Дата составления

9.10.12

Текущий уровень опасности

Высокий

* Актуальность угроз определяется не только количеством и разнообразием вредоносных программ, но и уровнем защиты от них в компаниях и организациях различного типа.

Тема выпуска: Мобильные устройства как угроза безопасности сетей компаний и домашних компьютеров пользователей

Причина выпуска бюллетеня

Развитие вредоносных программ для популярных мобильных платформ представляет серьезную опасность для корпоративных сред, в которых применяются личные мобильные устройства сотрудников.

Типичные представители вредоносных программ

К категории наиболее опасных угроз данного типа можно отнести:

1. Троянские программы семейства Android.SpyEye
2. Коммерческие продукты, предназначенные для кибершпионажа
3. Вредоносные приложения, способные перехватывать СМС и сообщения электронной почты, которые могут содержать конфиденциальную информацию

Кроме специализированных под конкретные ОС вредоносных программ, существуют троянцы, способные работать на любой мобильной платформе с поддержкой Java (например, Symbian OS, а также большинство сотовых телефонов).

Причина актуальности угрозы

На данный момент недостаточная защищенность мобильных устройств представляет серьезную угрозу как для их владельцев, так и для компаний, сотрудники которых так или иначе используют мобильные устройства.

Внедренная в мобильное устройство вредоносная программа может:

• получить доступ к почтовой переписке, паролям используемых программ, системам работы с денежными средствами;
• получить доступ к конфиденциальным данным, сохраненным в виде файлов, фотографиям;
• отправлять СМС и звонить на платные номера;
• включать микрофон без ведома жертвы — и тем самым получать информацию «из первых уст»;
• получать данные от GPS-навигатора о местонахождении жертвы — ее присутствии или отсутствии в определенных местах;
• получать доступ к конфиденциальным данным, сохраненным в виде фотографий и звуковых записей, а также СМС-переписке и истории совершенных звонков.

Владелец зараженного устройства может оказаться под полным круглосуточным контролем!

Для компаний заражение мобильных устройств сотрудников представляет особо опасную угрозу безопасности, поскольку:

• некоторое количество сотрудников работает с корпоративной почтой и конфиденциальными данными на своих устройствах; более семидесяти процентов для работы используют только личные устройства;
• троянские программы способны отсылать СМС-сообщения на платные номера и подключать жертву к так называемым подпискам с регулярной абонентской платой, что может привести к потере денежных средств пользователями корпоративных тарифов и, соответственно, компанией;
• доступ злоумышленников к сообщениям электронной почты и СМС может привести к разглашению важной конфиденциальной информации, включая пароли от различных учетных записей;
• вредоносные программы, способные получить доступ к операционной системе мобильного устройства с полномочиями администратора, могут устанавливать на инфицированное устройство другие приложения, в том числе программы-шпионы.

Отсутствие защиты не просто снижает эффективность работы — это создает возможность утечки, подмены или компрометации важных для компании материалов. Нередко сотрудники работают не только на своем рабочем месте, но и дома, в дороге, на отдыхе — распространение мобильных устройств и доступность Интернета в любой момент и в любом месте дают эту возможность. Как следствие, отсутствует гарантия получения только безопасного контента, вне офиса люди никак не защищены от атак злоумышленников. Не ограничиваемые корпоративной политикой безопасности, пользователи устройств самостоятельно скачивают и устанавливают различные приложения (в том числе для работы с документами, для работы в социальных сетях и т. д.). При этом эти приложения могут как иметь уязвимости, так и содержать в своем составе специально разработанные вредоносные программы.

Причина роста количества угроз для Android — открытость основных исходных кодов этой операционной системы. Любые обнаруженные в ней уязвимости мгновенно становятся достоянием широкой общественности. ОС Android доступна большому числу производителей, выпускающих смартфоны с различными техническими характеристиками и версиями операционной системы. Несмотря на попытки Google оперативно выпускать обновления системы, закрывающие обнаруживаемые уязвимости, обилие различных модификаций платформы часто мешает пользователям своевременно получать эти обновления, так как каждый производитель имеет свою стратегию по их выпуску. Случается и так, что производитель вообще отказывается от дальнейших обновлений некоторых моделей мобильных устройств по причине их устаревания, экономическим или техническим соображениям или же по каким-либо другим причинам, и пользователи становятся беззащитными перед угрозой проникновения в систему вредоносного ПО.

Доступный исходный код Android также может использоваться различными энтузиастами, создающими свои сборки операционной системы. Вирусописатели освоили и эту нишу. Они могут распространять троянские программы (Android.SmsHider) , имеющие цифровую подпись одного из образов такой сборки. Среди типов данных, которые подвергаются опасности хищения при проникновении на мобильное устройство вредоносных программ, можно перечислить СМС-сообщения и почтовую переписку, документы, фотографии, посещенные веб-страницы, журнал браузера, данные GPS-приемника. Отдельную опасность представляет возможность подмены злоумышленниками просматриваемых пользователем веб-страниц, внедрение в них посторонних форм и объектов. Нельзя забывать и о том, что некоторые троянские программы способны записывать и передавать злоумышленникам голос во время телефонных разговоров с использованием инфицированного смартфона. Чем выше положение владельца такого устройства в компании, тем более ценными могут оказаться похищенные злоумышленниками сведения.

