G Data Mobile MalwareReport Proczny raport zagroe stycze czerwiec 2013

G Data SecurityLabs

G Data. Security Made in Germany.

G Data Mobile MalwareReport Proczny raport zagroe stycze czerwiec 2013

Spis treci
W skrcie..................................................................................................................................................................................................................3 Czas Androida czyli wzrost totalny....................................................................................................................................................................4 Androidowy malware na fali...............................................................................................................................................................................6 Android.Backdoor.AndroRAT.A...........................................................................................................................................................................8 Android.Backdoor.Obad.A...................................................................................................................................................................................9 Android.Trojan.FakeSite.A (Perkele)................................................................................................................................................................ 10 Prognozy................................................................................................................................................................................................................11

Copyright G Data Software

G Data Mobile MalwareReport Proczny raport zagroe stycze czerwiec 2013

W skrcie
System Android jest celem numer jeden wszystkich atakw skierowanych na urzdzenia mobilne Liczba urzdze z Androidem w rkach uytkownikw na caym wiecie osigna ju liczb 1 miliarda Eksperci badajcy rynek urzdze przenonych przewiduj 33% roczny wzrost w segmencie smartfonw Zgodnie z prognozami do roku 2015 co pity telefon i tablet bdzie chroniony odpowiednim oprogramowaniem zabezpieczajcym Liczba nowych prbek zoliwego oprogramowania wzrosa gwatownie w pierwszym proczu 2013 roku do 519 095. Wdrugiej poowie roku 2012 eksperci z G Data SecurityLabs naliczyli 185 210 nowych prbek szkodliwych plikw rednio do naszego laboratorium trafiao 2868 nowych prbek dziennie! Specjalne zestawy do sporzdzania szkodliwych programw oferowane przez twrcw na podziemnych forach internetowych pozwalaj na tworzenie zoliwych kodw przestpcom nieposiadajcym wymaganej do tego wiedzy (tzw. script kiddies) Dziki wspomnianym narzdziom do tworzenia zoliwych aplikacji na urzdzenia mobilne (malware tool kits) eksperci z G Data prognozuj znaczny wzrost liczby zagroe w drugiej poowie roku Android.Backdoor.Obad.A wykorzystuj a trzy luki w oprogramowaniu by dokona ataku na urzdzenie z Androidem Trojan FakeSite.A (Perkele) nazwany tak ze wzgldu na moliwo jego poczenia z dowolnym innym zoliwym oprogramowaniem dokonujcym atakw webinject (wstrzykiwanie zoliwego kodu w tre strony wywietlanej w przegldarce uytkownika). Jest to elastyczny, wieloplatformowy trojan, ktry jest bardzo atwy w uyciu i pozwala na ominicie podwjnego uwierzytelniania przez SMS Legalne oprogramowanie pozwalajce na zdalny dostp do urzdze z Androidem o nazwie AndroRAT zostao stworzone w celach akademickich i naukowych. Nastpnie zostao przejte i przeprogramowane przez cyberprzestepcw, by mogli je wykorzysta do swych kryminalnych celw Niektre nowe szkodliwe programy mobilne staraj si obej automatyczn oraz rczn analiz poprzez bardzo starannie zakamuflowany kod Szybka kasa to wci podstawowa motywacja dla atakujcych. Jednake eksperci spotykaj si z coraz wiksz iloci zoonych i dugoterminowych atakw

Copyright G Data Software

G Data Mobile MalwareReport Proczny raport zagroe stycze czerwiec 2013

Czas Androida czyli wzrost totalny

Dawno miny ju czasy, kiedy zoliwe oprogramowanie na urzdzenia przenone byo rzadkoci. Nie udmy si e wrc dni kiedy zdecydowanie czciej syszelimy o mobilnych wirusach ni mielimy z nimi do czynienia. Cyberprzestpcy ledz zwielk uwag wyniki sprzeday urzdze z Androidem i s wiadomi rosncego potencjau tego rynku. W obecnej chwili koncentruj oni swoje wysiki oraz dziaania na systemie z zielonym ludzikiem z ktrego korzysta ju ponad miliard mieszkacw naszej planety1. Specjalici badajcy rynek mobilny przewiduj szybki wzrost liczby aktywowanych urzdze, rzdu 33% rocznie, co tylko umacnia hakerw w podjtej ju decyzji. Spowodowane jest to duym spadkiem redniej ceny takich urzdze. W 2011 za smartfon lub tablet pacilimy rednio 337, by w 2013 cena ta osigna 283. W 2017 roku przewiduj si, e za redniej klasy sprzt zapacimy okoo 2352.

