Δεκα χρονια mobile malware

Tο 2014 σηματοδοτεί τη δέκατη επέτειο του κακόβουλου λογισμικού για τις φορητές συσκευές. Όλα ξεκίνησαν το 2004, όταν η πρώτη παραλλαγή του SymbOS.Cabir εξετάστηκε από τους ερευνητές ασφαλείας. Η ανάλυση αποκάλυψε ότι αυτό το worm στόχευε το SymbOS.Cabir, το οποίο ήταν ένα πολύ δημοφιλές λειτουργικό σύστημα κινητών εκείνη την περίοδο. Τα τηλέφωνα που είχαν προσβληθεί από το worm, έψαχναν για κοντινές συσκευές με Bluetooth και ενεργοποιημένη τη λειτουργία εντοπισμού, και ο ιός θα προσπαθούσε να εισχωρήσει σ’ αυτά. Ο χρήστης θα έπρεπε να αποδεχτεί χειροκίνητα τη μεταφορά του αρχείου και επίσης θα έπρεπε να συμφωνήσει για την εγκατάσταση του πριν το κακόβουλο λογισμικό μολύνει τη συσκευή του. Αυτό περιόριζε την εξάπλωση του ιού, καθώς το θύμα θα έπρεπε να είναι σε επαφή με τις συσκευές αλλά και να αλληλεπιδράσει με τον ιό. Αυτή ήταν όμως μόνο η αρχή. Πολλές παραλλαγές του Cabir εμφανίστηκαν απροσδόκητα με διαφορετικές τροποποιήσεις. Μερικές παραλλαγές έκλεβαν δεδομένα, όπως στοιχεία από τον τηλεφωνικό κατάλογο του τηλεφώνου, ενώ άλλες παραλλαγές λειτουργούσαν σαν κλασικοί ιοί και μόλυναν τοπικά αρχεία.

Λίγους μήνες αργότερα, μία cracked έκδοση ενός παιχνιδιού με το όνομα Mosquito εμφανίστηκε στο διαδίκτυο. Μαζί με το δημοφιλές παιχνίδι, το πακέτο περιελάμβανε το Trojan.Mos, το οποίο έστελνε μηνύματα τα οποία χρέωναν το χρήστη στο παρασκήνιο. Αυτή θεωρείται ευρέως ως η πρώτη περίπτωση κακόβουλου λογισμικού σε φορητές συσκευές με στόχο το χρηματικό κέρδος. Σήμερα, η ίδια τακτική χρησιμοποιείται από εκατοντάδες Trojanized Android παιχνίδια, τα οποία στέλνουν ακριβά μηνύματα κειμένου μετά την εγκατάσταση. Λίγο μετά το Mosquito, εμφανίστηκαν οι πρώτες εκδόσεις  του Skull. Η απειλή πήρε το όνομά της από το βασικό της payload, καθώς το κακόβουλο λογισμικό αντικαθιστούσε τα εικονίδια των περισσότερων εφαρμογών με την εικόνα μίας νεκροκεφαλής. Αντικαθιστούσε επίσης πολλά αρχεία του συστήματος και των εφαρμογών με άχρηστα αρχεία, εμποδίζοντας τη λειτουργικότητά τους και καθιστώντας το κινητό μη λειτουργικό. Ευτυχώς την ίδια στιγμή, το ransomware δεν ήταν ακόμα δημοφιλές, αλλιώς το κακόβουλο λογισμικό θα προσπαθούσε, πιθανότατα, να δεσμεύσει τα δεδομένα του χρήστη ή και την ίδια τη συσκευή. Αυτό άλλαξε το 2013 όταν τα πρώτα δείγματα του ransomware προσέβαλαν τις φορητές συσκευές. Αυτές οι απειλές έχουν ως στόχο περισσότερο το να κρατήσουν το τηλέφωνο ως όμηρο αντί για τα δεδομένα, καθώς ο συχνός συγχρονισμός των συσκευών και η αυτόματη μεταφόρτωση δεδομένων στο cloud παρέχουν καλύτερη δυνατότητα ανάκτησης των πληροφοριών για τους χρήστες.