Пути и методы проникновения

Распространение вредоносных программ для мобильных устройств происходит следующими путями:

1. Использование известных уязвимостей, эксплуатирующихся для повышения привилегий вредоносного приложения в системе (Android.Gongfu, Android.DreamExploid, Android.Wukong)
2. Использование методов социальной инженерии. Наиболее часто используются следующие методы:
   • предложение установить обновления (в том числе c «официального веб-сайта Opera Mini») (Android.Crusewind, Java.SMSSend, Android.SmsSend) ;
   • предложение бесплатно загрузить платное коммерческое приложение;
   • предложение в демонстрируемой рекламе срочной проверки мобильного устройства на вирусы. Нажав на рекламное сообщение, пользователь попадает на сайт, якобы сканирующий мобильное устройство. При этом сайт может заимствовать внешний вид известных антивирусных ресурсов и программ, например, внешнее оформление Dr.Web Security Space версии 7.0 (Android.SmsSend) .
   
   СМС, электронной почты, слежение за его перемещениями по данным GPS-навигатора.
3. Рассылка СМС. Зараженные устройства могут использоваться для рассылки спама или иных тестовых сообщений (Android.NoWay), политических (Android.Arspam) и религиозных сообщений. Список рассылки может задаваться извне или браться из списка абонентов адресной книги. При этом вредоносная программа старается скрыть следы своей деятельности, удаляя из памяти смартфона отосланные ею сообщения и входящие СМС с информацией о приеме платежа оператором (Android.SmsSend). Отправка платного СМС может производиться уже на этапе установки вредоносной программы — при запуске пользователю демонстрируется текст о том, что владелец мобильного устройства соглашается с неким условиями, причем само соглашение с перечнем этих условий, как правило, отсутствует. В случае если соглашение присутствует, оно может быть скрыто от пользователя или иметь нейтральный, незаметный вид. Например, последнее слово в тексте может представлять собой гиперссылку на страницу с лицензионным соглашением и никак не выделяться на фоне окружающих слов. При подтверждении согласия нажатием на соответствующую кнопку приложение немедленно попытается отправить платное СМС-сообщение. Также возможен вариант, когда после запуска на экране устройства появляется вступительный текст и две кнопки: подтверждение согласия с условиями лицензии, и вторая, при нажатии на которую должен открываться тест соглашения, при этом соглашение располагается на стороннем веб-сайте, который в данный момент не функционирует, поэтому ознакомиться с предлагаемыми условиями пользователь не может.
4. Осуществление звонков на платные номера (Android.Fakevoice), кража денег со счетов владельцев мобильных телефонов путем подписки их на различные платные сервисы.
5. Добавление сайтов, указанных в конфигурационном файле вредоносной программы, в закладки браузера (Android.Anzhu не просто устанавливает закладки из переданного вирусописателями списка, но также меняет их атрибуты, помечая как посещенные, что придает таким закладкам больший вес в глазах пользователя).
6. Кража конфиденциальной информации (Android.Gongfu, Android.SpyEye, Android.DreamExploid, Android.Gone). Украденные данные загружаются на специально созданный вирусописателями сайт. Данные могут быть проданы для использования в спам-рассылках, целевом вымогательстве, осуществляемом с учетом знания данных жертвы. К числу платных шпионских программ относятся Flexispy, Mobile Spy, Mobistealth.
7. Вымогательство денег за похищенную информацию (Android.Gone).
8. Запуск и удаление различных программ на инфицированном устройстве, загрузка других вредоносных приложений (Android.Gongfu, Android.Anzhu).
9. Выполнение на инфицированном устройстве получаемых от управляющего центра команд (функции бэкдора имеют Android.Plankton, Android.Gongfu, Android.GoldDream, Android.Anzhu). Расширяемая архитектура вредоносных программ дает возможность владельцам криминальной сети загружать специальные дополнения (плагины) для выполнения дополнительных деструктивных действий — в том числе для проведения атаки на целевую компанию.
10. Кража паролей доступа к различным программам и интернет-сервисам, например к FTP-ресурсам компании.
11. Кража денежных средств через системы ДБО (Android.SpyEye) .
12. Включение зараженных машин в управляемые ботнеты, координируемые из одного (или нескольких) командных центров.