Rysunek 1 Liczba aktywowanych urzdze z systemem Android Konsekwencj tak duej popularnoci jest rnorodno oraz dua liczba atakw na urzdzenia mobilne z Androidem. Przestpcza nisza rozwina si dziki wysokiej stopie zwrotu w stosunku do niewielkich kosztw poniesionych na tworzenie zoliwych aplikacji. Twrcy szkodliwego oprogramowania nie tylko wykorzystuj je do przeprowadzania atakw, ale take oferuj gotowe rozwizania na przestpczych forach internetowych. Przykadem moe by trojan Perkele (fin. diabe) oferowany na rosyjskojzycznych serwisach w dwch wersjach. Jako android malware kit stargetowany wycznie na jeden bank w cenie 1000$ lub w penej wersji obejmujcej swym zakresem nawet do 66 bankw w cenie 15000$. Dostawcy gotowych narzdzi dla przestpcw, ktrzy chc rozszerzy swoj dziaalno na wirtualny wiat, nie ograniczaj si jedynie do dostarczenia samego instrumentu. Prcz zestaww pozwalajcych na dokonanie ataku, oferuj take kana dystrybucyjny dla stworzonego wczeniej zoliwego kodu. Za odpowiedni opata dostarczaj zarejestrowane oraz zweryfikowane konta developerskie w serwisie Google Play. Pozwalaj one na dotarcie do ogromnej liczby uytkownikw ze zoliwym mobilnym oprogramowaniem oraz jego rozpowszechnianie. Konto ktre oficjalnie mona zarejestrowa za 25$ oferowane jest w cenie 100$3.

http://androidandme.com/2013/09/news/android-passes-a-billion-activations-next-version-will-be-kitkat/ http://www.idc.com/getdoc.jsp?containerId=prUS24143513 3 http://krebsonsecurity.com/2013/03/mobile-malcoders-pay-to-google-play/

1 2

Copyright G Data Software

G Data Mobile MalwareReport Proczny raport zagroe stycze czerwiec 2013

Rysunek 2 Reklama zestawu zawierajcego trojan Perkele Popularnoci ciesz si take przechwycone konta w usudze Gmail, ktre mog zawiera prawa dostpu do urzdze mobilnych uytkownika a tym samym kontakty i inne wane dane osobiste. Obecnie dostpne s narzdzia, ktre potrafi ustali warto danego konta Gmail na podstawie zawartych w nim informacji4. Oferowane zestawy pozwalaj atakujcym na tworzenie zoliwych aplikacji w bardzo krtkim czasie, bez specjalistycznej wiedzy jedynie dziki kilku klikniciom komputerowej myszy. Jak do tej pory rozwizania te nie s jeszcze szeroko rozpowszechnione. W skutek wykorzystywania nowych rozwiza i technologii, ktre stale poprawiaj jako nowych zoliwych programw oraz dziki moduowej budowie i zoliwym kodom, ktre zostay ju przetestowane w dziaaniu, lista zainfekowanych aplikacji wci wzrasta. Sprawdzone i przetestowane trojany s niezwykle popularne wrd sieciowych przestpcw, czego przykadem moe by opisany w dalszej czci raportu trojan z rodziny Android.FakeInstaller.

https://cloudsweeper.cs.uic.edu 5

Copyright G Data Software

G Data Mobile MalwareReport Proczny raport zagroe stycze czerwiec 2013

Androidowy malware na fali

Liczba zoliwych aplikacji zaley od iloci ich nowych odmian, szkodliwych kodw opracowanych przez atakujcych. Wpierwszej poowie 2013 roku specjalici z G Data SecurityLabs wykryli cznie 519 095 nowych zainfekowanych plikw5. Oznacza to wzrost o 180% w porwnaniu do drugiej poowy 2012 roku (185 210 plikw) i ponad 16-krotny wzrost w stosunku do pierwszej poowy 2012 (29 595 plikw)6! rednio do laboratorium G Data SecurityLabs docierao 2868 nowych prbek szkodliwego oprogramowania na Androida kadego dnia.
150 ty.

