Вредоносное мобильное ПО и бот-сети: вчера, сегодня, завтра

Обстановка

Последние четыре года наблюдаются различные переломные моменты в развитии вредоносного мобильного ПО и бот-сетей. На рис. 1 приведены основные этапы. Использование мобильного Интернета стало обыденным делом. Развитие технологий и вычислительных мощностей позволило мобильным устройствам приблизиться по функциональности и возможностям к полноценным персональным компьютерам, развиваются финансовые сервисы, появляется умная электроника. Смартфон превращается в своеобразный кошелек, доступ к которому позволяет злоумышленнику легко похитить деньги его владельца.

В конце 2011 г. большую популярность на рынке мобильных устройств получили смартфоны с операционной системой (ОС) Android и iOS. Другие операционные системы уже не составляют им конкуренции. Смартфоны на Android стоят значительно дешевле своих прямых конкурентов и предоставляют больший функционал для пользователя. На них проще получить Root-права, что значительно позволяет расширить их возможности. При этом в системе находилось множество уязвимостей, которыми и стали пользоваться злоумышленники. Первые образцы вредоносного ПО под ОС Android стали появляться с самых первых ее версий, но массовый их рост и распространение начинается с конца 2011 г.

Сегодня операционная система Android по-прежнему занимает лидирующие позиции на рынке мобильных платформ, также данная ОС остается лидером по количеству вредоносных приложений. На рис. 2 показана динамика роста количества вредоносных приложений под ОС Android. График составлен на основе общедоступных данных.

Тенденция, показанная на графике, говорит о том, что число вирусов будет только расти. На остальных мобильных платформах вредоносные приложения практически отсутствуют, но злоумышленники также обращают на них внимание.

Все началось с простых SMS-троянов, которые для списания денег с лицевых счетов абонентов использовали сервисы контент-услуг. Вредоносное приложение после установки отправляло SMS на короткий платный номер. Тем самым абонент автоматически подписывался на платный контент, за который списывались деньги. Подобные вредоносы зачастую замаскированы под популярные и легальные приложения. Постепенно вывод денег через сервисы мобильной коммерции стал распространен в большинстве вредоносного мобильного ПО. Вредоносные мобильные приложения стали использовать зараженное устройство многократно, что позволило получить значительно большую выгоду. Злоумышленники стали объединять их в единую сеть, которой можно было бы удаленно управлять, это привело к появлению первых мобильных бот-сетей. Данный подход уже позволяет собирать различную информацию с зараженных устройств, которую потом можно использовать для различных мошеннических действий. Появляются банковские трояны, которые, используя системы дистанционного банковского обслуживания, стали якобы от лица владельца зараженного устройства осуществлять переводы на подконтрольные мошенникам номера телефонов и счета. Развитие функционала вредоносов достигло того, что они становятся полноценным клиентом бот-сетей, аналогичных тем, которые используются на персональных компьютерах. В них уже стали применяться различные механизмы самозащиты от удаления и анализа, увеличился перечень используемых каналов управления (HTTP, HTTPS, SMS, Push-уведомления, TOR-сети). Функционал стал многообразным, позволяющим комбинировать различные функции и имитировать действия пользователей. Основной перечень приведен на рис. 3.

В последнее же время злоумышленники стали активно использовать для монетизации сервисы продвижения и показа рекламы. Помимо этого, все чаще стали продаваться устройства с модифицированными версиями прошивок, в которые встроен вредоносный функционал. Данное явление встречается не только на смартфонах, но и на обычных телефонах. В основном эти телефоны продаются в интернет-магазинах. Одна такая бот-сеть, которая состояла в основном из обычных телефонов, была недавно обнаружена сотовыми операторами. При включении в сеть трубка делает запрос к вредоносному хосту, который является центром управления всеми зараженными устройствами, по примерно следующему адресу: http://malware.host/imsi=2XXXXХХХХХXXXXX&resource=ZXXX XXXXXXX.

Тем самым сервер узнает imsi абонента и устройство, которым сейчас пользуется абонент. Далее, в зависимости от этих значений, сервер в ответ возвращает команду: ###+XXXXXXXXXXX-X-1XX-1X###. В команде присутствует международный номер и интервалы времени. После получения данной команды незаметно для абонента совершается звонок по международному направлению. Номера для каждого абонента могут отличаться. На рис. 4 приведена схема распространения и работы данной бот-сети.

