca nu vor avea surprize neplacute cu performanta telefonului sau bateriei.

In acest moment, aplicatia Bitdedefender Mobile Security are cel mai eficient consum de resurse din gama de solutii de securitate prezente pe Android Market, cu o rata de detectie excelenta. De curand, am introdus modulul de WebSecurity care are posibilitatea de a alerta utilizatorul in momentul in care accesaza pagini de tip phishing sau alte amenintari prezente pe web.

In continuare, va urma modulul de AntiTheft si apoi.. avem o lista destul de lunga cu functionalitati pe care ne dorim sa le vedem implementate. Stay tooned...

Cat despre Symbian, Windows Phone 7, IOS… Windows va fi foarte probabil urmatoarea platforma. In paralel, pentru IOS (si Android) avem un proiect pe care il cercetam, dar nu va pot da mai multe detalii in acest moment.

BitDefender Mobile Security

9. Aveţi în vedere lansarea unor versiuni "pro" ale acestei aplicaţii, contra-cost?

Este posibil sa adaugam unele module in aplicatia deja existenta si acele module sa fie contra cost. Altfel, aplicatia la baza va ramane gratuita, cel putin pana in 2012.

10. Dacă ar fi să recomandaţi o alternativă de securitate din Android Market, care ar fi aceasta?

Am analizat si apreciem la modul cel mai sincer majoritatea aplicatiilor de securitate care ne fac concurenta. Dar daca ar trebui sa fiu fortat intr-un anume moment sa aleg o alta solutie decat Bitdefender Mobile Security, probabil ca as alege Lookout.

Lookout