120 ty.

90 ty.

60 ty.

30 ty.

stycze 2013

luty 2013

marzec 2013

kwiecie 2013

maj 2013

czerwiec 2013

Rysunek 3 Dystrybucja zoliwych plikw, ktre mog zosta przypisane do konkretnej rodziny Opierajc si na waciwociach zoliwego kodu7, poszczeglne pliki mog zosta przypisane do okrelonych rodzin. Ponad 275 tysicy nowych szkodliwych plikw zostao jednoznacznie przypisanych do konkretnych rodzin zoliwego oprogramowania. W ramach wszystkich rodzin 1919 rnych wariantw zoliwego oprogramowania zostao scharakteryzowanych, zaliczaj si one do 454 odmiennych rodzin. W cigu szeciu miesicy obejmujcych badany okres, eksperci G Data zarejestrowali 203 cakowicie nowe rodziny. Tabela poniej ilustruje najbardziej popularne i rozpowszechnione rodziny z najwiksz iloci wariantw. Nie dziwi fakt bezsprzecznej dominacji koni trojaskich w zeRodzina Liczba wariantw stawieniu najpopularniejszych rodzin. Tak jak przez wiele lat miao Trojan.Agent 266 to miejsce na komputerach osobistych, tak teraz trojany opanoway urzdzenia mobilne. Wrd mobilnego malwareu trojany stanowi 46% wszystkich zoliwych plikw, a wrd przypisanych do konkretnych rodzin a 86% wszystkich sklasyfikowanych prbek. Najbardziej do wzrostu znaczenia mobilnych trojanw w pierwszych szeciu miesicach 2013 roku przyczynia si rodzina Android. Trojan.FakeInstaller odpowiedzialna za 59% sklasyfikowanego zoliwego oprogramowania. Trojan.FakeInsteller Backdoor.GingerMaster Trojan.SMSAgent Trojan.SMSSend 168 156 100 92

Androidowy malware moe by zidentyfikowany na podstawie kilku plikw. Plik instalacyjny (APK) zawiera pliki o charakterystycznym kodzie i waciwociach. Dziki tej metodzie liczenia wykrycie wirusa w pliku APK i w jego poszczeglnych czciach skadowych s zestawione jako jeden szkodliwy plik. 6 Dane mog nieznacznie rni si od wczeniej publikowanych przez SecurityLabs. W niektrych przypadkach pracownicy naszego laboratorium otrzymywali paczki nowych szkodliwych plikw zbieranych przez dugi okres czasu, ktre zawieray starsze pliki ktre zostay przypisane do wczeniejszych miesicy. 7 Liczba wariantw oparta jest na bazach sygnatur z ktrych korzysta G Data MobileSecurity 2.
5

Copyright G Data Software

G Data Mobile MalwareReport Proczny raport zagroe stycze czerwiec 2013

Rysunek 4 Podzia nowych szkodliwych programw na urzdzenia mobilne w I po. 2013 roku Wewntrzny okrg obrazuje podzia nowych szkodliwych programw na pliki zaklasyfikowane do konkretnych rodzin na podstawie baz sygnatur (Malware Families) oraz te ktre zostay wykryte jako potencjalnie niebezpieczne na podstawie kontroli zachowania. Zewntrzny okrg ilustruje zoliwe pliki przypisane wedug ich rodzaju podstawie baz sygnatur G Data MobileSecurity 2 lub na podstawie analizy heurystycznej.

