AVG Threat Report za druhé čtvrtletí 2012
Uživatel telefonu s OS Android je stále lukrativním cílem, tato platforma v současné době zaujímá 59 % na trhu, navíc to vypadá, že bude nejvíce vyváženým operačním systémem pro mobilní telefony až do roku 2016.Mnoho z nových typů malwaru se objevilo v Číně a útočí nejen na tamější uživatele, ale také na okolní trhy, což přesně odráží fakt, že tato oblast je v současné době největším trhem se smartphony, je v ní přes milion mobilních uživatelů webu.
Spojení s Čínou
V tomto čtvrtletí jsme zaznamenali první Android bootkit – DKFbootkit, který se maskuje jako falešná verze legitimní aplikace a ničí Linux kernel kód tím, že ho nahrazuje závadným kódem. Uživatelé jsou podvodem donuceni potvrdit notifikace, které malware posílá, dají mu povolení, aby se přidal do boot sekvence a začal fungovat hned, jakmile je zařízení aktivováno. Tento útok způsobí, že se smartphone přemění v zombie kontrolovanou kyberzločincem, což představuje vážnou hrozbu pro uživatele Androidu. Tento útok se šíří pomocí obchodů s aplikacemi třetích stran – ne v oficiálním Google Play, v Číně.
Autoři malwaru rovněž spamovali v Číně, Jižné Koreji, Japonsku, na Taiwanu a ve Spojených státech, posílali emailovou zprávu infikovanou Trojanem, která se týkala politického vývoje v Tibetu. Tyto zprávy byly rozesílány společně s bezpečnostním bulletinem Microsoftu „Patch Tuesday“. Autoři využili časového rozdílu mezi tím, kdy je bulletin vydán a mezi dobou, kdy ho mohou uživatelé implementovat. Příloha emailu obsahovala vložený šifrovaný spustitelný soubor, který sbírá uživatelovy citlivé informace jako heslo a je schopen stáhnout další přídavný malware na klíčová zařízení určená pro logování nebo stáhne novou konfiguraci pro Trojana.
Yuval Ben-Itzhak, AVG Chief Technology Officer, řekl: „Podle naší zkušenosti přitahuje operační systém pozornost kyberzločinců ve chvíli, kdy získá pětiprocentní podíl na trhu. Když se dostane na deset procent, začnou ho aktivně napadat. Není proto překvapením, že naše zkoumání odkrylo další vzestup v útocích malwaru na Android smartphony s tím, jak jsou tato zařízení populární. Nové útoky se soustřeďují na rootování do zařízení tak, aby kyberzločinec získal plnou kontrolu. Co je ovšem v tomto čtvrtletí nové, je signifikantní nárůst takových útoků původem z Číny.“
Konec antiviru?
I když proběhla vlna senzací při objevení Stuxnetu v roce 2010 a jeho ekvivalentu Flame letos, běžný uživatel nebyl nikdy ovlivněn ani jedním z nich. Ačkoliv byly v obou případech šířeny zvěsti o kyberútocích, Flame nebyl ve skutečnosti záplatou na sofistikovanost Stuxnetu, pokud jde o malware authoring a obzvláště, pokud jde o techniky použité v datové části, ani ty nebyly příliš působivé. Bezpečnostní průmysl si už zvyknul na neočekávanou povahu hrozeb s tradiční detekcí podpisů, která je jen jednou vrstvou v mnohovrstvém bezpečnostním řešení.
Podvody na uživatelích
Poslední verze SQL útoku LizaMoon mass injection klame v tomto čtvrtletí uživatele tím, že využívá lidskou zvědavost a do neexistujících sexuálních videí s celebritami nebo falešných antivirových webových stránek schovává Trojany nebo rogue softwary. Vstříknutí škodlivého kódu do legitimních, ale zranitelných stránek – takový typ útoku cílil na Mozilla Firefox a Microsoft Internet Explorer ve dvou typech útoku. V případě Firefoxu byli uživatelé nalákáni videem Paris Hilton a herečky Emmy Watson a byli požádáni, aby aktualizovali Flash instalaci, aby se na videa mohli podívat. Uživatelé se nikdy na video nepodívali, ale nainstaloval se jim do počítače Trojan, který se vydával za Flash update.
V případě Internet Exploreru obdržel uživatel upozornění, které vypadalo jako ze stránky bezpečnostního programu. Upozornění varovalo uživatele, že byl v jeho počítači objeven malware a že si má stáhnout jejich program, aby se ho zbavil. Takový program je samozřejmě třeba zakoupit. Pokud se uživatel rozhodne nenakoupit, začnou na něho vyskakovat pop up okna, dokud se rogue z počítače nevyčistí. Ve své poslední verzi byl malware aktualizován tak, aby umožnil drive-by download, kdy stačí, aby oběť jen navštívila infikovanou stránku. Už tedy přestává platit, že když uživatel stránku zavře, je v bezpečí.
Aplikace Angry Birds Space od Rovio byla rovněž v přední linii podvodů na uživatelích v tomto čtvrtletí. Plně funkčí Trojan, který používá stejnou grafiku jako pravá verze, byl uploadován na neoficiální obchody s Android aplikacemi. Používá GingerBreak exploit, aby narootoval na zařízení a nainstaloval do něj další malware, zapojil ho do botnetu a umožnil modifikaci souborů a zapojení URL.