8 мая 2015

Android: финансовые атаки и текущий статус безопасности

Бизнес

С ростом количества людей, использующих мобильные устройства для работы, безопасность хранящихся на них данных стала горячей темой. А так как люди также используют мобильные устройства для доступа к своим финансам, это делает их первоочередными целями киберпреступников. Android – сейчас самая популярная мобильная ОС в мире, чаще всего становящаяся мишенью. Как атакуют пользователей, и каково текущее состояние безопасности Android?

Экскурс в историю

Android традиционно признаётся мобильной ОС, на долю которой приходится свыше 98% мобильных вредоносных программ. Несмотря на титанические усилия, которые прикладывает Google, стремясь исправить положение, пользователи Android по-прежнему пребывают в особой зоне риска.

Android, вдобавок, остаётся самой популярной мобильной системой в мире (автор этого поста сам владеет смартфоном на базе Android). Это означает, что он неизбежно привлекает повышенный интерес киберпреступников, ищущих легкой наживы.

Поводы для беспокойства

Причины тому и очень простые, и при этом очень сложные. Во-первых, в отличие от Apple iOS Android лицензировался заинтересованными вендорами и разработчиками, и эти производители ввели много собственных особенностей, прошивок и функций, притом не всегда выбор падал на лучший код. В результате, система оставалась довольно сегментированной, и Google потребовалось время на то, чтобы собрать все камни.

Пользователи Apple iOS привязаны к магазину приложений Apple, где установлена жёсткая система безопасности. Пользователи Android могут устанавливать приложения из огромного множества разных магазинов приложений, не ограничиваясь одним Google Play. Одни поддерживают безопасность на должном уровне, а другие этим похвастать не могут.

Популярность у пользователей означает и популярность у разработчиков, а последние не все безупречны: встречаются баги, ошибки, уязвимости, а ещё есть плохие парни, готовые их все эксплуатировать.

Уязвимости и небрежность пользователей предоставляют преступникам хорошие шансы на успех в отъёме чужих денег.

wide

Орудия преступлений

Самым древним и часто используемым видом финансовых атак на Android является SMS-спам в виде вала сообщений, отправленных на премиум-номера без ведома и/или согласия пользователя. Однако, эта проблема, главным образом, — для самих конечных пользователей, если только речь не идёт о корпоративном телефоне.

Более серьезной проблемой для бизнеса являются банковские трояны, в настоящее время переживающие всплеск популярности. Согласно Securelist, в начале 2013 года в коллекции «Лаборатории Касперского» насчитывалось всего несколько сотен банковских троянов. К концу 2014 года их было уже 13 000, и это число не проявляет никаких тенденций к снижению в ближайшее время.

Некоторые из этих троянов представляют собой лишь слегка модифицированные версии SMS-мошенников, зато другие, вроде ZitMo или Faketoken, печально прославились как сложные инструменты, способные работать в тандеме с вредоносными программами для ПК. Они перехватывают разовые коды подтверждения (mTAN), отправленные банком по SMS, после чего преступники — в худших случаях — получают неограниченный доступ к банковскому счету и вычищают его досуха.

Существуют также многоцелевые вредоносные программы, которые способны выполнять ряд незаконных операций или, проще говоря, приносить прибыль своим владельцам несколькими разными способами. Обнаруженный в 2013 году Backdoor.AndroidOS.Obad.a удостоился звания «самого сложного трояна для Android«. Он мог посылать SMS на платные номера, загружать другие вредоносные программы, устанавливая их на зараженном устройстве и/или рассылая их дальше посредством Bluetooth, и удаленно выполнять команды в консоли. Это был действительно глубоко продуманный троян, с запутанным кодом, использовавший целый набор багов в Android, один из которых был уязвимостью нулевого дня (на момент обнаружения).

Удалить вредоносную программу из смартфона было нельзя после того, как та получала расширенные привилегии. Определённо, серьёзная проблема.

Цифры

Статистика показывает, что число атак финансовых вредоносных программ на пользователей Android выросло в 3,25 раза в 2014 году. По данным исследования «Лаборатории Касперского» «Финансовые киберугрозы в 2014«, 48,15% атак на пользователей Android-устройств, блокированных продуктами «Лаборатории Касперского», задействовали вредоносные программы, охотящиеся за финансовыми данными (Trojan-SMS и Trojan-Banker).

Исследование также показывает, что 98,02% всех атак банковских вредоносных программ для Android относятся на счёт всего трёх вредоносных семейств — Faketoken, Svpeng и Марчер. Svpeng и Марчер умеют красть учетные данные онлайнового банкинга, а также информацию о кредитной карте, подменяя поля аутентификации мобильных банковских приложений и программ магазинов приложений на зараженном устройстве. А Faketoken сделан для перехвата кодов mTAN, используемых в системах многофакторной авторизации, и пересылки их преступникам.

Предыдущее исследование, проведенное совместно Интерполом и «Лабораторией Касперского», показало, что в 60% атак на Android использовалось финансовое вредоносное ПО, в основном, Trojan-SMS. На долю Trojan-Banker приходилось всего 1,98% атак, но это хорошо объясняется тем фактом, что Trojan-SMS должны заразить десятки или даже сотни мобильных устройств, для того чтобы его оператор получил хоть какую-то ощутимую отдачу. В то время как Trojan-Banker является более «хирургическим» инструментом, и всего одной инфекции достаточно, чтобы принести преступникам хорошую прибыль.

Следует отметить, что, согласно отчёту «Финансовые киберугрозы в 2014 году″, теперь злоумышленники, в целом, менее заинтересованы в «массовых» вредоносных атаках, предпочитая меньшее количество целенаправленных нападений.

А это несёт повышенный риск для бизнеса со слабой защитой мобильных устройств, поскольку именно на них, прежде всего, нацелены преступники.

Контрмеры

Каждая новая версия Android безопаснее предшествующей, но это не значит, что: а) никаких новых ошибок не закралось, что они ещё не обнаружены и не эксплуатируются; б) старые версии со всеми их изъянами моментально уходят с появлением новых. Вендоры выпускают новые телефоны, рассчитывая на то, что пользователи их купят, а не будут бесконечно обновлять прошивки/ОС. При этом пользователи предпочитают продолжать использовать работающее устройство как можно дольше.

В последнее время Google стремится «поощрять» замену пользователями своих телефонов: ранее в этом году было объявлено, что пользователи Android версий 4.3 и ниже не получат обновления безопасности для обнаруженных уязвимостей посредством WebView.

Это, по предварительным данным, означало, что до двух третей пользователей Android остались без критических обновлений. В Google позже объяснили, что исправление старых версий ОС может быть проблематичным, и что пользователи могут запускать пропатченные браузеры даже на старых версиях Android. WebView был заменен в версиях Android от 4.4 и выше.

Но, как и в случае большинства других киберугроз, могучие усилия разработчиков могут пропасть втуне, если конечные пользователи и компании понятия не имеют об опасностях или готовы «сотрудничать» с преступниками и не принимают достаточных мер для защиты своих мобильных устройств.

Бизнес-ориентированные комплексы безопасности «Лаборатории Касперского» — Kaspersky Endpoint Security (Select и Advanced), а также Kaspersky Small Office Security — включают инструменты для защиты мобильных устройств от существующих киберугроз, а также возможность обезопасить электронные платежи от мошенников. Сегодня мобильные устройства, особенно на базе Android, требуют такой же защиты от киберугроз, что и настольные компьютеры с ноутбуками, и проще и дешевле предотвращать инциденты, нежели восстанавливать всё постфактум.