Rysunek 5 Wybrane szkodliwe programy dla urzdze mobilnych w 2013 roku

Copyright G Data Software

G Data Mobile MalwareReport Proczny raport zagroe stycze czerwiec 2013

Android.Backdoor.AndroRAT.A
Androidowe aplikacje mog mie kilka punktw dostpowych (uprawnie), ktre mog by uruchamiane rcznie lub automatycznie przez konkretne dziaania wykonywane na urzdzeniu. W przypadku smartfonu moe to by np. przychodzce poczenie gosowe. Przykadowo taka sytuacja pozwala aplikacji na organizacje pocze w smartfonie w taki sposb, by wznowi zawieszone poczenie kiedy program znw bdzie funkcjonowaa w normalnym trybie. Android APK Binder dodaje nowy punkt dostpowy do zmodyfikowanej listy legalnej aplikacji. Tym samym kiedy urzdzenie mobilne jest uruchomione, AndroRAT dziaa w tle bez wiedzy uytkownika. Od tego momentu smartfon lub tablet jest czci botnetu, a osoba odpowiedzialna za atak posiada pen kontrol nad urzdzeniem. Obecnie dostpna wersja AndroRAT oferuje nastpujce funkcje: Przegldanie kontaktw Przegldani listy pocze Dostp do wiadomoci SMS/MMS Lokalizacja urzdzenia za pomoc GPS lub sieci komrkowej Informowanie o przychodzcych poczeniach i wiadomociach Przekazywanie obrazw, nagra wideo oraz audio na serwer atakujcego Wywietlanie komunikatw w formie niewielkich okien na urzdzeniu uytkownika Wysyanie SMS Wykonywanie pocze Otwieranie witryn internetowych Wczanie alarmu wibracji Od momentu kiedy to kod rdowy legalnego AndroRat zosta udostpniony dla kadego, przestpcy mog go kopiowa, modyfikowa oraz rozwija w dowolny sposb. Zmodyfikowane aplikacje niekiedy mog zosta wykryte na podstawie rozlegych uprawnie na ktre trzeba wyrazi zgod podczas instalacji (niezmodyfikowane aplikacje nie wymagaj tak daleko idcych uprawnie). Rysunek 8 Szczegowa lista uprawnie, ktrych wymaga aplikacja zainfekowana Backdoor.AndroRAT.A.

Copyright G Data Software

G Data Mobile MalwareReport Proczny raport zagroe stycze czerwiec 2013

Android.Backdoor.Obad.A
Backdoor.Obad.A to wysoce wyrafinowany zoliwe oprogramowanie, ktre po raz pierwszy pojawio si w czerwcu 2013 na terytorium Chin. Backdoor wykorzystuje podczas ataku trzy luki systemowe: nieznan wczeniej luk w systemie Android, bd w narzdziu o nazwie Dex2Jar oraz bd w obsudze pliku AndroidManifest.xml. Dwie ostatnie luki maj za zadanie utrudni wykrycie samej infekcji. Lista moliwych polece, ktre atakujcy moe przesa do zainfekowanego urzdzenia: Pena kontrola nad urzdzeniem Komunikacja z serwerem Przesanie informacji po uruchomieniu urzdzenia: Adres MAC Numer telefonu IMEI Zapytanie o uprawnienia administratora Zapytanie o zainstalowane aplikacje Zapytanie o kontakty Zapytania wykorzystujce kody USSD Kasowanie wiadomoci pozwalajce ukry aktywno atakujcego Pobieranie i instalowanie plikw z serwera Wysyanie plikw poprzez Bluetooth Blokowanie wywietlacza Co jest szczeglnie zdradliwe w opisywanym backdoorze Obad.A? Raz zainstalowany nie moe zosta zwyczajnie usunity przez uytkownika. Przez cay czas dziaa w tle, bdc niewidocznym dla waciciela urzdzenia, ktre zostao zainfekowane. Zoliwe oprogramowania ma bardzo szeroki zakres funkcji, wysoce wyszukan metod ukrywania zoliwego kodu oraz bardzo szybki czas reakcji na najnowsze luki bezpieczestwa tzw. 0-day exploit. Wszystkie te cechy s charakterystyczne dla szkodliwego oprogramowania skierowanego na system Windows. Dlatego w przyszoci, moemy nie tylko oczekiwa zwikszenia iloci zagroe na Androida, ale take coraz bardziej rozbudowanego i zoonego oprogramowania infekujcego urzdzenia mobilne, ktre bdzie o wiele cisze do wykrycia dla analitykw badajcych mobilne zoliwe kody.

