Cyberprzestępcy szukają nowych metod monetyzacji

Szkodliwe programy wykorzystujące przywileje administratora urządzenia stanowiły główne i jedno z najpoważniejszych zagrożeń mobilnych przez ostatnie kilka lat. Posiadając tak wysokie prawa dostępu, trojany te mogą ukradkowo instalować różne aplikacje, jak również bombardować zainfekowane urządzenie reklamami w celu uniemożliwienia dalszego korzystania ze smartfona. Oprócz niemal nieograniczonej liczby możliwości takie trojany są również trudniejsze do wykrycia oraz usunięcia. Jednak w 2017 r. szkodniki te stanęły wobec pewnych wyzwań.

Z obserwacji firmy Kaspersky Lab wynika, że łączna liczba mobilnych trojanów wyświetlających reklamy, które wykorzystują przywileje administratora, zmniejszyła się w 2017 r. w porównaniu z rokiem poprzednim. Było to wywołane ogólnym spadkiem liczby urządzeń mobilnych działających pod kontrolą starszych wersji Androida, które stanowią podstawowy cel trojanów, głównie dlatego, że powszechnie wykorzystywane przez nie luki w zabezpieczeniach zostają zazwyczaj załatane w nowszych wersjach systemu. Według danych Kaspersky Lab odsetek użytkowników urządzeń z systemem Android 5.0 lub starszym zmniejszył się z ponad 85% w 2016 r. do 57% w 2017 r., podczas gdy odsetek użytkowników Androida 6.0 (lub nowszej wersji) zwiększył się ponad dwukrotnie - z 21% w 2016 r. do 50% w 2017 r (6% użytkowników uaktualniło swoje urządzenie w 2016 r., w 2017 odsetek ten wynosił 7%). Jednak omawiany rodzaj trojanów pozostał najpopularniejszym szkodnikiem wśród 20 najpowszechniejszych zagrożeń mobilnych w 2017 r.

W 2017 r. Kaspersky Lab odkrył nowe modyfikacje trojanów wyświetlających reklamy, które nie wykorzystywały w tym celu luk umożliwiających dostęp na poziomie administratora, ale stosowały inne metody, takie jak usługi SMS premium. Dwa trojany związane z rodziną Ztorg posiadające taką funkcjonalność zostały pobrane dziesiątki tysięcy razy ze Sklepu Play firmy Google.

Jednocześnie badacze z Kaspersky Lab odnotowali powrót trojanów mobilnych, które kradną pieniądze użytkownikom urządzeń z Androidem za pośrednictwem subskrypcji WAP, która umożliwia bezpośrednie realizowanie płatności mobilnych bez konieczności dodatkowej rejestracji. Trojany te klikają strony z płatnymi usługami i po tym, jak zostanie aktywowana subskrypcja, pieniądze z konta ofiary płyną bezpośrednio na konta atakujących. Trend ten nie był obserwowany już od jakiegoś czasu, jednak w 2017 r. tego rodzaju zagrożenie mobilne zaczęło się aktywnie rozprzestrzeniać. Niektóre z wykrytych programów WAP-clicker posiadały również moduły do kopania kryptowaluty.

Mobilne oprogramowanie ransomware

Epidemia oprogramowania ransomware, która miała miejsce w zeszłym roku, znalazła odbicie również w krajobrazie zagrożeń mobilnych. Kaspersky Lab wykrył 544 107 pakietów instalacyjnych dla mobilnych trojanów ransomware - dwukrotnie więcej niż w 2016 r. oraz 17-krotnie więcej niż w 2015 r. Ta zwiększona liczba szkodników została wykryta w pierwszych miesiącach roku w związku z dużą aktywnością rodziny trojanów Congur (83% wszystkich pakietów instalacyjnych w 2017 r.), szkodnika blokującego ekrany, który ustawia lub zmienia PIN urządzenia, a następnie żąda pieniędzy w zamian za odblokowanie.

Chociaż możliwości i techniki mobilnego oprogramowania ransomware praktycznie nie zmieniły się w ciągu roku, wśród rodzin trojanów bankowych, takich jak Svpeng oraz Faketoken, wykryto funkcjonalność ransomware - niektóre modyfikacje potrafiły szyfrować pliki użytkowników.

W 2017 r. mobilne programy bezpieczeństwa firmy Kaspersky Lab odnotowały następujące statystyki:

- 42,7 mln prób ataków przez mobilne szkodliwe oprogramowanie.

- Ponad 4,9 mln chronionych użytkowników urządzeń z systemem Android.

- Iran (57,25%), Bangladesz (42,76%) oraz Indonezja (41,14%) znalazły się w pierwszej trójce najczęściej atakowanych państw przez mobilne szkodliwe oprogramowanie.

- Wykryto 5 730 916 pakietów instalacyjnych dla trojanów mobilnych.

- 110 184 unikatowych użytkowników było atakowanych przez mobilne oprogramowanie ransomware.

- Wykryto 94 368 mobilnych trojanów bankowych.