Cyberbezpieczeństwo

Bezpieczeństwo urządzeń mobilnych – podatności spowodowane wykorzystywaniem obcych obiektów

Sposobów na dostarczenie złośliwego oprogramowania do urządzeń mobilnych jest co najmniej kilkanaście. Do tej pory jedną z podstawowych metod przestępców było skłonienie użytkownika do zainstalowania niebezpiecznej aplikacji podszywającej się pod zwykły program. Przedstawiciele firmy BitSight informują jednak o nowym, niebezpiecznym trendzie, polegającym na umieszczaniu złośliwego oprogramowania wśród aplikacji domyślnie instalowanych przez producentów urządzeń.

Bezpieczeństwo urządzeń mobilnych – podatności spowodowane wykorzystywaniem obcych obiektów

Urządzenia mobilne stają się ostatnio podstawowym celem internetowych przestępców, ponieważ coraz więcej z nas używa ich jako narzędzi pierwszego wyboru do komunikacji i bankowości. Podstawowymi celami są – z oczywistych względów – systemy Google Android oraz Apple iOS, przy czym firma BitSight zastrzega, że to użytkownicy pierwszego z nich są w gorszej sytuacji pod względem bezpieczeństwa. Nie dość, że ten system operacyjny jest bardziej popularny, to – ze względu na częściowo otwarty charakter – jest bardziej podatny na działania przestępców.

Potencjalnie szkodliwe aplikacje

Z analiz BitSight wynika, że ostatnio autorzy złośliwych aplikacji coraz intensywniej próbują wykorzystywać nowy „kanał dystrybucji” programów PHA (Potentially Harmful Application), czyli dostarczają je na urządzenia mobilne, umieszczając je na nowych urządzeniach jako preinstalowane oprogramowanie – zanim jeszcze trafią do rąk użytkowników – lub próbując dołączać je za pomocą aktualizacji dystrybuowanych w modelu Over The Air (OTA). Oczywiście, zadanie to jest zdecydowanie trudniejsze niż przekonanie pojedynczych użytkowników do samodzielnego zainstalowania złośliwej aplikacji. Jeśli jednak ta sztuka się uda, to korzyści dla przestępcy mogą być ogromne.

Przestępcy maksymalizują wysiłki, aby wprowadzić aplikacje PHA do smartfonów. Dostarczenie złośliwego oprogramowania odbywa się bez żadnej akcji ze strony użytkownika. Wystarczy, że autorzy tych programów przekonają/zwiodą jeden podmiot – producenta lub operatora sieci GSM – i nie muszą już próbować oszukiwać rzeszy indywidualnych użytkowników. Dzięki temu łatwiej im dystrybuować PHA na ogromną skalę.

Po pierwsze, programy PHA automatycznie docierają do ogromnej liczby potencjalnych „ofiar”. Po drugie, cyberprzestępcy mogą śmiało założyć, że użytkownicy bardziej ufają aplikacjom preinstalowanym na urządzeniu i raczej nie będą traktowali ich jako potencjalnie niebezpieczne. Naturalnie, tego typu programy często są traktowane przez użytkowników jako zbędne i niepotrzebnie zajmujące miejsce (to tzw. bloatware), jednak mało kto kojarzy je z zagrożeniem.

Wirus w pakiecie lub aktualizacji OTA

Google już przed 2 laty ostrzegał, że przestępcy próbują wykorzystać nowy sposób dostarczania złośliwego oprogramowania. „Przestępcy maksymalizują wysiłki, aby wprowadzić aplikacje PHA do smartfonów. Dostarczenie złośliwego oprogramowania odbywa się bez żadnej akcji ze strony użytkownika. Wystarczy, że autorzy tych programów przekonają/ zwiodą jeden podmiot – producenta lub operatora sieci GSM – i nie muszą już próbować oszukiwać rzeszy indywidualnych użytkowników. Dzięki temu łatwiej im dystrybuować PHA na ogromną skalę (…) Preinstalowane aplikacje mają też wyższe przywileje dostępu do urządzeń, co sprawia, że łatwiej im wykonywać operacje, które w przypadku samodzielnie instalowanego oprogramowania zostałyby zablokowane przez zabezpieczenia Androida” – napisano w raporcie Google Android Security 2018.