Методы перехвата информации

1. Контроль за всеми СМС-сообщениями, а также входящими и исходящими телефонными звонками, запись сведений об этих событиях (в том числе телефонных номеров, с которых или на которые выполнялся звонок или отправлялось сообщение), сохранение содержания звонка и содержимого СМС (Android.GoldDream) .
2. Запись нажатий пользователем клавиш — в том числе на виртуальной клавиатуре (Android.AntaresSpy.1) .
3. Перехват информации, вводимой пользователем в браузере (в том числе во время работы с банком).
4. Подмена страниц банковских сайтов — в просматриваемую пользователем веб-страницу осуществляется инъекция постороннего содержимого, которое может включать различный текст или веб-формы. Таким образом, ничего не подозревающая жертва загружает в браузере настольного компьютера или ноутбука веб-страницу банка, в котором у нее открыт счет, и обнаруживает сообщение о том, что банком введены в действие новые меры безопасности, без соблюдения которых пользователь не сможет получить доступ к системе «Банк-Клиент», а также предложение загрузить на мобильный телефон специальное приложение, содержащее троянскую программу (Android.SpyEye.1).
5. Анализатор трафика и вклинивание в интернет-трафик в поисках учетных данных и передаваемых значений.
6. Перехват функций, которые могут участвовать в передаче данных.
7. Запись голоса во время телефонных разговоров.
8. Копирование и передача файлов, хранящихся во внутренней памяти устройства или на подключаемом накопителе.

Методы маскировки от средств контроля и наблюдения

1. Маскировка под легитимное ПО: игры, живые обои, «полезные» программы и т. д.
2. Маскировка под компонент операционной системы или системную утилиту.
3. Запуск процесса с привилегиями администратора, блокировка попыток удалить вредоносное приложение (Android.SmsSend.186.origin).
4. Скрытие требуемых для работы вредоносной программы разрешений (Android.MulDrop.5.origin).

Обязательные средства защиты

Кроме установки и настройки программных средств защиты, рекомендуется:

1. ограничить права пользователей и запретить для них запуск операционной системы с правами администратора;
2. пользователям корпоративных тарифов мобильной связи запретить отправку СМС на короткие номера;
3. своевременно устанавливать все обновления системы безопасности и использовать стойкие пароли.

Внимание! Перечисленные меры защиты должны быть приняты на всех мобильных устройствах, вне зависимости от используемой операционной системы.

Рекомендуемые средства защиты

* Для компаний, использующих решения Dr.Web для защиты рабочих станций, предоставляется бесплатная лицензия на Dr.Web Mobile Security Suite на тот же срок и на такое же количество защищаемых объектов, что и купленная лицензия

Скомпрометированные средства защиты

* Плюсом использования Google Play является возможность централизованного удаления установленных приложений. Компания Google, как и Apple, может задействовать эту функцию, например, в случае если какое-либо приложение представляет угрозу для пользователей.

С момента выпуска предыдущего бюллетеня появились сведения о возможности обхода вредоносными программами двухшаговых систем аутентификации (например, включающих использование карты с чипом и пинкода). Кроме этого, был зафиксирован факт перехвата одноразовых паролей, высылаемых банком в виде СМС-сообщений.

Пример настройки средств защиты

В качестве примера рассмотрим настройку системы защиты для операционной системы Android.

Установку версии антивируса Dr.Web, поддерживающей возможность централизованного управления, можно осуществить путем запуска установочного файла на мобильном устройстве или с помощью программы синхронизации с ПК. Версию без централизованного управления можно установить также с Google Play — для этого нужно только найти в списке приложений Dr.Web для Android и нажать Install (Установить).

Чтобы установить приложение без использования Google Play, необходимо разрешить такой вид установки. Для этого откройте экран Настройки → Приложения и установите флажок Неизвестные источники.

Для установки версии с возможностью использования в корпоративной сети необходимо:

• Скачать файл установки Dr.Web для Android. Для этого на странице вводим серийный номер продукта, используемого для защиты рабочих станций.

  

  Нажимаем Отправить и на странице Мастера скачивания выбираем, что мы хотим защищать.

  

  Скачиваем файл drweb-600-android.apk.

  

• Подключаем мобильное устройство к компьютеру при помощи USB-соединения и выбираем опцию распознавания мобильного устройства как диска.
• Копируем на SD-карту файл drweb-600-android.apk.
• Запускаем на мобильном устройстве любой файловый менеджер (например, ASTRO из Android Market), открываем папку /sdcard и запускаем drweb-600-android.apk.
• Антивирус Dr.Web установлен, однако для дальнейшей работы с приложением необходимо либо зарегистрировать лицензию и скопировать полученный ключевой файл на защищаемое устройство, либо подключить его к системе централизованного управления.

  Для включения устройства в состав системы безопасности открываем Центр управления Enterprise Security Suite и создаем новую станцию.

  

  Зайдя в меню Dr.Web для Android, переходим в раздел Инструменты или нажимаем кнопку Меню и выбираем пункт Настройки. В разделе Режим отмечаем флажок Dr.Web Агент.

  

  В открывшемся окне указываем IP-адрес сервера централизованной антивирусной защиты и, при необходимости, через двоеточие после IP-адреса порт, использующийся для подключения к серверу, идентификатор, присвоенный вашему мобильному устройству при создании станции, и пароль.

  

  Нажимаем Подключиться.
  В режиме централизованной защиты блокируется возможность ручного запуска и настройки обновлений. Системный администратор может определять параметры постоянной защиты, определять список приложений, доступных пользователям антивирусной сети на их устройствах, и проводить проверку системы по требованию.