Paranoid Android; Εξετάζοντας τρεις βασικές τάσεις στα malwares που στοχεύουν το Android

από την Κωνσταντίνα Κούκου

Security Engineer Greece & Cyprus στην Check Point

Η Google δημοσίευσε πρόσφατα την ετήσια έκθεσή της για την ασφάλεια του Android, η οποία «ρίχνει φως» σε προσπάθειες εκμετάλλευσης του λειτουργικού συστήματος. Σύμφωνα με την έκθεση, το 0,04% όλων των downloads από το Google Play ταξινομήθηκαν ως δυνητικά επιβλαβείς εφαρμογές – σε σχέση με το 2017 το συγκεκριμένο νούμερο είναι διπλάσιο.

Αυτό το 0,04% μπορεί να μην ακούγεται μεγάλο σαν νούμερο, αλλά ο συνολικός αριθμός downloads εφαρμογών Android το 2018 εκτιμάται ότι υπερβαίνει τα 75 δισεκατομμύρια. Συνεπώς, το 0,04% αντιστοιχεί σε περισσότερες από 30 εκατομμύρια πιθανές επικίνδυνες εφαρμογές στο Play Store, οι οποίες περιέχουν κακόβουλα προγράμματα όπως mobile botnets, crypto-miners, adware και εργαλεία συλλογής δεδομένων.

Και δεν είναι μόνο οι εγκληματίες, που θέλουν να έχουν γρήγορο κέρδος. Κρατικοί δρώντες έχουν εξελίξει τις δραστηριότητές τους σχετικά με τα κινητά τηλέφωνα, χρησιμοποιώντας trojans, που είναι σε θέση να αποκτήσουν πλήρη έλεγχο των στοχευόμενων συσκευών. Επομένως, αν ανησυχείτε για την ασφάλεια του Android, δεν είστε παρανοϊκοί: το τοπίο των απειλών αναπτύσσεται προς κάθε διάσταση. Στο συγκεκριμένο άρθρο, θα εξετάσουμε τρεις από τις βασικές τάσεις στα malwares που στοχεύουν στο Android.

1. Τα κινητά adware botnets κυριαρχούν στα malware για κινητά

Το 2016, οι ερευνητές της Check Point ανακάλυψαν το πρώτο botnet στον κόσμο μεγάλης κλίμακας – Viking Horde – στο Google Play. Ένας στρατός – ζόμπι proxy διευθύνσεων IP, που είχαν μεταμφιεστεί σε κλικ διαφήμισης για να δημιουργήσουν έσοδα για τον εισβολέα.

Από τότε, τα mobile adware botnets έχουν πολλαπλασιαστεί με ανησυχητικό τρόπο τόσο σε έκταση όσο και σε δυνατότητες. Το HummingBad, που δημιουργήθηκε από το κινεζικό δίκτυο διαφημίσεων Yingmob, έλεγχε πάνω από 10 εκατομμύρια συσκευές παγκοσμίως, παράγοντας $300.000 το μήνα από δόλια διαφημιστικά έσοδα. Το DressCode, το οποίο χρησιμοποίησε το Google Play για να εξαπλωθεί, εισήγαγε νέες δυνατότητες στα mobile botnets, επιτρέποντας, στους επιτιθέμενους, τη δρομολόγηση των επικοινωνιών μέσω της συσκευής του θύματος καθώς και την πρόσβαση στα εσωτερικά δίκτυα της, με αποτέλεσμα να τίθεται σε κίνδυνο η ασφάλεια για άτομα και οργανισμούς.

Τον Μάιο του 2017, οι ερευνητές της Check Point αποκάλυψαν την Judy, ένα auto-clicking adware που προκάλεσε, πιθανώς, τη μεγαλύτερη μόλυνση από κακόβουλο λογισμικό στο Google Play – και τα botnets έχουν εξελιχθεί πολύ από τότε. Τον τελευταίο καιρό, οι επιτιθέμενοι χρησιμοποίησαν αυτό το ισχυρό cyber όπλο για τη διεξαγωγή μαζικών επιθέσεων DDoS και για την παραγωγή κρυπτονομισμάτων, δημιουργώντας φόβους ότι οι χειρότερες χρήσεις των mobile botnets δεν έχουν έρθει ακόμα.