Z analiz BitSight wynika, że ostatnimi czasy autorzy złośliwych aplikacji coraz intensywniej próbują wykorzystywać nowy „kanał dystrybucji” programów PHA (Potentially Harmful Application), czyli dostarczają je na urządzenia mobilne umieszczając je na nowych urządzeniach jako preinstalowane oprogramowanie – zanim jeszcze trafią do rąk użytkowników – lub próbując dołączać je za pomocą aktualizacji dystrybuowanych w modelu Over The Air (OTA).

Przedstawiciele BitSight zwracają uwagę, że preinstalowane złośliwe aplikacje najczęściej pojawiają się w tańszych urządzeniach, mniej znanych producentów. Mają oni zwykle mniejszą kontrolę nad tym, jak dokładnie działa oprogramowanie dostarczone im przez firmy trzecie. Przykładem takiej aplikacji jest np. program Triada, który został znaleziony przez Google w niektórych tańszych smartfonach rok temu.

Najbardziej zagrożone regiony

Z opracowania firmy BitSight dowiadujemy się też, że zjawisko to w największym stopniu dotyka użytkowników z Brazylii, Rosji i Indii. To właśnie smartfony dystrybuowane w tych krajach najczęściej wyposażone są w niebezpieczne „dodatki”. Oczywiście, nie jest to specjalne zaskoczenie. Kraje te to ogromne, ale umiarkowanie zamożne rynki. Nic więc dziwnego, że to właśnie w nich użytkownicy chętnie sięgają po tańsze smartfony. Liczby robią jednak wrażenie. Specjaliści z BitSight szacują, że np. w Brazylii aktywnych jest ok. 600 tys. smartfonów, na których złośliwe oprogramowanie zostało zainstalowane, zanim urządzenia te trafiły do użytkowników lub które dostarczono z wykorzystaniem aktualizacji. W Rosji liczba ta jest szacowana na ok. 200 tys. urządzeń, zaś w Indiach na 170 tys.

Problem jest szczególnie ważki w sytuacji, gdy takie potencjalnie zagrożone smartfony są wykorzystywane nie tylko do celów prywatnych, ale także dość powszechnie do zastosowań biznesowych. Dlatego też zdecydowanie zalecane jest wdrożenie i restrykcyjne używanie rozwiązań umożliwiających zdalne zarządzanie urządzeniami mobilnymi, jak również audytowanie ich konfiguracji oraz analizę ruchu sieciowego pod kątem bezpieczeństwa. Przydatna jest także przemyślana, odpowiedzialna i przestrzegana polityka korzystania ze sprzętu w modelu Bring Your Own Device.

Zestawienie złośliwych aplikacji, które przestępcom najczęściej udaje się umieścić w pamięci smartfonów, jeszcze zanim trafią one do użytkowników:

Cooee – koń trojański, który wyświetla reklamy i umożliwia operatorowi instalowanie w systemie dodatkowych komponentów. Pojawił się m.in. na niektórych smartfonach firmy Philips.
PrizeRAT – szpiegujący użytkowników trojan zdalnego dostępu preinstalowany na niektórych urządzeniach uleFone.
SSuggest – aplikacja instalowana na starszych modelach urządzeń Samsung. Sam program nie zawierał szkodliwych komponentów, mógł być jednak wykorzystany do instalowania w systemie niebezpiecznych aplikacji.
RagentekOTA – potencjalnie niebezpieczny mechanizm aktualizacji oprogramowania, który może być wykorzystany do instalowania niebezpiecznych aplikacji. Bywa preinstalowany na tanich urządzeniach marek BLU, Infinix, Doogee, Leagoo i Xolo.
ActivateTBKS – kolejny program pozwalający na nieautoryzowane instalowanie dodatkowego oprogramowania. Pojawiał się na niektórych smartfonach TCL i Alcatel.

Tagi

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *