Trojští koně ve vašem mobilu: jaké hrozby jsou právě v kurzu?

Smartphony a další chytrá mobilní zařízení jsou už dlouhou dobu označovány za rizikový faktor z pohledu běžných i pokročilých uživatelů, o přímých hrozbách se ale až tak moc nemluví. Které útoky tedy opravdu hrají prim?

Současné chytré mobilní platformy patří mezi oblíbený terč útočníků, a to hned z několika důvodů. Smartphony jsou především mnohem rozšířenější než před několika lety, a proto jsou stále atraktivnějším cílem. Úspěšný útok dnes i během krátké doby postihne větší množství uživatelů. Navíc se jedná o ideální zařízení: masově je využívají běžní uživatelé (kteří a priori bezpečnost podceňují) a poskytují transparentní připojení k internetu, které plno lidí v rámci mobilního telefonu ani pořádně nekontroluje.

Podvody a útoky na moderní mobilní telefony lze podle původu rozdělit do dvou základních kategorií: v první se nachází techniky, které jsou typické opravdu jen pro smartphony, ve druhé pak takové, jež kopírují scénáře a principy z klasického světa počítačů a běžných síťových nebezpečí. Zřejmě nepřekvapí, že posledně zmíněná oblast prozatím hraje prim. Podvodníci a útočníci přizpůsobili původní léty prověřené techniky nové platformě – právě z toho důvodu se můžeme nyní i do budoucna (ne)těšit na botnety vybudované z mobilních telefonů, krádeže dat z mobilů, mobilní trojské koně, speciální phishingové podvody a sociální inženýrství (též nazývané jako sociotechniky).

Na jednu z ukázkových hrozeb, která potrápila uživatele po celém světě, původně upozornila společnost Symantec. Daný škodlivý kód, který ohrožuje uživatele přístrojů se systémem Android, dostal jméno Android.Counterclank a šířil se prostřednictvím aplikací na Android Marketu (dnes Google Play). Během poměrně krátké doby uživatelé stáhli miliony aplikací s tímto škodlivým kódem, který se nacházel v různých programech pro mobilní telefony. Například aplikace „Counter Strike Ground force“, „Heart Live Wallpaper“ a „Sexy Girls Puzzle“ se snažily uživatele přesvědčit ke stažení a nainstalování.

Tato ukázka ztělesňuje současný palčivý problém s možností publikování a stažení podvodných aplikací, které procházejí nedostatečnou kontrolou – jedná se o nalezení vhodného kompromisu mezi snadnou distribucí obsahu, zároveň však jeho dostatečným prověřením. Některé další škodlivé kódy zatím těží z této „slabiny“, kterou však nelze považovat za přímou hrozbu. Spíše se jedná o usnadnění cesty k šíření škodlivého kódu, s nímž se v minulosti, současnosti a minimálně i blízké budoucnosti budou potýkat standardní, tj. nemobilní platformy.

Screenshot viru šířícího se přes Bluetooth. Zdroj: F-Secure

Klasikou a vzorem se kdysi stal vir Cabir.A, který vešel do historie mobilního malwaru. Zdroj: F-Secure 

S přispěním samotných uživatelů

Platformou, která láká útočníky s různými technikami zneužití, se zatím stává především OS Android. Zajímavou hrozbou je například DKFbootkit, který se na první pohled tváří jako legitimní aplikace, nicméně po instalaci se snaží donutit uživatele k povolení akcí, jež mění kód linuxového kernelu vlastní variantou. Jestliže je malware úspěšný, stane se z infikovaného mobilního zařízení klasický zombie s možností ovládání na dálku. Uživatelé samozřejmě musí akce malwaru na požádání potvrdit, nicméně historie i v případě běžných počítačů ukázala, že čtení varovných informací a dialogů nepatří mezi jejich silné stránky.