Rysunek 9 Malware kamufluje si jako aplikacja systemowa. Jednak zezwolenie aplikacji na wykonywanie pocze czy wysyanie wiadomoci tekstowych powinno wyda si uytkownikowi podejrzane.

Rysunek 10 Ukrycie nazwy klas i metod utrudnia ledzenie i wykrywanie dziaa backdoorw.
Copyright G Data Software 9

G Data Mobile MalwareReport Proczny raport zagroe stycze czerwiec 2013

Android.Trojan.FakeSite.A (Perkele)
FakeSite.A (Perkele)8 po raz pierwszy odkryty i nazwany zosta w pierwszej poowie 2013. Trojan ten nie jest znany z powodu wyszukanej budowy zoliwego kodu. Wic co czyni Perkele wyjtkowym? Atakujcy mog uywa FakeSite.A z dowolnie wybranym malwarem wykorzystujcym w swych atakach technik webinject. Praktycznie s to wszystkie trojany bankowe, ktre s aktywne i obecnie wykorzystywane przez cyberprzestpcw. Dziki tej funkcjonalnoci moliwe jest uycie kombinacji Perkele wraz z dowolnym trojanem bankowym, co umoliwia przeprowadzanie atakw wieloplatformowych (Android/Windows). Scenariusz ataku: Ofiara ataku trojana bankowego otwiera stron logowania do konta w przegldarce na swoim komputerze. Trojan wykorzystuje webinject, by zmanipulowa stron banku, ktr w swojej przegldarce widzi ofiara. Uytkownik niewiadomie przechodzi do spreparowanej przez przestpcw strony i loguje si do swojego konta. Na zmanipulowanej stronie napastnicy wywietlaj odpowiednie komunikaty zmuszajce uytkownika do zainstalowania rzekomego certyfikatu autentycznoci na swoim telefonie. Jest to niezbdne do ukoczenia procesu logowania. Ofiara w specjalnym oknie podaje numer telefonu dziki czemu przestpcy s w stanie przesa wiadomo tekstow zawierajc link do faszywego certyfikatu. Pod odnonikiem znajduj si plik zawierajcy zoliwy kod FakeSite.A. Gdy proces pobierania certyfikatu zostanie ukoczony, a bankowy kod weryfikacyjny zostanie wprowadzony aplikacja wysya SMS z informacj do posiadacza licencji malware kit dziki, ktrej przeprowadzono cay atak. Od tego momentu trojan przechwytuje wszystkie SMS-y, ktre zostan okrelone jako potwierdzenia logowania do systemw bankowych i przesya je do przestpcy. Cel zosta osignity napastnik ma dostp do konta bankowego ofiary iw prosty sposb omin dwustopniowe uwierzytelnianie za pomoc telefonu komrkowego. Zoliwe oprogramowanie FakeSite.A dziki swojej moduowej budowie i odpowiednio zaprogramowanym funkcjom jest dostpne nie tylko dla dowiadczonych cyberprzestpcw, ale take dla nowicjuszy.

Rysunek 11 Perkele Lite Kit. Oferta zestawu obejmujcego wycznie jeden bank - 1000$ oraz zestaw uniwersalny - 15000$. Analogicznie do sytuacji z zagroeniami dla systemu Windows, liczba zoliwego oprogramowania na Androida bdzie rosa w zastraszajcym tempie. Nawet jeli FakeSite.A nie jest najbardziej zaawansowana odmian zoliwego oprogramowania, to wanie ten trojan odpowiada za znaczca liczb szkd oraz jest bardzo popularny wrd osb stawiajcych swoje pierwsze kroki w wiecie cyberprzestpczoci.

