Kaspersky Lab: szkodliwe programy III kw. 2013

Przeczytaj także: Kaspersky Lab: szkodliwe programy II kw. 2013

Wykorzystywanie różnych luk w systemie Android staje się coraz bardziej rozpowszechnione. Na przykład, Svpeng.a chronił nieistniejące archiwum przy użyciu nieistniejącego hasła i przechwytywał komunikat dotyczący nadania praw administratora urządzenia, przez co użytkownicy nie mogli samodzielnie usunąć aplikacji.

Prawa administratora urządzenia są obecnie wykorzystywane również przez inne szkodliwe programy, umożliwiając im efektywne działanie przez długi czas na większości wersji Androida.

Luki „Master key”: luki w Androidzie pozwalają aplikacjom uniknąć kontroli integralności

Na początku trzeciego kwartału zostały wykryte dwie bardzo nieprzyjemne luki w zabezpieczeniach Androida, z których dwie są określane jako luki “Master Key”. Luki te pozwalają zmodyfikować komponenty aplikacji, obchodząc sygnaturę kryptograficzną , tak aby Android nadal traktował je jako całkowicie legalne mimo nowej, potencjalnie szkodliwej zawartości.

Luki te mają wiele ze sobą wspólnego. Pierwsza z nich została wykryta jeszcze w lutym przez Bluebox Security Company, a następnie przedstawiona szczegółowo przez Jeffa Forristala podczas konferencji BlackHat w Las Vegas. Według Bluebox, luka ta występuje we wszystkich wersjach Androida począwszy od 1.6 i dlatego może dotyczyć niemal każdego urządzenia wprowadzonego do sprzedaży w ciągu minionych czterech lat. Aplikacje stanowią pojedyncze pliki z rozszerzeniem .APK (Android Package). Zwykle są to pliki ZIP, w których wszystkie zasoby są spakowane w plikach o specjalnych nazwach (kod aplikacji znajduje się zazwyczaj w classes.dex). Każda próba zmiany zawartości pliku APK jest zwykle powstrzymywana podczas instalacji aplikacji w systemie Android. Sam format ZIP nie wyklucza zduplikowanych nazw plików i w razie “zduplikowanych” zasobów Android wydaje się sprawdzać jeden plik, ale uruchamia inny.

Informacje dotyczące drugiej luki w zabezpieczeniach zostały opublikowane przez chińskich ekspertów. Problem polega tutaj na jednoczesnym wykorzystywaniu dwóch metod odczytu i rozpakowywania plików APK oraz dwóch różnych interpretacji języków Java i C. Podobnie jak w przypadku pierwszej luki, tu również można wykorzystać różne pliki APK o identycznych nazwach w celu “majstrowania” w systemie. Należy zauważyć, że jednym z warunków udanego ataku jest rozmiar pierwotnego pliku classes.dex – musi być nie mniejszy niż 64 kilobajtów, a tego nie spotkamy w większości aplikacji dla Androida.

Dane statystyczne

W III kwartale 2013 roku liczba próbek mobilnego szkodliwego oprogramowania stale rosła:
Rozkład próbek mobilnego szkodliwego oprogramowania wykrytych w III kwartale 2013 roku według rodzaju był podobny do II kwartału:
Pierwsze miejsce nadal zajmują backdoory, mimo że ich udział zmniejszył się o 1,3 punktu procentowego w porównaniu z II kwartałem 2013 r. Trojany SMS (30%), których odsetek zwiększył się o 2,3 punktu procentowego w stosunku do poprzedniego kwartału, znalazły się na drugiej pozycji. Podobnie jak w II kwartale, tuż za nimi uplasowały się trojany (22%) i trojany szpiegujące, które stanowią 5% ogółu. Backdoory i trojany SMS stanowią łącznie 61% całego mobilnego szkodliwego oprogramowania wykrytego w trzecim kwartale – to o 4,5 punktu procentowego więcej niż w II kwartale.
Mobilne szkodliwe programy zazwyczaj zawierają kilka szkodliwych komponentów, co oznacza, że backdoory często posiadają funkcjonalność trojana SMS, a trojany SMS mogą zawierać zaawansowaną funkcjonalność bota.
Dwanaście programów z rankingu należy do klasy Trojan-SMS. To sugeruje, że trojany SMS stanowią najpopularniejszy typ szkodliwego oprogramowania wykorzystywanego przez cyberprzestępców w atakach, których celem jest zarobienie pieniędzy na urządzeniach mobilnych.

Na najwyższej pozycji znajduje się werdykt DangerousObject.Multi.Generic – werdykt ten oznacza, że jesteśmy świadomi szkodliwego charakteru aplikacji, ale z jakichś względów nie dostarczyliśmy naszym użytkownikom sygnatur umożliwiających wykrycie jej. W takich wypadkach, wykrywanie jest możliwe za pomocą technologii opartych na chmurze zaimplementowanych w sieci Kaspersky Security Network, która umożliwia naszemu produktowi zminimalizowanie czasu reakcji na nowe i nieznane zagrożenia.