System mobilny, system tradycyjny - czy istnieją jeszcze bezpieczne platformy?

Z istnienia zagrożeń przeznaczonych na tradycyjne systemy operacyjne zdaje sobie sprawę większość posiadaczy komputerów. O tym, że zagrożone są platformy inne niż Windows wie już niewielu. Natomiast o możliwości zainfekowania szkodliwym oprogramowaniem telefonu komórkowego wiedzą niestety jedynie osoby interesujące się bezpieczeństwem oraz użytkownicy, którzy sami doświadczyli działania konia trojańskiego na swoim smartfonie lub tablecie. Mówiąc ogólnie, świadomość zagrożeń czyhających na posiadaczy sprzętu elektronicznego jest niewielka. Tym artykułem postaram się nieco rozjaśnić wątpliwości dotyczące bezpieczeństwa współczesnych systemów operacyjnych, zarówno tych tradycyjnych, jak i mobilnych.

Każdy system można zaatakować

Jeszcze kilka lat temu praktycznie wszystkie szkodliwe programy powstawały z myślą o systemach Windows. Początkowo były to wirusy mające na celu uprzykrzyć życie użytkownikowi. Cyberprzestępcy błyskawicznie zdali sobie jednak sprawę, że jest to wielomiliardowy rynek, który zasypany szkodliwym oprogramowaniem może przynosić spore dochody. Mało kto przypuszczał wtedy, że systemy takie jak Mac OS X, ówcześnie uznawane za "wirusoodporne" potrzebować będą ochrony antywirusowej. Szkodliwy kod miał być problemem użytkowników Windowsa. Nie minęło wiele lat, a sytuacja na rynku zagrożeń diametralnie się zmieniła... Obecnie platforma Mac OS X jest także zagrożona szkodliwym oprogramowaniem i coraz częściej notuje się przypadki infekowania tych systemów. Użytkownicy systemu spod znaku jabłka notują między innymi infekcje fałszywymi programami antywirusowymi, które nie mają żadnych właściwości zabezpieczających i pokazują fałszywe wyniki skanowania dysku. Wszystko po to, by nakłonić użytkownika do wykupienia pełnej licencji na aplikację, która nie robi nic poza wyświetlaniem reklam. W drugiej połowie 2011 r. nasi analitycy wykryli wiele fałszywych programów zabezpieczających o nazwach takich jak MacDefender, MacSecurity czy MacProtector.

Fałszywa aplikacja antywirusowa na system Mac OS X. Źródło: Kaspersky Lab

Od kiedy udziały Apple w segmencie systemów operacyjnych zwiększyły się, wzrosła także liczba wirusów i koni trojańskich pisanych dla systemu Mac OS X. Niestety, nic nie wskazuje na zmianę tego trendu, szkodliwy kod nie jest już problemem wyłącznie użytkowników Windowsa. Ale co z systemami mobilnymi?

Popularność nie musi iść w parze z zagrożeniami...

W przypadku infekowania szkodliwym oprogramowaniem mobilnych systemów operacyjnych, w odróżnieniu od platform tradycyjnych, cyberprzestępcy nie kierują się wyłącznie popularnością systemu. Wydawać by się mogło, że udział danego OS-a w rynku jest najważniejszą kwestią. W końcu dla systemu Windows, który jest najpopularniejszą platformą, pisanych jest nieporównywalnie więcej szkodliwego oprogramowania, niż dla Linuksa czy systemu Mac OS X.

Powyższy fakt nie znajduje jednak odzwierciedlenia wśród systemów mobilnych. Zgodnie z poniższym wykresem, trzy najpopularniejsze obecnie systemy operacyjne to Symbian, iOS oraz Android. Mimo to, zagrożenia dla iOS-a praktycznie nie istnieją, o czym możemy się przekonać analizując drugi wykres.

Popularność mobilnych systemów operacyjnych (styczeń - luty 2012). Źródło: StatCounter - GlobalStats.

Ilość mobilnego szkodliwego oprogramowania pisanego na konkretne platformy (podsumowanie dla 2011 r). Źródło: Kaspersky Lab.

Gdyby kierować się wspomnianą wcześniej zasadą, iOS, który zajmuje drugie miejsce w rankingach popularności, powinien być jednym z najczęściej infekowanym systemów mobilnych. Tak jednak nie jest. Wszystko z powodu polityki prowadzonej przez firmę Apple, twórcę iOS-a. Aplikacje dla tej platformy można pobierać jedynie z oficjalnego sklepu - AppStore. Zanim cokolwiek się tam znajdzie, musi zostać zatwierdzone przez Apple, dzięki czemu nie ma mowy o wprowadzeniu szkodliwego kodu do sklepu z aplikacjami. Dodatkowo iOS jest systemem zamkniętym, co oznacza, że użytkownik nie ma praw administratora. Sprawia to, że użytkownik nie ma możliwości ingerować w system operacyjny. Na ataki narażone są jedynie platformy iOS poddane procesowi "jailbreaku", który polega na nieautoryzowanym nadaniu uprawnień administratora. Dzięki temu możliwe staje się instalowanie programów spoza sklepu Apple, a tym samym nieświadome pobranie szkodliwego kodu.

Na dzień dzisiejszy, największy wzrost zagrożeń notuje się dla systemu Android. Mimo że Google, producent Androida, także posiada własny sklep z aplikacjami (Google Play, zwany dawniej Android Marketem), trafiające tak programu niekiedy okazywały się być trojanami. Rozwiązaniem tego problemu może się okazać usługa Bouncer wprowadzona przez Google. Ma ona skanować aplikacje w poszukiwaniu złośliwego kodu, jednak nie wiadomo jak tego typu rozwiązanie poradzi sobie w rzeczywistości i na ile skuteczny okaże się skaner zaimplementowany w Bouncerze. Ponadto, usługa ta nie blokuje drogi szkodliwym aplikacjom instalowanym poza Android Marketem. Wiele osób instaluje programy z nieoficjalnych źródeł, co może stać się przyczyną infekcji telefonu.

Przykładem szkodliwej aplikacji instalowanej poza Android Marketem jest program mający w założeniu monitorować aktywność SMS-ową użytkownika. Po zainstalowaniu w menu systemu można było zobaczyć ikonę "SuiConFo".

Przykład szkodliwej aplikacji SuiConFo napisanej dla systemu Android. Źródło: Kaspersky Lab.

Uruchomienie programu powodowało wysłanie czterech SMS-ów na numery o podwyższonej opłacie. Po uruchomieniu aplikacji, użytkownik był informowany o braku kompatybilności z zainstalowaną wersją systemu operacyjnego, podczas gdy w rzeczywistości wysyłane były SMS-y.

Ataki wieloplatformowe to nie science-fiction...

Jednym z najlepszych dowodów na konieczność ochrony wielu platform jednocześnie jest koń trojański ZeuS (występujący także pod nazwą Zbot), który atakuje klientów bankowości elektronicznej. Szkodnik ten infekuje komputery z tradycyjnymi systemami operacyjnymi, zdobywa informacje o loginie i haśle do konta bankowego, a w drugim etapie działania infekuje telefon w celu przechwycenia SMS-ów z kodami jednorazowymi. Poniższy schemat przedstawia kolejne kroki ataku:

Etapy ataku konia trojańskiego ZeuS.

ZeuS znany jest od 2010 r., jednak w tamtym okresie atakował on głównie klientów banków zachodnich. Do Polski zawitał na początku 2011 r., a jego twórcy za cel obrali sobie użytkowników między innymi banku ING.

Bardzo często zdarza się, że klienci banków otrzymują na swoje skrzynki phishing. Atak taki rozpoczyna się od otrzymania wiadomości elektronicznej z prośbą o zalogowanie się na stronie banku przy pomocy zawartego w mailu odnośnika. Zazwyczaj prośba taka jest motywowana względami bezpieczeństwa i koniecznością zmodyfikowania przez klienta ustawień konta. Z powodu stosowania przez polskie banki wielowarstwowych zabezpieczeń, wyłudzenie w najlepszym wypadku skończy się zdobyciem loginu i hasła, jednak konieczność podania kodu jednorazowego uniemożliwi przestępcy dokonania przelewu. ZeuS ominął także tę formę ochrony. Nie stosował on phishingu mailowego, lecz infekował system operacyjny. W momencie przejścia użytkownika na stronę banku, szkodliwe oprogramowanie podmieniało witrynę na fałszywą wersję. Poniżej widoczny jest przykład takiej strony:

Fałszywa strona logowania wygenerowana przez konia trojańskiego ZeuS. Źródło: ING Bank Śląski
Użytkownik proszony jest o podanie hasła dostępu. Należy zwrócić uwagę, że hasło nie jest podawane w formie maskowanej, gdzie do zalogowania potrzebne są tylko wybrane elementy. Dzięki temu przestępca nie napotka większych trudności w momencie logowania na prawdziwej stronie banku. Po podaniu przez klienta loginu i hasła, koń trojański przechodzi do wspomnianego wcześniej drugiego etapu ataku - infekcji telefonu komórkowego.
Fałszywa strona logowania wygenerowana przez trojana ZeuS. Źródło: ING Bank Śląski.

Na chwilę obecną najlepszą metodą infekcji urządzeń mobilnych jest nakłonienie posiadacza sprzętu do instalacji szkodliwego oprogramowania, które udaje pożyteczną aplikację. W przypadku ZeuSa aplikacją tą miał być certyfikat, paradoksalnie mający zwiększyć poziom bezpieczeństwo operacji takich jak logowanie czy przelewanie pieniędzy.

Fałszywa strona logowania wygenerowana przez trojana ZeuS. Źródło: ING Bank Śląski.

Klient banku przekonany o słuszności podejmowanych działań, podaje numer, markę oraz model telefonu i w odpowiedzi otrzymuje SMS-a z adresem strony internetowej, z której pobierze certyfikat. Przestępcy przygotowali wersje dla najpopularniejszych systemów operacyjnych, takich jak Android, Windows Mobile, BlackBerry czy Symbian. Osoba, która zainstalowała wskazane oprogramowanie, w rzeczywistości infekowała jedną z wymienionych platform. Od tego momentu wszystkie SMS-y przychodzące do właściciela telefonu były przekierowywane na numer przestępcy. Niestety wliczyć w to należy SMS-y z kodami jednorazowymi przesyłane przez bank.

W ten sposób cyberprzestępcy wchodzili w posiadanie wszystkich informacji niezbędnych do dokonania przelewu na dowolny rachunek. ZeuS wykorzystał zależności między systemami tradycyjnymi i mobilnymi do obejścia zabezpieczeń banku. W przyszłości ataki tego typu mogą stać się popularniejsze, ponieważ coraz więcej banków decyduje się na zastąpienie kart zdrapek systemem SMS-owym. Dodatkowo, coraz więcej osób korzysta ze smartfonów, które bez ochrony antywirusowej mogą zostać użyte przeciwko ich posiadaczom.

Podsumowanie

Tradycyjne systemy operacyjne potrzebują innej ochrony od oprogramowania kontrolującego pracę smartfonów i tabletów. Pecet czy laptop jest najczęściej na stałe podłączony do internetu i jest wykorzystywany do innych celów, niż urządzenia mobilne. Sprawdzanie poczty, odwiedzanie portali społecznościowych, pobieranie plików z różnych witryn, przeglądanie zasobów internetowych czy też podłączanie urządzeń zewnętrznych, takich jak dyski przenośne, sprawiają, że tradycyjny system wymaga ochrony kompleksowej. Smartfony i tablety są najczęściej infekowane podczas pobierania i instalowania aplikacji niewiadomego pochodzenia, ale z racji mobilności mamy do czynienia z dodatkowym zagrożeniem – zwiększonym prawdopodobieństwem zgubienia lub kradzieży sprzętu. W takiej sytuacji wszystkie dane w telefonie – wiadomości e-mail, kontakty, notatki, pliki - mogą znaleźć się w niepowołanych rękach. Z tego powodu ochrona antywirusowa musi zostać wzmocniona szyfrowaniem danych, a także funkcjami odnajdywania sprzętu przy użyciu modułu GPS lub zdalnego blokowania dostępu oraz kasowania danych SMS-em wysyłanym z innego telefonu.

Należy pamiętać, że kompleksowa ochrona dotyczy nie tylko instalacji programu antywirusowego na komputerze, ale także na zabezpieczeniu urządzeń, które mogą stać się obiektem ataków cyberprzestępców. Już niedługo infekcja tabletu czy smartfonu może być dla cyberprzestępców równie opłacalna, co infekowanie tradycyjnych komputerów.

żródło: Kaspersky Lab
(autor: Maciej Ziarek, analityk zagrożeń, Kaspersky Lab Polska )