F-Secure o nowych zagrożeniach w świecie Androida

Liczba złośliwych programów na Androida rośnie w każdym kwartale, czego nie był wyjątkiem II kwartał - raportuje F-Secure. Do laboratoriów firmy trafiły w tym czasie 5033 złośliwe aplikacje na Androida - o 64% więcej niż przed kwartałem.

W tej liczbie zidentyfikowanych zostało 19 nowych rodzin i 21 wariantów istniejących rodzin. Ogólnie rzecz biorąc, nowe warianty podejmują te same złośliwe działania, co poprzednie, ale wykorzystują skuteczniejsze metody zwalczania technologii antywirusowych w celu uniknięcia wykrycia.

Z biegiem czasu złośliwe oprogramowanie na Androida zaczęło wykorzystywać nowe metody infekcji, o czym świadczą warianty NotCompatible.A i Cawitt.A. W maju znaleziono pierwszy złośliwy program posługujący się metodą drive-by download (pobieranie szkodliwych programów ze stron internetowych bez wiedzy użytkownika), wykryty jako Trojan-Proxy:Android/NotCompatible.A.

Do zainfekowania urządzenia mogła wystarczyć wizyta w złośliwej witrynie, jeśli urządzenie było skonfigurowane tak, aby zezwalać na instalację z nieznanych źródeł. Podczas wizyty na specjalnie stworzonej www urządzenie automatycznie pobiera aplikację, która jest następnie wyświetlana w menu powiadomień, oczekując na zainstalowanie przez użytkownika. Aby przekonać go do instalacji, złośliwe oprogramowanie wykorzystuje metody socjotechniczne, nadając aplikacji taką nazwę, jak "com.Security.Update", a plikowi - "Update.Apk". Zainfekowane urządzenie zaczyna działać jako proxy albo staje się częścią sieci botów.

Oprócz drive-by download inną metodą infekcji odkrytą w tym kwartale jest wykorzystanie Twittera jako mechanizmu zarządzania botami. Na przykład Cawitt.A uzyskuje dostęp do konta na Twitterze (być może założonego przez złośliwe oprogramowanie), aby uzyskać adres serwera, z którym następnie się komunikuje i od którego otrzymuje polecenia.

Po otrzymaniu instrukcji program wysyła wiadomości SMS na pewne numery i przekazuje numer IMEI (International Mobile Equipment Identity), numer telefonu i identyfikator Androida do wspomnianego wyżej serwera.

Oprócz dalszego wzrostu liczby złośliwych programów Androida oraz odkrycia nowych metod infekcji, w drugim kwartale można było również zaobserwować trend ataków regionalnych. Na przykład w Hiszpanii pojawiło się wiele ataków związanych z bankowością. W tym kwartale dość często zgłaszany był program SmsSpy.F, spokrewniony z Zitmo. Oprogramowanie wydaje się wycelowane specjalnie w użytkowników, którzy przeprowadzają internetowe transakcje bankowe i potrzebują kodów Mobile Transaction Authorization Number (mTAN ).

Złośliwa aplikacja jest dostarczona jako wiadomość SMS, zalecając użytkownikowi pobranie aplikacji zabezpieczającej spod podanego łącza.