26. 7. 2013

Mobilní platformy u hackerů získávají na popularitě. S výměnou zastaralých mobilních zařízení bez operačního systému (OS) za nové „chytré“ smartphony nebo tablety s operačním systémem se zvyšuje riziko napadení a zneužití těchto zařízení útočníky. V ohrožení jsou pak nejen vyčerpané finanční částky mobilních tarifů, především ale citlivá osobní a služební data uložená v paměti telefonů.

Nejrozšířenější OS pro smartphony je open source platforma Android (verze 2.3-2.4 Gingerbread; 4.0-4.0.4 Ice Cream Sandwich a 4.1-4.3 Jelly Bean), založená na jádru systému Linux. Android běží na téměř 60 procentech všech chytrých mobilních zařízení, která byla na trh dodána v prvním čtvrtletí roku 20131. Proto také nejvíce bezpečnostních hrozeb a škod se týká zařízení, využívajících tento systém - až 99 % mobilního malwaru je určeno pro Android2.

Útoky na zařízení se systémem Android mívají široké zaměření - od zcizení osobních dat, zapnutí a monitorování mikrofonu a kamery, přes vynucené posílání draze placených sms na prémiová čísla až po vzdálené převzetí kontroly nad celým zařízením útočníkem. Kompromitovaný mobil může být zneužit i k útoku na bankovní účet uživatele, pokud jedinou ochranou přístupu do internetového bankovnictví je kontrolní kód posílaný na mobil. Zajímavá jsou samozřejmě i firemní data. Některá korporátní řešení včetně třeba Google Apps využívají mobilní telefony ke dvoustupňovému přihlášení, kdy kromě zadání vlastního hesla je nutné opsat kód zaslaný na mobil. Pokud je mobil infikován, útočník získá veškeré přihlašovací údaje. Více než polovina malwaru odhaleného ve 3. čtvrtletí 20123 v chytrých telefonech představovaly trojské koně v SMS zprávách, které oběti obírají o peníze z mobilních kont zasíláním prémiových SMS zpráv na čísla kybernetických zločinců. Historii malwaru pro Android naleznete zde4.

Způsobů, jak si malware pro Android do svého telefonu „opatřit“, je několik. Hlavním zdrojem nejběžnějších typů malwaru jsou aplikace třetích stran (od jiných dodavatelů, než je společnost vyrábějící mobilní zařízení, nebo oficiálně dodávající SW vybavení) stažené z různých marketplaces. Další vydatný zdroj škodlivých programů představují návštěvy nedůvěryhodných stránek s pornografickou tématikou, hrami (cracknuté hry z pochybných warez serverů), sázkové weby a instalace různého softwaru z odkazů na těchto stránkách. Nebezpečí na stažení škodlivého softwaru číhá i na uživatele, kteří chtějí připojit svůj telefon či tablet k počítači a hledají na internetu USB ovladače. Stránky se škodlivým kódem útočníci optimalizují na výrazy jako například „Windows Android drivers“, aby se ve vyhledávačích objevily na předních místech. Například výsledek hledání ovladačů pro Samsung Galaxy GIO S5660 skrze vyhledávač Yahoo! zavede uživatele na ruské webové stránky, kde je nabídnut ke stažení soubor install.exe, který je ve skutečnosti trojským koněm, označovaným jako Trojan.Win32.Generic!BT. Pokud uživatel tento program spustí, dojde ke změně domovské stránky prohlížeče na webové stránky eskortní služby. Jestliže uživatel navštíví stránku s prohlížečem na systému Android, dostává podvržené výsledky vyhledávání jednoho z pěti falešných Obchodů Play. A pokud je uživatel přesvědčen, že se nachází na skutečných stránkách Obchodu Play, je vysoce pravděpodobné, že si do svého mobilního zařízení stáhne škodlivý software.

V současné době se objevil nový postup, kdy se přes telefon malwarem nakazí i PC, ke kterému je telefon připojen5. Aplikace Superclean a její dvojče DroidCleaner (z Google Play už byly odstraněny) slibovaly zrychlení operačního systému Android, ale jsou navržené tak, aby „přeskočily“ na počítač uživatele a infikovaly jej. Stane se tak při spojení telefonu a počítače USB kabelem. Jedná se o velmi jednoduchý a průhledný způsob, který moderní operační systémy znemožňují prostým zákazem autorun instalace z externích zařízení. U starších verzí Windows je ale taková taktika úspěšná. Superclean, DroidCleaner a jejich následovníci nejsou pro zařízení s Androidem nebezpečné. Jejich cílem jsou starší verze Windows. Aplikace se automaticky spustí po připojení infikovaného telefonu a začne na počítači nahrávat zvuk skrze mikrofon (pokud jím je PC vybaveno; ohroženy jsou tedy například notebooky), ukládat pořízený záznam do souboru a následně ho odesílat autorovi malware.

 
Profily aplikací DroidCleaner a Superclean

Nakazit chytrý telefon lze i v případu, kdy si uživatel myslí, že instaluje nástroje pro zabezpečení systému Android. Nový vir Trojan!FakeLookout.A6 byl objeven v obchodě Google Play a krade citlivé osobní informace ze zařízení s Androidem, které následně přenáší na FTP server s neznámým provozovatelem. Trojan se skrýval v aplikaci s názvem „Updates“ (samotný instalační balíček se jmenuje com.updateszxt) od vývojáře Good Byte Labs a snažil se vzbudit dojem, že jde o aktualizaci bezpečnostní aplikace od společnosti Lookout Mobile Security. Po instalaci se skrývá, takže se nezobrazí v seznamu aplikací. Dokáže zcizit SMS a MMS zprávy, stáhnout soubory z paměťové SD karty uživatele a přeposlat je na neznámý FTP server někde v Coloradu v USA. Umožňuje také nahrát další škodlivý software do mobilního telefonu. Použití loga důvěryhodné aplikace ukazuje na vzrůstající agresivitu tvůrců malware.


Profil aplikace Updates

Další nový malware je antivirovou společností Kaspersky popsaný trojský kůň Backdoor.AndroidOS.Obad.a, označovaný jako nejsofistikovanější zatím odhalený malware pro Android všech dob, který toho umí toho opravdu hodně7. Pomocí upraveného AndroidManifest.xml, který obsahuje informace o právech aplikací a jejich struktuře, dokáže obelstít systém nebo antivirová řešení tak, aby nedokázala rozpoznat jeho potenciální nebezpečnost. Zvládne získat přístup k Device Administrator oprávněním aniž by byl následně v seznamu aplikací, které je mají, a pokouší se získat i oprávnění uživatele root. To vše při poměrné nízké šanci na jeho detekci. Většina jeho kódu se totiž do zařízení dostane v zašifrované a tedy reálně neanalyzovatelné formě, přičemž k rozbalení dochází až v momentě, kdy už je vir dostatečně infiltrovaný a nehrozí mu takové nebezpečí odhalení. Co všechno údajně dokáže? Odesílat SMS zprávy, získat aktuální kredit SIM karty pomocí protokolu USSD, chovat se jako proxy server (posílat určitá data na určité adresy), stahovat další .apk soubory a instalovat je, odeslat seznam veškerých nainstalovaných aplikací na zařízení, odeslat kontaktní informace uživatele zařízení, chovat se jako příkazový řádek ovládatelný přes internet, odeslat libovolný soubor na všechna připojená bluetooth zařízení.


Profil aplikace Backdoor.AndroidOS.Obad.a

Jak ochránit chytrý telefon

Jak tedy chytrý telefon s Androidem uchránit před nákazou malwarem? Zaručený návod fungující na sto procent neexistuje, základní bezpečnostní poučky již uživatele systému Android neochrání. Vše ztěžuje skutečnost, že viry v pravém slova smyslu v Androidu neexistují. Existuje pouze malware, což jsou v podstatě normální aplikace, které ale dělají něco jiného, než člověk očekává podle popisu. Na rozdíl od Windows potřebuje malware pro zprovoznění aktivní spolupráci uživatele ve formě vědomé instalace a odsouhlasení oprávnění. Uživatel je musí vědomě nainstalovat (samy to žádným způsobem nemůžou provést) a vědomě jim musí přidělit požadovaná oprávnění. Android má některé funkce antiviru vestavěné - od verze 4.2 skenuje aplikace instalované od třetích stran, služba Bouncer automaticky skenuje aplikace v Google Play, kde jakmile je aplikace nahrána, je spuštěna v simulovaném prostředí a porovnána s malware v databázi. Google Play také může na dálku odinstalovat aplikaci, pokud se později ukázala jako škodlivá. Možnosti, jak omezit hrozbu nákazy na minimum, má i uživatel:

  1. Dávejte vždy přednost důvěryhodným zdrojům instalovaných aplikací. Na pozoru byste měli být u neznámých programů i na obchodu Google Play. Protože ani instalace aplikací výhradně z tohoto Android marketu neznamená bezpečí pro vaše data. U neznámých programů zkoumejte, zda ho už používá větší množství lidí, zda má dobré recenze, je to opravdu od toho, od koho tvrdí, že je?
  2. Pozorně čtěte, jaká oprávnění po vás program žádá pro sebe k odsouhlasení a buďte opatrní při jejich povolování. Aplikace nemají díky descriptoru aplikace AndroidManifest.xml (představuje základní informace o aplikaci systému Android) přístup tam, kam ji při instalaci ten přístup sami nepovolíte. Proč by například hry, měly mít oprávnění posílat text? Nebo aplikace například pro kontrolu stavu baterie měla vyžadovat přístup ke kontaktům? Pokud si nejste jisti, zda oprávnění požadovaná programem jsou nutná, hledejte na webu Google Play, nebo stránkách autora, co on říká o oprávněních pro tento program, o jejich potřebnosti. Pokud nenajdete dostatek relevantních informací, tak takový program neinstalujte. Přehledně popsaná oprávnění aplikací v systému Android naleznete zde4, nebo na konci tohoto článku.
  3. Nenavštěvujte a nestahujte programy z podezřelých webů, tím se rozumí hlavně ty s pornografickým zaměřením. Bezpečnostní společností Blue Coat8 bylo zjištěno, že pornografické stránky jsou klíčovou hrozbou nákazy malware. Takže se vyhněte pochybným stránkám a vyhnete se velkému množství malware.
  4. Upgradujte, pokud je to možné, systém Android na novější verzi a povolte automatické aktualizace aplikací, často jsou pro ně totiž vydávány bezpečnostní opravy.
  5. Používejte bezpečnostní software (SW). Účinnost vestavěného antiviru v Androidu 4.2 je podle výzkumů jen asi 15 až 20 procent, ale existuje spousta účinných bezpečnostních balíků (i v bezplatné verzi free) u kterých můžete využívat nejen antivirové funkce, ale i security funkce pro zvýšení bezpečnosti vašeho zařízení. Můžete využít jejich nástroje, které se hodí při ztrátě nebo odcizení zařízení pro jeho deaktivaci. Ztracený mobil lze pak například na dálku pomocí SMS příkazů jednoduše ovládat. Je možné spustit poplach, kdy telefon spustí hlasitý zvuk a rozbliká displej. Dále lze na dálku zjistit polohu mobilního telefonu, a to jak na základě informací z mobilní sítě, tak prostřednictvím GPS navigace. Bezpečnostní SW umí na dálku také zařízení zamknout, nebo z něj vymazat data, upozorní na výměnu SIM karty a odešlou hlášení o posledních deseti odchozích hovorech. Podle výsledků testování antivirů společností AV-Comparative, která zveřejnila rozsáhlou zprávu o výsledcích testování antivirových programů za rok 20129, nejlépe oceněné produkty jsou BitDefender (1-2 místo), Kaspersky(1-2 místo), Avast, AVIRA, BullGuard, ESET, F-Secure a G Data. Nebo podle testů 21 antivirových aplikací provedených společností AVTest10 byl v lednu 2013 nejlepší free antivirus od společnosti TrustGo.
  6. Nenechávejte vaše zařízení se zapnutým "wifi ad hoc mode", pokud jej nepoužíváte.
  7. Používejte mobilní zařízení výhradně na práci, neinstalujte hry a aplikace pro zábavu. Na „hraní“ si raději pořiďte jiné zařízení, kde budete mít speciální gmail účet, vypnutou synchronizaci, neuložené kontakty v paměti zařízení (včetně paměťové karty) ani jiná citlivá data atd. Stažené aplikace z neověřených zdrojů, kontrolujte na mobilesandbox.org.

Druhy oprávnění aplikací při instalaci do systému Android:

(převzato ze: soom.cz: Android-úvod do security4)

Když si aplikace při instalaci na vaše android zařízení vyžádá konkrétní oprávnění, bez povolení všeho nemůžete instalovat. Tato oprávnění jsou rozhodující pro celkovou bezpečnost vašeho systému. Zde je vysvětlení toho, co některé z těchto oprávnění znamenají a jak důležité jsou:

Make Phone Calls:
Střední důležitost

Tato služba umožňuje přístup ke službám, které mohou stát peníze (telefonní hovory). S tímto se setkáte například u aplikací na blokování příchozích hovorů/SMS.

Send SMS or MMS:
Střední až vysoká důležitost

Tato služba umožňuje posílat textové nebo multimediální zprávy, které vás můžou stát peníze. Například SMS Backup, nebo SMS brány.

Modify or Delete SD Card Contents:
Střední důležitost

Tato služba umožňuje aplikaci číst a zapisovat na kartu SD. Primární využití této služby je přidat/editovat/mazat soubory (například obrázky a další multimédia, poznámky, atd.) a je používána mnoha legitimními aplikacemi. Doporučuje se důležitá data na kartě šifrovat.

Read Contact Data/Write Contact Data:
Velká důležitost

Popis mluví za vše. Pokud aplikace skutečně vyžaduje přístup ke kontaktům a nemá s nimi nic společného, rozhodně neinstalovat.

Read Calendar/Write Calendar Data:
Střední až vysoká důležitost

Stejné upozornění platí pro kalendář, protože události v kalendáři mohou obsahovat kontakty.

Read Phone State and Identity:
Střední až vysoká důležitost

Aplikace musí znát stav vašeho telefonu (jinak by mohla např. nechtěně přerušit telefonní hovor). Pomocí tohoto oprávnění může aplikace číst IMEI, IEMI, IMSI čísla.

Fine Location (GPS):
Velká důležitost

Díky tomuto oprávnění vás aplikace dokáže poměrně přesně sledovat. Instalovat pouze u navigačních aplikací atd.

Coarse Location (GPS):
Střední až vysoká důležitost

Stejná funkce jako Fine Location, akorát umístění není tak přesné. Toto oprávnění by mělo stačit pro aplikace typu "Nejbližší restaurace".

Full Internet Access:
Velká důležitost

Toto oprávnění je velmi sporné, spousta cloud-based aplikací (Twitter, Facebook, ...) vyžaduje vždy aktivní přístup. Všechny aplikace, které vyžadují tuto službu, je třeba pečlivě zvážit. Malware si může například v noci zapnout wifi a nepozorovaně se zapojit do DDoS útoku.

Použité zdroje:

  1. http://www.canalys.com/newsroom/smart-mobile-device-shipments-exceed-300-million-q1-2013
  2. http://www.infosecurity-magazine.com/view/30153/99-of-mobile-malware-targets-android/
  3. http://www.securelist.com/en/analysis/204792250/IT_Threat_Evolution_Q3_2012
  4. http://www.soom.cz/index.php?name=articles/show&aid=1116&title=Android-uvod-do-security
  5. http://www.lupa.cz/clanky/na-google-play-se-objevil-malware-ktery-pres-telefon-napada-pc/?labelsBox-labelId=1806&do=labelsBox-switch
  6. http://blog.trustgo.com/fakelookout/
  7. http://www.securelist.com/en/blog/8106/The_most_sophisticated_Android_Trojan
  8. http://www.zdnet.com/android-becoming-mobile-malware-magnet-says-report-7000011197/
  9. http://www.av-comparatives.org/images/docs/avc_sum_201212_en.pdf
  10. http://www.av-test.org/fileadmin/pdf/avtest_2013-01_android_testreport_english.pdf