Το 2005, το SymbOS.CommWarrior.A  εμφανίστηκε στο προσκήνιο, επεκτείνοντας τη διάδοση του, μέσω της αποστολής ΜΜS μηνυμάτων σε πολλούς αριθμούς από τον τηλεφωνικό κατάλογο. Αυτό το κακόβουλο λογισμικό ήταν πολύ επιτυχημένο και παραλλαγές CommWarrior κυκλοφορούσαν στα δίκτυα κινητής τηλεφωνίας για χρόνια. Το 2006, το Trojan.RedBrowser.A εξαπέλυσε απειλές που έστελναν μηνύματα με χρέωση και σε άλλα λειτουργικά συστήματα. Αυτό ήταν το πρώτο Trojan για J2ME που μπορούσε να μολύνει διαφορετικές πλατφόρμες κινητών τηλεφώνων.

Μέσα σε ένα χρόνο, οι φορητές συσκευές καλούνταν να αναμετρηθούν με κακόβουλο λογισμικό παρόμοιο μ’ αυτό που κυριαρχούσε στους σταθερούς υπολογιστές όπως worm, Trojans που υπέκλεπταν δεδομένα και επέφεραν οικονομικό κέρδος, και ιούς που μόλυναν άλλα αρχεία. Και σαν να μην ήταν αυτό αρκετό, η άνοδος του adware και spyware δεν άφησε αδιάφορα τα κινητά τηλέφωνα. Η εμπορική διάθεση του Spyware.FlyxiSpy, το οποίο τέθηκε σε κυκλοφορία το 2006, είχε ιδιαίτερη επιτυχία στο να επιβλέπει το σύνολο των δραστηριοτήτων της φορητής συσκευής που βρίσκεται σε κίνδυνο. Το κακόβουλο λογισμικό διαφημίστηκε σαν η καλύτερη λύση για όσους ήθελαν να κατασκοπεύουν τους συζύγους τους. Παρόμοιες απειλές ακολούθησαν και εξελίχθηκαν περισσότερο, επιτρέποντας τον εντοπισμό κάθε βήματος του χρήστη.

Εφόσον πολλές online τράπεζες χρησιμοποιούσαν τα out-of-band SMS ως μέθοδο επαλήθευσης συναλλαγών, οι εγκληματίες έπρεπε να ακολουθήσουν με τη σειρά τους. Ως αποτέλεσμα, το 2010 οι επιτιθέμενοι παρουσίασαν το SymbOS.ZeusMitmo, μία απειλή που είχε τη δυνατότητα να προωθεί τα μηνύματα κειμένου που αφορούσαν τις συναλλαγές των τραπεζικών λογαριασμών από τη compromised συσκευή στους εισβολείς. Αυτό επέτρεπε στους επιτιθέμενους να συνεχίζουν να διαπράττουν διαδικτυακές τραπεζικές απάτες. Η ιδέα αυτή ήταν τόσο πετυχημένη ώστε σύντομα κακόβουλο λογισμικό που στόχευε σε διαδικτυακές τραπεζικές υπηρεσίες, εμφανίστηκε για όλα τα βασικά λειτουργικά συστήματα τηλεφώνων, εκτός του iOS.

Όταν το Android αναδείχτηκε στη μεγαλύτερη πλατφόρμα κινητής τηλεφωνίας το 2011, οι δημιουργοί κακόβουλου λογισμικού άρχισαν να εστιάζουν την προσοχή τους σε αυτό. Ο φορέας διανομής που επιλέγει ο κάθε εισβολέας γίνεται μέσω Trojanized εφαρμογών και χρησιμοποιούν ορισμένες social engineering τεχνικές για να τα κάνουν πιο ελκυστικά. Για παράδειγμα, το Android.Geinimi  ήταν ένα πρώιμο, επιτυχημένο bot για φορητές συσκευές μεταμφιεσμένο ως μία χρήσιμη εφαρμογή. Τα φορητά botnets έχουν από τότε γίνει δημοφιλή και χρησιμοποιούνται συχνά για απάτες μέσω click-fraud και μηνυμάτων.