Reálnou hrozbou se tedy již nyní stává fakt, že z oblasti škodlivého kódu mohou vzniknout botnety, jak je známe z běžných počítačových sítí. Namísto zotročených zombie počítačů však budeme muset čelit na slovo poslouchajícím mobilním zařízením, která jsou schopna plnit přání jednoho společného pána. Výpočetní síla samozřejmě není natolik gigantická, nicméně útoky zatím běžní koncoví uživatelé příliš nečekají, a tedy nemusí být zrovna dvakrát ostražití. Jinak by však základní model zneužití botnetu mohl být stejný, jako je tomu v případě získání počítačů pod útočníkovu kontrolu – potichu budou čekat na hromadný příkaz k vybranému útoku, rozeslání podvodných zpráv apod.

Většina škodlivého kódu, který by v současnosti měl strašit uživatele chytrých telefonů, spadá do kategorie trojských koňů, a to z důvodu nezbytné interakce. Pokud se dnes oběť dostane do potíží je to v důsledku vlastního špatného rozhodnutí, tedy již zmíněného stažení pochybné aplikace, uvěření slibu, že program udělá něco jiného, než co se ve skutečnosti stane. Také tento koncept vychází z klasických počítačů a prozatím slaví úspěch.

Android antivirus

Antiviry a bezpečnostní aplikace pro smartphony: Nutnost, nebo nafouknutá bublina? Zdroj: Lookout 

Osvědčené cesty infiltrace

Praktickou ukázkou trojského koně, který již dokonce prošel různými verzemi, je například DroidDreamLight. Ten se na první pohled tváří jako neškodná a praktická aplikace umožňující sledovat stav baterie telefonu, aktuálně běžících procesů i přístupových práv, nicméně nakonec po úspěšné aktivaci provádí záškodnickou činnost. Mezi nekalé praktiky patří odcizení příchozích i odchozích SMS zpráv, seznamů volání, kontaktů a uložených informací, které jsou spojené s účty Googlu. Ukradená data jsou uložena v adresáři /data/data/%package name%/files a následně odeslána serveru, který je specifikován v samostatném konfiguračním souboru.

Tato praktická ukázka, která rozhodně nepatří jen do kategorie PoC kódů, upozorňuje na další problém: transparentní připojení k internetu. Vinou těsného spojení (nejen) smartphonů s internetem je dnes už v řadě případů těžké sledovat datový provoz, který neustále připojený mobil na cestách provází. V tomto případě samozřejmě přímo nemusí jít o zneužití samotnými útočníky, ale spíše uživatelovu nepozornost. Neškodí proto občas zkontrolovat, které mobilní aplikace jsou v tomto ohledu aktivní a ke kterému cíli se z jakého důvodu připojují.

EBF16

Na posledním místě, nikoliv však v poslední řadě je zapotřebí zmínit stále se rozvíjející programy dovolující útočníkovi ukrást peníze prostřednictvím různě připravených podvodů. Například neblaze proslulý GGTracker se v tomto ohledu stal vzorem: po návštěvě podvodné webové stránky napodobující běžný obchod s aplikacemi pro Android je do mobilního telefonu stažen škodlivý kód, který se snaží zasílat SMS zprávy na vybraná prémiová čísla. Právě tento model je typický například i pro účinný RuFraud, který navíc obsahuje také seznam draze placených čísel v Česku.

Kterého rizika pro smartphony a další chytrá mobilní zařízení se nejvíc bojíte vy osobně? Věříte, že už nastala vhodná doba pro instalaci odpovídajících antivirů nebo komplexních mobilních bezpečnostních aplikací, jejichž speciální verze výrobci vehementně propagují a doporučují? Podělte se o svůj názor a zkušenosti s ostatními čtenáři v diskuzi pod článkem.

7 názorů Vstoupit do diskuse
poslední názor přidán 31. 8. 2012 12:22

Školení: Právo pro e-shopy

  •  
    Jak provozovat e-shop v souladu se zákonem.
  • Jak přistupovat k vrácení zboží a spory se spotřebiteli.
  • Jak v souladu s právem marketovat e-shop.

Detailní informace o školení Právo pro e-shopy »