2. Tα τραπεζικά malwares για κινητές συσκευές σαρώνουν

Τα τραπεζικά malwares που στοχεύουν χρήστες κινητών τηλεφώνων είναι από τους πιο επικίνδυνους τύπους απειλών στις μέρες μας. Τα συγκεκριμένα κακόβουλα λογισμικά έχουν σχεδιαστεί για να αποσπούν οικονομικές πληροφορίες και να μεταφέρουν κεφάλαια απευθείας στους λογαριασμούς του εισβολέα. Είναι τόσο μεγάλο το κίνητρο των δραστών για την ολοκλήρωση των κλοπών που με την πάροδο των ετών έχουν καταφέρει να ξεπεράσουν εμπόδια όπως το two-factor authentication και τις τεχνικές άμυνας που περιλαμβάνονται σε διάφορες εκδόσεις του Android.

Παραδόξως, τα τραπεζικά malware που στοχεύουν σε χρήστες κινητών συσκευών απαιτούν ελάχιστες τεχνικές γνώσεις για να αναπτυχθούν και ακόμη λιγότερες για να λειτουργήσουν. Το κακόβουλο λογισμικό εντοπίζει μια τραπεζική εφαρμογή στη μολυσμένη συσκευή και δημιουργεί μια ψεύτικη σελίδα μόλις το ανοίξει ο χρήστης. Ο χρήστης στη συνέχεια εισάγει τα στοιχεία του, στέλνοντάς τα, πλέον, απευθείας στον server του εισβολέα. Για να λειτουργήσει μια τέτοια καμπάνια επιθέσεων, ένας χάκερ χρειάζεται μόνο μερικές ψεύτικες σελίδες, ένα server και μια μέθοδο μόλυνσης συσκευών. Για το λόγο αυτό, πολλά τραπεζικά malware, όπως το Marcher, λειτουργούν με το επιχειρηματικό μοντέλο “malware-as-a-service” ή ως project ανοιχτού κώδικα.

Ο συνδυασμός μεγάλων, δυνητικά, ανταμοιβών και η ευκολία εγκατάστασης καθιστούν τα τραπεζικά malwares μια από τις πιο ανησυχητικές και ύπουλες απειλές που αντιμετωπίζουν οι χρήστες Android. Και, όπως κάθε ψηφιακή απειλή, συνεχώς εξελίσσονται. Η τελευταία προσθήκη στον κόσμο των τραπεζικών malwares για κινητές συσκευές, είναι η νέα οικογένεια των cryptocurrency malwares. Οι ερευνητές της Check Point έχουν ανακαλύψει malwares τα οποία «μεταμφιέζονται» σε νόμιμα «πορτοφόλια» για cryptocurrency, στην πραγματικότητα όμως αποσπούν τα χρήματα από το ασφαλές «πορτοφόλι», που ισχυρίζονται ότι παρέχουν. Δεδομένου ότι η εμπορική δραστηριότητα των cryptocurrencies συνεχίζεται, θεωρούμε ότι θα δούμε νέα και πιο εξελιγμένα κακόβουλα λογισμικά να προσπαθούν να κλέψουν νέους χρήστες.

3. Κρατικοί δρώντες και κοινοί εγκληματίες μοιράζονται κώδικα

Σε γενικές γραμμές, οι προγραμματιστές κακόβουλου λογισμικού για κινητές συσκευές μπορούν να ταξινομηθούν σε τέσσερις κατηγορίες. Οι πιο εξελιγμένοι είναι οι δρώντες σε επίπεδο κράτους, οι οποίοι δημιουργούν κακόβουλα προγράμματα με στόχο την αναγνώριση, όπως αυτά που βρέθηκαν στα leaks Vault 7. Ακολουθούν εκείνοι που αναπτύσσουν λογισμικά κατασκοπείας για κυβερνήσεις και οργανισμούς, όπως η ομάδα NSO που ανέπτυξε το malware Pegasus για το iOS και το δίδυμο του, το malware Chrysaor για το Android.