Το Android.Rootcager εμφανίστηκε την ίδια χρονιά και ήταν η πρώτη Android απειλή  που χρησιμοποιούσε ένα exploit για να αναβαθμίσει τα προνόμιά του. Αυτό ήταν μια εκ των λίγων διαφορών μεταξύ του mobile malware και των απειλών σε σταθερούς υπολογιστές. Σε υπολογιστές Windows, συχνά βλέπουμε κακόβουλο λογισμικό που χρησιμοποιεί ένα exploit προκειμένου να εγκατασταθεί στον υπολογιστή που βρίσκεται σε κίνδυνο. Στην πραγματικότητα, drive-by-download μολύνσεις από ιστοσελίδες έχουν γίνει ο βασικός παράγοντας μόλυνσης. Παρόλα αυτά, στα κινητά τηλέφωνα, τα drive-by-downloads συμβαίνουν πολύ σπάνια. Τις περισσότερες φορές, οι χρήστες πρέπει να παραπλανηθούν έτσι ώστε να εγκαταστήσουν οι ίδιοι την εφαρμογή. Αυτό δε σημαίνει ότι δεν υπάρχουν τρωτά σημεία για τα λειτουργικά συστήματα των κινητών – υπάρχουν αρκετά -, αλλά οι εισβολείς δεν έχουν βρει την αξιοποίησή τους χρήσιμη ακόμα. Το 2010, μία iPhone jailbreak ιστοσελίδα έδειξε πώς αυτού του είδους η επίθεση θα μπορούσε να λειτουργήσει. Η ιστοσελίδα εκμεταλλεύτηκε μία PDF ευπάθεια στην ανάλυση της γραμματοσειράς για να εγκαταστήσει προσαρμοσμένο λογισμικό στο fly. Από τότε, όλα τα λειτουργικά συστήματα των κινητών τηλεφώνων αναβάθμισαν την ασφάλειά τους, κάνοντάς το πιο δύσκολο για το κακόβουλο λογισμικό να κάνει χρήση των ευπαθών σημείων.

Τα τελευταία δύο χρόνια έχουμε παρατηρήσει μεγάλη ανάπτυξη στον τομέα των Trojans και του adware με στόχο τις φορητές συσκευές, κυρίως με έμφαση στα Android κινητά τηλέφωνα. Ακόμα και οι στοχευμένες επιθέσεις τώρα χρησιμοποιούν τις απειλές σε φορητές συσκευές για λόγους κατασκοπείας. Λαμβάνοντας υπόψη αυτή την έκρηξη, το Mobile malware έχει γίνει μία πραγματική απειλή που χρήζει μεγαλύτερης προσοχής διότι ακόμα δεν έχει παρέλθει. Στην πραγματικότητα, είναι πιθανό να δούμε την επόμενη εξέλιξη των φορητών απειλών σύντομα, ειδικά εφόσον τα κινητά τηλέφωνα γίνονται τεκμήρια αναγνώρισης και λύσεις πληρωμών στο μέλλον.

Η Symantec προτρέπει τους χρήστες να παραμένουν σε επαγρύπνηση όταν εγκαθιστούν εφαρμογές από οποιαδήποτε άγνωστη πηγή ενώ ταυτόχρονα προσφέρει μια ποικιλία λύσεων ασφαλείας για φορητές συσκευές που εμποδίζουν αυτές τις απειλές.

Άρθρο του Χρήστου Βεντούρη,  Information Security Specialist Νοτιοανατολικής Ευρώπης, Symantec 

Το BizTech.gr χρησιμοποιεί συνδέσεις Vodafone Internet 4Sharing για να σας φέρνει πάντα πρώτο κάθε εξέλιξη.