Ewolucja złośliwego oprogramowania I kw. 2014

Przeczytaj także: Ewolucja złośliwego oprogramowania 2013

Jeśli właściciel zainfekowanego urządzenia posiada konto w portfelu QIWI, a trojan otrzyma informacje o dodatnim saldzie na koncie portfela, szkodliwe oprogramowanie może przelać pieniądze z konta użytkownika na wskazane przez cyberprzestępców konto w portfelu QIWI. Właściciele trojana wysyłają specjalny numer systemu QIWI za pośrednictwem wiadomości tekstowej, wskazując ID portfela szkodliwych użytkowników oraz kwotę, jaka ma zostać przelana.

Jak dotąd trojan ten atakował tylko rosyjskich użytkowników. Jednak szkodnik ten może być wykorzystywany przez cyberprzestępców do kradzieży pieniędzy użytkowników również w innych państwach, w których powszechnie wykorzystywane są zarządzane tekstowo systemy e-portfeli.

Złe wieści

W pierwszym kwartale 2014 r. został wykryty trojan atakujący system iOS. Szkodnik ten stanowi wtyczkę dla Cydia Substrate, popularnej platformy przeznaczonej dla zrootowanych/zhakowanych urządzeń. Istnieje wiele programów partnerskich skierowanych do twórców aplikacji, za pomocą których mogą promować swoje aplikacje przy użyciu modułu reklamującego i zarobić pieniądze na wyświetleniach reklam. W niektórych z takich modułów trojan podmienia ID twórców aplikacji na ID szkodliwych użytkowników. W efekcie wszystkie pieniądze za wyświetlenia reklam trafiają do kieszeni szkodliwych użytkowników.

Eksperci z Turcji wykryli exploita, który przeprowadzał atak DoS na urządzenie, a następnie powodował jego powtórne uruchomienie. Szkodliwi użytkownicy mogą wykorzystać tę lukę, aby stworzyć aplikację dla Androida przy pomocy pliku AndroidManifest.xml, który zawiera dużą ilość danych w każdym polu nazwy (AndroidManfiest.xml to specjalny plik znajdujący się w każdej aplikacji dla Androida). Plik ten zawiera dane dotyczące aplikacji, w tym zezwolenia dostępu dla funkcji systemowych, znaczniki dla procesorów dla różnych zdarzeń itd. Wprawdzie nowa aplikacja zostanie zainstalowana bez problemów, ale gdy np. jakieś działanie zostanie wywołane za pomocą konkretnej nazwy, urządzenie zawiesi się. Szkodliwy użytkownik może np. stworzyć program do obsługi przychodzących wiadomości tekstowych przy użyciu błędnej nazwy, a po otrzymaniu dowolnej wiadomości tekstowej telefon po prostu zawiesi się i stanie się bezużyteczny. Urządzenie będzie bez przerwy uruchamiało się powtórnie, a użytkownikowi pozostanie tylko jeden sposób rozwiązania problemu: przywrócenie oprogramowania firmowego, co spowoduje utratę wszystkich danych przechowywanych na urządzeniu.

Szkodliwy spam

Jedną ze standardowych metod wykorzystywanych do rozprzestrzeniania mobilnego szkodliwego oprogramowania jest szkodliwy spam. Jest to jedna z ulubionych metod cyberprzestępców, którzy wykorzystują trojany mobilne w celu kradzieży pieniędzy z kont bankowych użytkowników.

Treść szkodliwego spamu stanowi zwykle ofertę pobrania aplikacji przy użyciu odsyłacza, który prowadzi do szkodliwego oprogramowania, lub odsyłacza do strony internetowej, w której zostało zaszyte szkodliwe oprogramowanie przekierowujące użytkowników do jakiejś oferty. Podobnie jak w przypadku szkodliwego spamu w poczcie e-mail, cyberprzestępcy posługują się głównie socjotechniką, aby przyciągnąć uwagę użytkownika.

Spam o temacie olimpijskim

Igrzyska olimpijskie to ogromne wydarzenie, a szkodliwi użytkownicy nie omieszkali wykorzystać zainteresowania tegoroczną olimpiadą w Sochi.

W lutym zidentyfikowaliśmy spam SMS zawierający rzekomo odsyłacze do transmisji zmagań olimpijskich. Jeśli nieostrożny użytkownik kliknął odsyłacz, jego smartfon próbował załadować trojana wykrywanego przez Kaspersky Lab jako HEUR:Trojan-SMS.AndroidOS.FakeInst.fb.

Trojan ten potrafi odpowiadać na polecenia szkodliwego użytkownika, wysyłać wiadomości tekstowe do znanego rosyjskiego banku i przelewać pieniądze z mobilnego konta właściciela za pośrednictwem zainfekowanego smartfona. Szkodliwy użytkownik może następnie przelać pieniądze z konta ofiary do swojego własnego e-portfela. Przy tym wszystkie wiadomości z banku dotyczące przelewu zostaną ukryte przed ofiarą.