Οι προγραμματιστές spyware που δημιουργούν εργαλεία τα οποία επιτρέπουν σε ιδιώτες να κατασκοπεύουν άλλες συσκευές αποτελούν την τρίτη ομάδα και στη συνέχεια έχουμε τους τυπικούς hackers, οι οποίοι έχουν ως κίνητρο το παράνομο κέρδος. Ωστόσο, είναι σημαντικό να κατανοήσουμε ότι αυτές οι ομάδες δεν λειτουργούν ανεξάρτητα η μία από την άλλη. Μοιράζονται τακτικές, τεχνολογίες και κώδικα.

Ως εκ τούτου, τα κακόβολα λογισμικά που δημιουργούνται σε επίπεδο κράτους, όπως το Domestic Kitten και το GlaceLove, που αποκαλύφθηκαν τους τελευταίους μήνες, είναι ακόμα πιο απειλητικά από ό, τι θεωρούμε. Η συγκεκριμένη τάση αποτελεί απειλή για όλους τους χρήστες κινητών συσκευών, δεδομένου ότι οι mobile hackers συχνά «δανείζονται» κώδικα ο ένας από τον άλλο. Μιλάμε για μια αμφίδρομη διαδρομή, καθώς πολλοί hackers «αντιγράφουν» τα εξελιγμένα malwares που δημιουργούνται από κρατικούς δρώντες και εκπαιδεύονται στα προηγμένα χαρακτηριστικά τους. Επομένως, για να δημιουργήσετε μια ολοκληρωμένη προστασία δικτύου, απαιτείται να αντιμετωπίζετε όλες τις απειλές ως αλληλένδετες, ανεξάρτητα από το σημείο προέλευσης τους.

Η εξελιγμένη προστασία για κινητές συσκευές είναι απαραίτητη

Τί μας αποκαλύπτουν αυτές οι τάσεις; Δείχνουν ότι το mobile τοπίο απειλών επεκτείνεται και ότι πολλαπλές εκδόσεις κακόβουλου λογισμικού διεισδύουν στο Google Play, μολύνοντας εκατομμύρια ανυποψίαστους χρήστες Android. Δείχνουν επίσης ότι το τοπίο απειλών είναι διασυνδεδεμένο, με τις εξελίξεις να παρουσιάζονται από δρώντες σε επίπεδο κράτους, στη συνέχεια να υιοθετούνται από εκείνους που αναπτύσσουν κοινά malwares και αντιστρόφως. Όλες οι απειλές του κυβερνοχώρου σχετίζονται μεταξύ τους, ανεξάρτητα από την αρχική προέλευσή τους. Αν και τα κίνητρα πίσω από σχετικές ενέργειες μπορεί να ποικίλουν, τα mobile hacks επηρεάζουν και εξελίσσουν το ένα το άλλο, βελτιώνοντας τα ποσοστά επιτυχίας τους. Προκειμένου να προστατευθούν οι εταιρικοί πόροι και τα δεδομένα μιας επιχείρησης από αυτές τις mobile απειλές, είναι πολύ σημαντικό να αναπτυχθούν προηγμένες δυνατότητες άμυνας, ικανές να ανιχνεύουν και να εμποδίζουν τις επιθέσεις προτού επιφέρουν βλάβες. Η λύση που θα επιλεγεί θα πρέπει να ενσωματώνει εργαλεία ασφαλούς περιήγησης, πρόσβασης υπό όρους, εργαλεία για το φιλτράρισμα διευθύνσεων URL, δυνατότητες προστασίας των δικτύων WiFi αλλά και χαρακτηριστικά anti-bot και anti-phishing. Με τη σωστή προσέγγιση, δεν υπάρχει λόγος να γίνεστε παρανοϊκοί με την αύξηση των απειλών κατά του Android. Το SandBlast Mobile της Check Point είναι η κορυφαία λύση ασφάλειας και προστασίας από απειλές, τόσο για συσκευές Android όσο και για iPhones, προστατεύοντας την επιχείρηση από εξελιγμένες επιθέσεις πέμπτης γενιάς.