Mobilne zagrożenia istnieją już od 10 lat. Jak ewoluowały?
Właśnie mija 10 lat od pojawienia się robaka Cabir, pierwszego na świecie szkodliwego oprogramowania na telefon komórkowy. FORTINET sięgnął do danych historycznych, aby przedstawić ewolucję i znaczenie tych zagrożeń dla urządzeń mobilnych.
W ostatniej dekadzie powstało bardzo dużo szkodliwego oprogramowania (ang. malware) na urządzenia mobilne. W 2013 roku firma FORTINET wykrywała dziennie ponad 1300 nowych szkodliwych aplikacji. Obecnie znanych jest ponad 400 000 robaków atakujących system Android. Należą one do ponad 300 różnych rodzin.
Oprócz ogromnego wzrostu liczby złośliwych aplikacji, obserwowana jest także inna istotna tendencja: ewolucja oprogramowania malware na urządzenia mobilne odbywa się w znacznie szybszym tempie niż w przypadku robaków atakujących komputery PC. Rozpowszechnienie się smartfonów oraz łatwy dostęp do mobilnych systemów płatności sprawiają, że telefony, tablety czy przenośne konsole stają się łatwym celem umożliwiającym szybkie wykradanie pieniędzy. Ponadto urządzenia te w większości wyposażone są w takie funkcje jak geolokalizacja, mikrofony, wbudowany odbiornik GPS i kamery – wszystko to otwiera szerokie możliwości szpiegowania użytkowników. Podobnie jak w przypadku szkodliwego oprogramowania na PC, malware na urządzenia mobilne szybko ewoluowało, dostarczając szeregu efektywnych i sprawnych metod generowania dochodów przy użyciu wielu rozmaitych modeli biznesowych. Poniżej przedstawiamy chronologię najważniejszych wydarzeń w historii oprogramowania malware na urządzenia mobilne w ostatnich 10 latach, a także wyjaśniamy rolę tych wydarzeń w ewolucji zagrożeń.
Rok 2004: pierwsze kroki
Pierwszym na świecie robakiem na telefon komórkowy był Cabir. Został zaprojektowany do infekowania aparatów NOKIA z serii 60 (m.in. model 7650 czy popularna N-Gage). Efektem jego działania było wyświetlanie się tekstu „Caribe” na ekranie zainfekowanego telefonu. Robak rozprzestrzeniał się na inne znajdujące się w pobliżu urządzenia (telefony, drukarki, konsole do gier itd.), wykorzystując technologię Bluetooth. Zdaniem ekspertów robak ten został zaprojektowany przez grupę hakerów zwaną „29A” jedynie w celu sprawdzenia koncepcji ataku na telefon komórkowy, na co wskazuje jego stosunkowo mało ofensywne działanie.
Rok 2005: ewolucja MMS
CommWarrior, wykryty w 2005 roku, poczynił dalsze kroki, rozszerzając możliwość rozprzestrzeniania się nie tylko przez Bluetooth, lecz także przez MMS. Po zainfekowaniu urządzenia CommWarrior uzyskiwał dostęp do pliku kontaktów i sam się rozsyłał do wszystkich figurujących tam odbiorców, wykorzystując usługę MMS oferowaną przez operatora. Użycie MMS jako metody rozprzestrzeniania się wprowadziło aspekt ekonomiczny: właściciel telefonu musiał płacić operatorowi za każdy tak wysłany MMS. Niektórzy operatorzy uzyskali dzięki działaniu wirusa CommWarrior wzrost ruchu nawet o 3,5%, jednak ostatecznie zgodzili się zrekompensować straty ofiarom ataków. Hakerzy nie dostawali z tego nic. Głównym celem działania robaka CommWarrior było bowiem jak najszybsze rozprzestrzenianie się, a nie przynoszenie dochodów.
Wirus ten atakował również platformę Symbian 60 i został wykryty w ponad 18 krajach Europy, Azji oraz Ameryki Północnej. Liczba zainfekowanych urządzeń mobilnych sięgnęła 115 000, a liczba MMS-ów wysłanych bez wiedzy użytkowników przekroczyła 450 000. Okazało się wówczas po raz pierwszy, że robak na urządzenia mobilne może się rozprzestrzeniać równie szybko jak na PC. W tamtym czasie Symbian był najbardziej popularną platformą smartfonów, z dziesiątkami milionów użytkowników na całym świecie.
Rok 2006: zyski pieniężne
Po sukcesach robaków Cabir i CommWarrior, wykryty został koń trojański o nazwie RedBrowser, który niósł ze sobą szereg istotnych udoskonaleń w stosunku do swych poprzedników. Pierwsze polegało na tym, że szkodliwe oprogramowanie infekowało telefon za pośrednictwem platformy Java 2 Micro Edition (J2ME). CommWarrior był koniem trojańskim, zamaskowanym jako aplikacja ułatwiająca korzystanie ze stron internetowych z protokołem WAP (Wireless Application Protocol). Dzięki wykorzystaniu platformy Java, która była powszechnie obsługiwana, hakerzy mogli atakować znacznie szerszą grupę użytkowników niezależnie od producenta telefonu czy systemu. Po drugie – i jest to chyba najważniejsza różnica – CommWarrior został specjalnie zaprojektowany do wykorzystania usługi SMS o podwyższonych opłatach. Właściciel telefonu zazwyczaj był obciążany kwotą ok. 5 dolarów za każdy SMS – oznaczało to kolejny krok na drodze ku wykorzystaniu oprogramowania malware na urządzenia mobilne jako metody pozyskiwania pieniędzy.
