Защита мобильных устройств

Введение

В течение последних десятилетий функциональные возможности мобильных устройств постоянно возрастали. Так, например, в работе с корпоративной и личной документацией мобильные устройства уже не уступают по уровню возможностей персональным компьютерам. Компактность и удобство мобильных устройств привели к тому, что современные люди, фактически не расстаются со своими гаджетами, которые стали незаменимыми помощниками и источниками уникальной личной информации. Эти аспекты естественно ведут к росту числа мобильного вредоносного программного обеспечения, а также к более сложным векторам атак и каналов утечки информации.

Защита мобильных устройств

Число видов вирусов для мобильных устройств в последние годы существенно возрасло. Мобильным устройствам стали угрожать уже не только сравнительно безобидные трояны-кликеры, но и полноформатные вирусы и шпионское программное обеспечение. Практически все исследовательские компании определяют следующие виды вирусных угроз:

1. Adware и кликеры. Часто для определения этого типа угроз применяется термин «Madware» (Mobile Adware). Главной целью данного класса вредоносного программного обеспечения является показать пользователю нерелевантную рекламу и генерировать искусственный переход на сайты рекламодателей. При помощи «Madware» злоумышленники могут заработать «клики» и демонстрировать оплачивающим их компаниям иллюзию интереса пользователя.
2. Spyware является программным обеспечением, осуществляющим кражу персональных данных или реализующим слежение за своим носителем. Практически, мобильное устройство может оказаться полноценным «жучком», который передает злоумышленникам данные о сетевой активности, геолокации, истории перемещений, а также фото и видеоинформацию, данные о покупках, кредитных картах и другую информацию.
3. Дроппер является вредоносным программным обеспечением, задачей которого является скачивание других вредоносных программ.
4. Вирус является программным обеспечением, которое способно нанести очевидный вред, к примеру, вывести из строя конкретное приложение или одну из функций устройства.
5. Бот является агентом бот-сетей, то есть, это вредоносное программное обеспечение, которое по команде C&C-сервера способно осуществлять требуемую злоумышленнику сетевую активность.

Мобильные устройства также могут подвергаться и стандартным атакам (к примеру, DNS Hijacking, E-mail Phishing), поскольку они пользуются теми же базовыми пользовательскими сервисами, что и персональные компьютеры.

Вирусные эпидемии на мобильных устройствах способны затронуть от нескольких сотен до миллионов устройств. Статистика исследователей фирмы Positive Technologies показывает, что риски ОС Android и ОС iOS являются примерно равными, невзирая на строгую политику Apple в области обеспечения информационной безопасности. В качестве примера можно привести следующие самые известные версии мобильного вредоносного программного обеспечения:

1. Программа «Агент Смит».
2. Программа Culprit.
3. Программа SockPuppet или Unc0ver.
4. Программа Ztorg.
5. Программа Monokle.

Определить заражение программой «Агент Смит» можно по явному росту показов нерелевантной рекламы. Пока это единственное зафиксированное отрицательное воздействие этого вредоносного программного обеспечения, хотя, с точки зрения технически, оно обладает огромным вредоносным потенциалом.

Масштаб заражения Агентом Смитом охватывает примерно двадцать пять миллионов устройств, расположенных, главным образом, в Азии. Поведение этой программы отчасти похоже на работу таких вирусов, как Gooligan, Hummingbad, CopyCat. Программа «Агент Смит» работает следующим образом:

1. Пользователь может скачать дроппер вместе с зараженным приложением, которым может быть бесплатная игра или приложение, имеющее возрастной ценз.
2. Дроппер выполняет проверку наличия на мобильном устройстве популярных приложений, например, WhatsApp, MXplayer, ShareIt.
3. Дроппер осуществляет скачивание и распаковку архива, который становится APK-файлом, при необходимости, выполняет обновление и замену легитимного популярного приложения на зараженный вариант.

Culprit является вредоносным программным обеспечением под ОС Android, которое представляет собой встроенный в видеофайл код, использующий уязвимость CVE-2019-2107 в ОС Android 7.0 до 9.0 (Nougat, Oreo, Pie). Достаточно выполнить открытие видеофайла, полученного в фишинговом MMS или сообщении из мессенджера, и вредоносное программное обеспечение может получить полный набор прав в системе.

SockPuppet или Unc0ver является вредоносным программным обеспечением, позволяющим получить злоумышленнику права супер пользователя для операционных систем iOS и MacOS (Jailbreak). Вредоносное программное обеспечение может быть скачано в составе зараженного приложения, которое в течение некоторого промежутка времени было доступно даже в официальном магазине Apple. Эта программа постоянно обновляется и использует уязвимость CVE-2019-8605, которая может наследоваться новыми версиями iOS.

Старая версия трояна Ztorg под ОС Android после установки может собирать данные о системе и устройстве, отправлять их на командный сервер, откуда приходят файлы, предоставляющие возможность получения на устройстве прав супер пользователя (Jailbreak). Вредоносное программное обеспечение может распространяться через зараженные приложения и рекламные баннеры.

Monokle под ОС Android и iOS является трояном, позволяющим вести полноценный шпионаж за жертвой. Троян обладает набором эксплойтов для осуществления требуемых прав в системе, может распространяться, как правило, при помощи фишинга и зараженных приложений. Первые варианты таких программ были рассчитаны на ОС Android, однако уже есть версии и для устройств Apple.