Kolejne ataki na urządzenia mobilne

Przeczytaj także: Biznes oszukany. Czym się zajmą hakerzy w 2019 r.?

Uwaga na bezpieczeństwo smartfonów

Urządzenia mobilne pod ostrzałem hakerów. Z opublikowanej analizy wynika, że co siódme (14%) z wykrytych zagrożeń wycelowane było w urządzenia pracujące w oparciu o system Android. Jak podkreśla Jolanta Malak, dyrektor Fortinet w Polsce, o swoje bezpieczeństwo mogą obawiać się prywatni użytkownicy smartfonów i tabletów, ale nie tylko oni.
– Jest to również problem dla przedsiębiorstw, ponieważ pracownicy często korzystają z ważnych aplikacji firmowych na osobistych urządzeniach mobilnych, co sprawia, że wzrasta ryzyko naruszenia bezpieczeństwa – mówi Jolanta Malak.

W ostatnim czasie analitykom Fortinet udało się wykryć kilka znaczących kampanii wycelowanych w użytkowników urządzeń mobilnych, podczas których wykorzystano m.in. trojana o nazwie xHelper. To zagrożenie potrafi nie tylko ponownie zainstalować się w systemie Android po jego wcześniejszym usunięciu, ale również pop przywróceniu ustawień fabrycznych urządzenia. Zainfekowany telefon lub tablet nawiązuje połączenie z serwerem zarządzającym działaniem złośliwego kodu (command & control, C&C) i pobiera z niego dodatkowe szkodliwe narzędzia, jak np. droppery (służą do pobierania szkodliwych aplikacji, w tym wirusów) czy rootkity, za pomocą których haker może uzyskać np. uprawnienia administratora i dzięki nim włamać się na urządzenia mobilne.

Rosyjscy cyberprzestępcy w akcji

Specjaliści Fortinet natrafili ostatnio również na szereg witryn internetowych reklamujących platformy wymiany kryptowalut. Po dalszej analizie okazało się, że były to strony phishingowe, z domenami zarejestrowanymi na rosyjskiej platformie hostingowej. Osoby inwestujące w kryptowaluty powinny więc za każdym razem upewniać się, że korzystają z legalnych platform wymiany danych.

Innym narzędziem, za którym prawdopodobnie stoją cyberprzestępcy z Rosji, jest infostealer pod nazwą Racoon (szop), a więc oprogramowanie służące do kradzieży informacji. Jest on dostępny na czarnym rynku w modelu usługowym jako MaaS (Malware-as-a-Service, czyli złośliwe oprogramowanie jako usługa). Racoon po raz pierwszy został wykryty w kwietniu tego roku, był dostępny wyłącznie w języku rosyjskim i sprzedawany na tamtejszych forach hakerskich. Teraz autorzy tego malware’u rozszerzyli swoją kampanię o fora anglojęzyczne.

Gdy atak się powiedzie, złośliwe oprogramowanie może wykonać jedno lub wszystkie z następujących czynności: robienie zrzutów ekranu, kradzież informacji o systemie i logów, danych przeglądarki, poświadczeń logowania oraz kradzież z portfela kryptowalut. Po pomyślnym zebraniu danych i wysłaniu ich do centrum command & control, Racoon próbuje usunąć ślady swojej obecności na zainfekowanym urządzeniu.

Kiedy cyberprzestępcy oglądają zbyt wiele anime

Zespół FortiGuard natrafił również na całkiem zabawną historię, w której cyberprzestępcy nazwali swoje narzędzia imionami postaci i przedmiotów pochodzących z popularnych japońskich serii anime. Narzędzia te miały takie nazwy jak Sakabota, Hisoka, Gon i Killua, wywodzące się z serii „Rurouni Kenshin” oraz „Hunter x Hunter”.

Przykładowo: Sakabota jest backdoorem, a więc umyślnie pozostawioną luką w zabezpieczeniach. Łączy się on z serwerami command & control poprzez protokół HTTP i był najbardziej aktywny w kampanii sięgającej drugiej połowy 2018 roku. Stwierdzono, że Sakabota umieszcza na zainfekowanych urządzeniach złośliwe oprogramowanie o nazwie Diezen, które komunikuje się z C&C za pomocą niestandardowego protokołu.

Przedstawione narzędzia dają cyberprzestępcy różne możliwości, w tym między innymi kradzież informacji, zbieranie haseł, robienie zrzutów ekranu zainfekowanego urządzenia lub też keylogging, czyli rejestrowanie klawiszy naciskanych przez użytkownika.