Przed pojawieniem się aplikacji RedBrowser wydawało się, że program malware nie może infekować wielu różnych telefonów komórkowych z różnymi systemami operacyjnymi. Użycie J2ME jako drogi ataku było ważnym krokiem w rozwoju mobilnych zagrożeń, podobnie jak użycie usługi SMS jako mechanizmu generowania dochodów.
Lata 2007-2008: okres przejściowy
W okresie tych dwóch lat wystąpiła stagnacja w rozwoju zagrożeń dla urządzeń mobilnych, ale rosła liczba aplikacji malware wykorzystujących usługi o podwyższonych opłatach bez wiedzy właściciela urządzenia.
Rok 2009: pojawienie się mobilnego botnetu
Na początku 2009 roku FORTINET wykrył konia trojańskiego o nazwie „Yxes” (anagram wyrazu „sexy”), kryjącego się za aplikacją „Sexy View”. Yxes uzyskał status certyfikowanej aplikacji na system Symbian, ewidentnie wykorzystując osobliwość tego OS-a, która pozwalała autorom na samodzielne „zatwierdzanie” swoich własnych aplikacji.
Zainfekowany telefon wysyłał książkę adresową do centralnego serwera, a ten z kolei do każdego odbiorcy SMS przekazywał informację zawierającą adres internetowy. Jeśli odbiorca kliknął w ten adres, pobierana była i instalowana kolejna kopia oprogramowania malware. Yxes rozprzestrzeniał się głównie w Azji, gdzie w 2009 roku zainfekował co najmniej 100 000 urządzeń.
Yxes był kolejnym punktem zwrotnym w ewolucji szkodliwego oprogramowania na urządzenia mobilne i to z kilku powodów. Po pierwsze, był on (jak się uważa) pierwszym oprogramowaniem malware atakującym system operacyjny Symbian 9. Ponadto był pierwszym programem, który wysyłał SMS-y i uzyskiwał dostęp do Internetu bez wiedzy użytkownika urządzenia, co było wówczas nowością technologiczną w obszarze szkodliwego oprogramowania. Co najważniejsze, zastosowany model hybrydowy – w którym koń trojański rozprzestrzeniał się samodzielnie i komunikował się ze zdalnym serwerem – spowodował pojawienie się wśród analityków obaw, że jest to być może zapowiedź nowego rodzaju wirusów: botnetów na telefony komórkowe. Późniejsze wydarzenia potwierdziły słuszność tych obaw.
Rok 2010: tworzenie oprogramowania malware na urządzenia mobilne staje się „przemysłem”
W roku 2010 miało miejsce ważne wydarzenie w historii oprogramowanie malware na urządzenia mobilne: przestało ono być procederem dokonywanym przez pojedyncze osoby lub małe grupy, a stało się zorganizowaną działalnością przestępczą na skalę światową.
Ponadto w roku 2010 pojawiło się pierwsze szkodliwe oprogramowanie na urządzenia mobilne, wywodzące się z platformy PC. Był to Zitmo (Zeus in the Mobile), pierwsze znane rozszerzenie konia trojańskiego Zeus opracowanego na platformę PC w celu kradzieży pieniędzy z kont bankowych. Współpracując z Zeusem, Zitmo pozwalał na obejście zabezpieczenia transakcji bankowych online, opartego na wiadomościach SMS.
Innym szkodliwym oprogramowaniem, o którym dużo pisano w 2010 roku, było Geinimi. Była to jedna z pierwszych aplikacji malware na platformę Android. Powodowała ona, że zainfekowany telefon stawał się częścią mobilnego botnetu. Po zainstalowaniu aplikacja komunikowała się ze zdalnym serwerem i była w stanie wykonywać szereg różnych poleceń, takich jak instalowanie i odinstalowywanie aplikacji – w praktyce przejmując kontrolę nad urządzeniem.
Chociaż pojawienie się oprogramowania malware na platformę Android, w tym mobilnych botnetów, było bez wątpienia ważnym wydarzeniem roku 2010, jego znaczenie zostało przesłonięte rozwojem zorganizowanej cyberprzestępczości, która zaczęła czerpać ekonomiczne korzyści z takiego oprogramowania.
Rok 2011: Android, Android i jeszcze raz Android!
W roku 2011 nasiliły się ataki na platformę Android. Pojawił się wówczas DroidKungFu, który nadal uważany jest za jeden z najbardziej zaawansowanych technologicznie wirusów. Wykorzystując dobrze znany exploit (metodę ataku za pomocą luki w zabezpieczeniach) – uDeb albo Rage Against The Cage – wirus przydziela sobie rolę administratora (root) i przejmuje całkowitą kontrolę nad telefonem, który od tej chwili wykonuje polecenia odbierane z serwera. Wirus ten potrafił także uniknąć wykrycia przez oprogramowanie antywirusowe, wygrywając pierwszą bitwę w trwającej wojnie pomiędzy cyberprzestępcami a środowiskiem rozwijającym zabezpieczenia antywirusowe. Podobnie jak w przypadku wcześniejszych wirusów, DroidaKungFu można było zakupić na chińskich forach lub w nieoficjalnych sklepach z aplikacjami online.
W 2011 roku pojawiło się także szkodliwe oprogramowanie Plankton, nadal zaliczane do najbardziej rozpowszechnionych na platformie Android. Plankton występuje nawet w dużej liczbie aplikacji dostępnych z Google Play – oficjalnego sklepu z aplikacjami do systemu Android. Jest to agresywna wersja oprogramowania typu adware, które pobiera niepożądane reklamy, zmienia stronę startową przeglądarki mobilnej bądź dodaje nowe skróty i zakładki.
Ciekawostka: Plankton należy do pierwszej dziesiątki najbardziej rozpowszechnionych wirusów we wszystkich kategoriach, dorównując pod tym względem najpopularniejszym wirusom na platformę PC. Minęły już czasy, gdy szkodliwe oprogramowanie na urządzenia mobilne pozostawało w tyle za swymi odpowiednikami na platformę PC. Sam tylko Plankton zainfekował ponad 5 mln urządzeń.
Rok 2013: gra toczy się nadal — nowe sposoby ataku
W roku 2013 pojawił się FakeDefend – pierwsze oprogramowanie typu ransomware na telefony z systemem Android. Jest to koń trojański, który ukrywa się pod przykrywką programu antywirusowego i działa analogicznie jak fałszywe programy antywirusowe na platformie PC, tj. blokuje urządzenie i żąda od ofiary zapłacenia okupu (w tym przypadku w formie wygórowanej opłaty „abonamentowej”) w zamian za umożliwienie odzyskania zawartości urządzenia. Zresztą zapłacenie okupu nie daje żadnych efektów i jedynym sposobem odzyskania funkcjonalności urządzenia jest przywrócenie ustawień fabrycznych.
W 2013 roku pojawił się także Chuli, pierwszy atak APT wykorzystujący oprogramowanie malware na platformę Android. Konto e-mail aktywisty uczestniczącego w Światowej Konferencji Uyghur, która miała miejsce w Genewie w dniach 11-13 marca 2013 roku, zostało wykorzystane do zaatakowania kont innych tybetańskich aktywistów i obrońców praw człowieka. Z zainfekowanego konta zostały rozesłane wiadomości e-mail, które w załączniku zawierały kopię robaka Chuli. Zbierał on następnie takie dane jak przychodzące SMS-y, dane kontaktowe przechowywane na karcie SIM i w telefonie oraz informacje o położeniu, a także rejestrował rozmowy telefoniczne ofiar. Wszystkie te informacje były wysyłane do zdalnego serwera.
Rok 2013 może być uznany za rok, w którym ataki na platformę mobilną stały się w pełni profesjonalne. Specyficznie ukierunkowane i wysoce zaawansowane mobilne oprogramowanie malware, takie jak FakeDefend i Chuli, świadczy o tym, że sytuacja na platformie mobilnej jest już porównywalna z sytuacją na platformie PC.
Co dalej? W dziedzinie cyberprzestępczości trudno jest przewidywać przyszłość w skali jednego roku, a co dopiero w skali następnych 10 lat. Zagrożenia na platformy mobilne zmieniły się radykalnie na przestrzeni ostatniej dekady, a środowisko cyberprzestępców w dalszym ciągu poszukuje nowych, coraz bardziej pomysłowych sposobów wykorzystania ataków do jednego celu – uzyskania pieniędzy.
Niemniej jednak można zasadnie przewidywać, że w związku z gwałtownym rozwojem smartfonów i innych technologii mobilnych nastąpi konwergencja szkodliwego oprogramowania na obie platformy – urządzeń mobilnych i komputerów PC. Gdy wszystko będzie „mobilne”, również szkodliwe oprogramowanie będzie „mobilne”.
Poza urządzeniami mobilnymi, najbardziej prawdopodobnym celem przyszłych ataków cyberprzestępców będzie Internet Rzeczy (IoT — Internet of Things). Chociaż prognozowanie liczby połączonych (komunikujących się ze sobą) obiektów w okresie następnych 5 lat jest bardzo trudne, Gartner szacuje, że w 2020 roku będzie to 30 mld obiektów, a IDC — że będzie to 212 mld obiektów. Możemy racjonalnie przypuszczać, że chociaż producenci i usługodawcy w coraz większym stopniu wykorzystują związane z tym możliwości, aspekty bezpieczeństwa nie zostały jeszcze należycie uwzględnione w procesie opracowywania takich nowych produktów. Czy zatem IoT otworzy przed cyberprzestępcami nowe wielkie możliwości?
Źródło: Zespół FortiGuard Labs firmy Fortinet
Technogadżet w liczbach