Мобильные устройства, как наиболее актуальные угрозы безопасности


Развитие вредоносных программ для популярных мобильных платформ представляет серьезную опасность как для пользователей, так и для корпоративных сред, в которых применяются личные мобильные устройства сотрудников.


Типичные представители вредоносных программ
Наиболее опасные угрозы данного типа:

  • Троянские программы семейства Android.SpyEye
  • Коммерческие продукты, предназначенные для кибершпионажа
  • Вредоносные приложения, способные перехватывать СМС и сообщения электронной почты, содержащие конфиденциальную информацию


Кроме специализированных под конкретные ОС вредоносных программ, существуют трояны, способные работать на любой мобильной платформе с поддержкой Java.


Причина актуальности угрозы
На данный момент недостаточная защищенность мобильных устройств представляет серьезную угрозу как для их владельцев, так и для компаний, сотрудники которых так или иначе используют мобильные устройства.

Внедренная в мобильное устройство вредоносная программа может:

  • получить доступ к почтовой переписке, паролям используемых программ, системам работы с денежными средствами;
  • получить доступ к конфиденциальным данным;
  • отправлять СМС и звонить на платные номера;
  • включать микрофон без ведома жертвы;
  • получать данные от GPS-навигатора о местонахождении жертвы;
  • получать доступ к СМС-переписке и истории совершенных звонков.


Владелец зараженного устройства может оказаться под полным круглосуточным контролем!

Заражение мобильных устройств представляет особо опасную угрозу безопасности, поскольку:

  • пользователи работают с важной почтой и конфиденциальными данными на своих устройствах;
  • троянские программы способны отсылать СМС-сообщения на платные номера и подключать жертву к подпискам с регулярной абонентской платой, что может привести к потере денежных средств пользователями;
  • доступ злоумышленников к сообщениям электронной почты и СМС может привести к разглашению важной конфиденциальной информации, включая пароли от различных учетных записей;
  • вредоносные программы, способные получить доступ к операционной системе мобильного устройства с полномочиями администратора, могут устанавливать на инфицированное устройство другие приложения, в том числе программы-шпионы.


Отсутствие защиты снижает эффективность работы, а также создает возможность утечки, подмены или компрометации важных данных. В случае с сотрудниками компаний, вообще можно потерять важные для компании материалы. Т.к. нередко сотрудники работают не только на своем рабочем месте, но и дома, в дороге, на отдыхе, а распространение мобильных устройств и доступность Интернета в любой момент и в любом месте дают эту возможность. Как следствие, отсутствует гарантия получения только безопасного контента, вне офиса люди никак не защищены от атак злоумышленников. Не ограничиваемые корпоративной политикой безопасности, пользователи устройств самостоятельно скачивают и устанавливают различные приложения. При этом эти приложения могут, как иметь уязвимости, так и содержать в своем составе специально разработанные вредоносные программы.

Причиной роста количества угроз для Android, является открытость основных исходных кодов этой операционной системы. Любые обнаруженные в ней уязвимости мгновенно становятся достоянием широкой общественности. ОС Android доступна большому числу производителей, выпускающих смартфоны с различными техническими характеристиками и версиями операционной системы. Несмотря на попытки Google оперативно выпускать обновления системы, закрывающие обнаруживаемые уязвимости, обилие различных модификаций платформы часто мешает пользователям своевременно получать эти обновления, так как каждый производитель имеет свою стратегию по их выпуску. Случается и так, что производитель вообще отказывается от дальнейших обновлений некоторых моделей мобильных устройств по причине их устаревания, экономическим или техническим соображениям или же по каким-либо другим причинам, и пользователи становятся беззащитными перед угрозой проникновения в систему вредоносного ПО.

Доступный исходный код Android также может использоваться различными энтузиастами, создающими свои сборки операционной системы. Вирусописатели освоили и эту нишу. Они могут распространять троянские программы (Android.SmsHider), имеющие цифровую подпись одного из образов такой сборки. Среди типов данных, подвергающихся опасности хищения при проникновении на мобильное устройство вредоносных программ, можно перечислить СМС-сообщения и почтовую переписку, документы, фотографии, посещенные веб-страницы, журнал браузера, данные GPS-приемника. Отдельную опасность представляет возможность подмены злоумышленниками просматриваемых пользователем веб-страниц, внедрение в них посторонних форм и объектов. Некоторые троянские программы способны записывать и передавать злоумышленникам голос во время телефонных разговоров с использованием инфицированного смартфона. А в компании вообще, чем выше положение владельца такого устройства в самой компании, тем более ценными могут оказаться похищенные злоумышленниками сведения.


Пути и методы проникновения
Распространение вредоносных программ для мобильных устройств:

  • Использование известных уязвимостей, эксплуатирующихся для повышения привилегий вредоносного приложения в системе (Android.Gongfu, Android.DreamExploid, Android.Wukong)

  • Использование методов социальной инженерии:
    • предложение установить обновления (Android.Crusewind, Java.SMSSend, Android.SmsSend);
    • предложение бесплатно загрузить платное коммерческое приложение;
    • предложение о срочной проверке мобильного устройства на вирусы. Нажав на ссылку, пользователь попадает на сайт, якобы сканирующий мобильное устройство. При этом сайт может заимствовать внешний вид известных антивирусных ресурсов и программ, например, внешнее оформление Dr.Web Security Space версии 7.0 (Android.SmsSend).

  • СМС, электронная почта, слежение за его перемещениями по данным GPS-навигатора.

  • Рассылка СМС. Зараженные устройства могут использоваться для рассылки спама или иных тестовых сообщений (Android.NoWay), политических (Android.Arspam) и религиозных сообщений. Список рассылки может задаваться извне или браться из списка абонентов адресной книги. Разосланные сообщения и входящие СМС с информацией о приеме платежа оператором, вредоносная программа старается удалить из памяти смартфона (Android.SmsSend). Отправка платного СМС может производиться уже на этапе установки вредоносной программы: при запуске пользователю демонстрируется текст о том, что владелец мобильного устройства соглашается с некими условиями, причем само соглашение с перечнем этих условий, как правило, отсутствует. В случае если соглашение присутствует, оно может быть скрыто от пользователя или иметь нейтральный, незаметный вид. При подтверждении согласия нажатием на соответствующую кнопку приложение немедленно попытается отправить платное СМС-сообщение. Возможен вариант, когда после запуска на экране устройства появляется вступительный текст и две кнопки: подтверждение согласия с условиями лицензии, и вторая, для перехода к тесту соглашения. При этом соглашение располагается на стороннем веб-сайте, который в данный момент не функционирует, поэтому ознакомиться с предлагаемыми условиями пользователь не может.

  • Осуществление звонков на платные номера (Android.Fakevoice), кража денег со счетов владельцев мобильных телефонов путем подписки их на различные платные сервисы.

  • Добавление сайтов, указанных в конфигурационном файле вредоносной программы, в закладки браузера (Android.Anzhu).

  • Кража конфиденциальной информации (Android.Gongfu, Android.SpyEye, Android.DreamExploid, Android.Gone). Украденные данные загружаются на специально созданный вирусописателями сайт. Данные могут быть проданы для использования в спам-рассылках, целевом вымогательстве, осуществляемом с учетом знания данных жертвы. К числу платных шпионских программ относятся Flexispy, Mobile Spy, Mobistealth.

  • Вымогательство денег за похищенную информацию (Android.Gone).

  • Запуск и удаление различных программ на инфицированном устройстве, загрузка других вредоносных приложений (Android.Gongfu, Android.Anzhu).

  • Выполнение на инфицированном устройстве получаемых от управляющего центра команд (Android.Plankton, Android.Gongfu, Android.GoldDream, Android.Anzhu).

  • Кража паролей доступа к различным программам и интернет-сервисам, например к FTP-ресурсам компании.

  • Кража денежных средств через системы ДБО (Android.SpyEye).

  • Включение зараженных машин в управляемые ботнеты, координируемые из одного (или нескольких) командных центров.


Методы перехвата информации

  • Контроль за всеми СМС-сообщениями, а также входящими и исходящими телефонными звонками, запись сведений об этих событиях (в том числе телефонных номеров, с которых или на которые выполнялся звонок или отправлялось сообщение), сохранение содержания звонка и содержимого СМС (Android.GoldDream).

  • Запись нажатий пользователем клавиш — в том числе на виртуальной клавиатуре (Android.AntaresSpy.1).

  • Перехват информации, вводимой пользователем в браузере (в том числе во время работы с банком).

  • Подмена страниц банковских сайтов. В просматриваемую пользователем веб-страницу осуществляется инъекция постороннего содержимого, способная включать различный текст или веб-формы. Таким образом, ничего не подозревающая жертва загружает в браузере настольного компьютера или ноутбука веб-страницу банка, в котором у нее открыт счет, и обнаруживает сообщение о том, что банком введены в действие новые меры безопасности, без соблюдения которых пользователь не сможет получить доступ к системе "Банк-Клиент", а также предложение загрузить на мобильный телефон специальное приложение, содержащее троянскую программу (Android.SpyEye.1).

  • Анализатор трафика и вклинивание в интернет-трафик в поисках учетных данных и передаваемых значений.

  • Перехват функций, которые могут участвовать в передаче данных.

  • Запись голоса во время телефонных разговоров.

  • Копирование и передача файлов, хранящихся во внутренней памяти устройства или на подключаемом накопителе.


Методы маскировки от средств контроля и наблюдения

  • Маскировка под легитимное ПО: игры, живые обои, "полезные" программы и т. д.
  • Маскировка под компонент операционной системы или системную утилиту.
  • Запуск процесса с привилегиями администратора, блокировка попыток удалить вредоносное приложение (Android.SmsSend.186.origin).
  • Скрытие требуемых для работы вредоносной программы разрешений (Android.MulDrop.5.origin).


Обязательные средства защиты

  • Система проверки ссылок. Позволяет исключить возможность перехода на зараженные и мошеннические ресурсы.

  • Проверка всех поступающих на устройство файлов. Позволяет уменьшить риск внедрения вредоносных программ из недоверенных источников, а также избежать скрытой загрузки незапрошенных компонентов приложений, содержащих вредоносный функционал.

  • Формирование списка разрешенных приложений. Позволяет уменьшить риск запуска неизвестных приложений без их предварительной проверки на безопасность.

  • Система ограничения доступа. Позволяет ограничить количество посещаемых ресурсов до необходимого минимума, что минимизирует риск заражения с сайтов, содержащих вредоносные объекты.

  • Антивирусный монитор. Позволяет исключить заражение с помощью вредоносных объектов, проникших на машину пользователя без проверки — в том числе в запароленных архивах или с помощью специальных протоколов передачи данных.

  • Антивирусный сканер. Дает возможность обнаружения вредоносных программ, каким-либо образом сумевших проникнуть на устройство (в том числе в тот период, когда сигнатура данной вредоносной программы еще не была добавлена в вирусные базы).


Кроме установки и настройки программных средств защиты, рекомендуется:

  • ограничить права пользователей;
  • не работать в системе с правами администратора;
  • использовать стойкие пароли.


Внимание! Перечисленные меры защиты должны быть приняты на всех мобильных устройствах, вне зависимости от используемой операционной системы.