Проблема в данном случае заключается в том, что обнаружить подобную активность непросто. Люди, покупающие такие обычные телефоны, уверены, что на них не может быть вирусов. Только используя сложные правила корреляции различных антифрод-систем, удалось определить параметры и метрики, по которым можно выявлять данную активность и применять уже стандартные методы противодействия. Избавиться от данного вредоносного функционала можно только полной перепрошивкой устройства (если она возможна), и это намного сложнее удаления вредоносного приложения.

Современные бот-сети

Общая тенденция развития мобильного вредоносного ПО и бот-сетей схожа с развитием своих старших братьев – вирусов, троянов, бот-сетей на персональных компьютерах. Мобильные устройства во многом уже заменяют людям компьютеры, в них хранится намного больше ценной информации, которая интересна злоумышленникам. На текущий момент самой актуальной угрозой остается кража денежных средств со счетов абонентов через мобильную коммерцию и контент-услуги. Но завтра все может измениться, и для защиты необходимо использовать адаптацию отработанных технологий противодействия компьютерным бот-сетям к мобильным угрозам.

Современные бот-сети мобильны, многозадачны, легко могут быть перенацелены с одной активности на другую. Одни и те же устройства принимают участие в рассылке спама, DDoS-атаках и т.д. Можно выделить следующие направления, связанные с вредоносной активностью мобильных бот-сетей:

• утечка персональных данных, истории переписки;
• рассылка SMS-спама, в том числе в обход мер, принятых в законе о противодействии SMS-спаму;
• фишинговая активность;
• использование зараженных устройств в качестве прокси-серверов;
• кибершантаж и DDoS-атаки, в том числе по нестандартным каналам – звонковый DDoS, атаки вида Slow HTTP;
• отслеживание истории перемещений конкретного человека;
• хищение средств через сервисы мобильной коммерции и контент-услуги;
• влияние на работу других портативных устройств и техники.

Центр управления бот-сетью находится в одной сети, жертвы во второй, "коллектор" данных – в третьей. Используют различные корреляции данных: скомпрометированная "учетная запись ДБО" + "зараженный смартфон" + "зараженный компьютер". Для эффективного противодействия необходима быстрая и своевременная координация действий в пределах нескольких часов.

Проблема затрагивает всех участников рынка – в одну мошенническую цепочку попадают банки, платежные системы, операторы, что затрудняет расследование инцидентов. Данная проблема решаема путем создания единого координационного центра.

Заключение

Тенденция развития современного общества и технологии ведет к тому, что в скором времени большинство вещей, которыми мы пользуемся, будут подключены к сети Интернет. Злоумышленники также захотят получить к ним доступ, для того чтобы использовать их в мошеннических целях. В ближайшее время будут появляться все новые и новые бот-сети, в которых, помимо персональных компьютеров и смартфонов, будет присутствовать умная бытовая техника, роутеры, автомобили и т.д. Вопросами безопасности надо заниматься уже сейчас.

Безопасность можно обеспечить своевременным блокированием вредоносных рассылок и повышением осведомленности абонентов об актуальных угрозах и способах защиты. Постоянный мониторинг вирусной активности в сети, выявление вредоносных приложений, центров управления бот-сетями, SMS-рассылок с вредоносными ссылками позволяет снизить деструктивное воздействие от угроз мобильных бот-сетей и действовать на опережение.

Литература

1. Гончаров Н.О. Современные угрозы бот-сетей // Электронный журнал "Молодежный научно-технический вестник", Эл № ФС 77-51038, ISSN 2307-0609. Раздел "Информатика и вычислительная техника". – Октябрь 2014.
2. Шеремет И.А. Киберугрозы России растут // Военно-промышленный курьер. – 2014. № 6–7.
3. Гончаров Н.О. Алгоритм защиты ресурсов телекоммуникационных сетей связи от угроз бот-сетей // Межотраслевой научно-технический журнал "Оборонный комплекс – научно-техническому прогрессу России", № ФС 77-35664 ISSN 1729-6552. – 2015. № 1.
4. Шеремет И.А. Угрозы техносфере России и противодействие им в современных условиях // Вестник академии военных наук. – 2014. № 1.
5. Гончаров Н.О., Горчаков Д.С. Техника противодействия платежному мошенничеству на сети оператора связи // Information Security/Информационная безопасность. – 2015. № 6.
6. Жуков И.Ю., Михайлов Д.М., Шеремет И.А. Защита автоматизированных систем от информационно-технологических воздействий // М: МИФИ, 2014.
7. Гончаров Н.О., Горчаков Д.С. Расследование инцидентов, связанных с мобильными бот-сетями и вредоносным ПО // Проблемы информационной безопасности. Компьютерные системы. – 2015. № 4.