(fin) diabe 10

Copyright G Data Software

G Data Mobile MalwareReport Proczny raport zagroe stycze czerwiec 2013

Prognozy
Popularno urzdze z systemem Android wrd uytkownikw i twrcw zoliwego oprogramowania nie zmniejszy si pod koniec 2013 roku. Patrzc wstecz na zoliwe aplikacje dla Androida, mona miao stwierdzi, e byy to proste programy ktrych twrcy nastawiali si na krtkoterminowe i zyskowne dziaania. Dzi jestemy wiadkami zmiany tej tendencji. Tak jak we wczesnych latach wirusw przeznaczonych na komputery osobiste, zoliwe funkcje aplikacji s ju dobrze ukryte w ich kodzie rdowym. Ma to na celu utrudnienie prac zwizanych z ich wykryciem i opisaniem. Jak pokazuje to sytuacja z malwarem Obad.A, analiza zoliwego pliku wymaga o wiele wikszego wysiku od ekspertw bezpieczestwa. Funkcje instalowanych zoliwych aplikacji maj by niewidoczne nie tylko dla osb, ktre zawodowo lub hobbystycznie z nimi walcz, ale take dla zwykych uytkownikw. FakeSite.A jest przykadem dla wielu cyberprzestpcw, jak niewielk wiedz programistyczn trzeba posiada w dzisiejszych czasach by sta si autorem zoliwego oprogramowania. Moduowe zestawy pozwalaj coraz wikszej liczbie ludzi z przestpczymi ambicjami sta si aktywnymi twrcami na Androidowej scenie wirusw. Musz jedynie zapaci niewielk sum prawowitym twrc zestaww do tworzenia zoliwych aplikacji. Gwn si sprawcz dziaa wszelkich cyberkriminalistw zawsze jest i bdzie szybki zarobek. Czy to bezporednio dziki wysyaniu kosztownych wiadomoci premium z zainfekowanych telefonw czy porednio dziki sprzeday wykradzionych wraliwych danych z urzdze mobilnych. Zestawy narzdzi do tworzenia zoliwych aplikacji pozwalaj na tworzenie niezliczonej iloci malwareu. nawet jeli programy te nie s wysoce zaawansowane, ich funkcje mog z atwoci dokona kradziey naszych danych czy te pienidzy. Eksperci G Data SecurityLabs spodziewaj si potrojenia liczby nowych zagroe w najbliszych trzech miesicach! Prcz chci szybkiego wzbogacenia si, wymienianej jako gwnego powodu dziaa wszelkich hakerw w przeszoci, obecnie obserwujemy wzrost wykrytych backdoorw, ktre zapewniaj dugoterminowe dziaania i kontrole nad zainfekowanymi urzdzeniami. Backdory s wykorzystywane do tworzenia mobilnych botnetw, ktre s su nastpnie do przeprowadzania systematycznych i zorganizowanych dziaa, jak kradziee danych czy seryjne wysyki wiadomoci SMS. Wzrasta wiadomo uytkownikw z faktu, i ich telefon jest obecnie w peni funkcjonalnym komputerem. To zmienia perspektyw postrzegania takiego urzdzenia. Jednake, nie przekada si to na wiadomo moliwych zagroe. Wedug raportu firmy Canalys w 2010 roku jedynie 4% wszystkich urzdze mobilnych byo chronionych oprogramowaniem antywirusowym, ta liczba ma zwikszy si do 20% w 2015 roku. To zdecydowanie za mao! Liczba urzdze chronionych dobrym oprogramowaniem antywirusowym dla systemu Android musi si zwikszy natychmiastowo, by mc dorwna wzrostowi liczby samych urzdze. Kiedy mwimy o ochronie antywirusowej, tablety i smartfony powinny by postrzegane oraz traktowane tak samo jak komputery PC. Urzdzenia w naszych kieszeniach przenosz takie same iloci informacji o takim samym stopniu poufnoci jak komputery, a ataki na nie s tak samo grone jak na urzdzenia z systemem Windows i pki co o wiele atwiejsze do przeprowadzenia. Wycig z przestpcami o uytkownikw wci modej platformy Android rozpoczty! wiadomo korzystania z urzdze mobilnych, zawsze aktualne oprogramowanie chronice naszego smartofna zdecydowanie poprawi nasze szanse by nie zosta kolejna ofiar mobilnych cyberprzestpcw.

Copyright G Data Software

11