Fortinet opublikował najnowszy raport o zagrożeniach w internecie dla III-go kwartału 2012 roku. W okresie od 1 lipca do 30 września tego roku, analitycy z laboratoriów FortiGuard zanotowali znaczny wzrost agresywnego oprogramowania typu adware dla systemu Android oraz nowe dowody wskazujące, że mobilny trojan Zitmo (Zeus-in-the-Mobile) ewoluuje w kierunku botnetu. Badacze wykryli również zakrojone na szeroką skalę działania rumuńskich hakerów skanujących sieć w poszukiwaniu luk i nieszczelności.
Wzrost oprogramowania typu adware dla Androida
W ciągu ostatnich trzech miesięcy, w laboratoriach FortiGuard odnotowano wzrost aktywności programów typu adware zaprojektowanych dla systemu operacyjnego Android. Ich dynamaika była porównywalna z Netsky.PP, okrytym złą sławą i jednym z najbardziej płodnych generatorów spamu w historii internetu. Dwa warianty programu adware o nazwie NewyearL i Plankton wykorzystują zestaw narzędzi umożliwiających wyświetlanie niechcianych reklam na pasku stanu telefonu komórkowego, śledzenie użytkownika za pośrednictwem numerów seryjnych IMEI (International Mobile Equipment Identity) oraz upuszczanie ikon na pulpit urządzenia.
„Gwałtowny wzrost oprogramowania typu adware dla systemu Android można najprawdopodobniej przypisać użytkownikom, którzy instalują na swoich urządzeniach przenośnych legalne programy zawierające wbudowany kod adware. Sugeruje to, że jakaś osoba lub grupa chce zarobić pieniądze wykorzystując w nieuczciwy sposób mechanizmy programów afiliacyjnych stosowanych w reklamie mobilnej,” – powiedział Guillaume Lovet, ekspert ds. bezpieczeństwa internetowego z laboratoriów FortiGuard w firmie Fortinet.
Tego typu aplikacje wymagają zazwyczaj od użytkownika nadania im zbyt wielu uprawnień, niepotrzebnych w przypadku zwykłej aplikacji. Wskazuje to na ich ukryty cel. Aplikacje żądają dostępu do tych części urządzenia mobilnego, które nie są związane z zastosowaniem aplikacji: historii przeglądarki, danych kontaktowych, logów telefonu, tożsamości oraz logów systemowych.
Analitycy z laboratoriów FortiGuard doradzają, aby zwracać szczególną uwagę na to, jakich uprawnień żąda aplikacja w momencie instalacji. Zaleca się również, aby pobierać aplikacje mobilne, które zostały sprawdzone i wysoko ocenione.
Zitmo coraz bardziej wyrafinowany
Badacze FortiGuard odkryli, że trojan Zitmo (Zeus-in-the-Mobile) staje się coraz bardziej złożonym zagrożeniem. W ostatnim kwartale pojawiły się nowe wersje robaka atakujące smartfony Android i Blackberry.
Zitmo jest mobilnym odpowiednikiem trojana Zeus atakującego sektor bankowy. Wirus potrafi obejść dwuskładnikowe uwierzytelnianie, przechwytując SMS-y potwierdzające kody dostępu do kont bankowych. W nowych wersjach robaka dla Androida i Blackberry dodano funkcje upodabniające go do działania botnetu. Umożliwiło to cyberprzestępcom kontrolowanie trojana przez komendy SMS.
„Chociaż wykryliśmy tylko kilka przypadków złośliwego oprogramowania w Europie i Azji, jesteśmy przekonani, że kod jest obecnie testowany przez jego autorów lub wdrażany w bardzo konkretnych, ukierunkowanych atakach,” – konktynuuje Lovet.
Coraz więcej banków i sklepów internetowych wykorzystuje dwuskładnikowe uwierzytelnianie – zazwyczaj drugim składnikiem potwierdzającym transakcję jest kod przesłany za pomocą SMS. Użytkownicy smartfonów Android i Blackberry powinni mieć świadomość, że w każdej chwili ich instytucja finansowa może zacząć wymagać od nich zainstalowania oprogramowania zabezpieczającego urządzenie moblne. Na razie banki rzadko żądają tego od swoich klientów. Dla pełnego bezpieczeństwa, FortiGuard Labs zaleca prowadzenie operacji bankowości online z poziomu dysku CD z oryginalnym systemem operacyjnym. Jeśli nie ma takiej możliwości, użytkownicy powinni zainstalować klienta antywirusowego na swoim telefonie i komputerze oraz upewnić się, że korzystają z najnowszych aktualizacji antywirusowych.
Rumuńscy hakerzy skanują sieć w poszukiwaniu luk w phpMyAdmin
W ciągu ostatnich trzech miesięcy, w laboratoriach FortiGuard zaobserwowano prowadzone na szeroką skalę skanowanie sieci w celu odkrycia luk w phpMyAdmin, które pozwoliłyby na przeprowadzenie ataku. Do skanowania wykorzystano opracowane przez rumuńskich hakerów narzędzie do przeszukiwania serwerów WWW, działających pod kontrolą oprogramowania MySQL phpMyAdmin.
Narzędzie, o nazwie ZmEu, zawiera fragmenty kodu w bloku komunikacji sieciowej, który odwołuje się do AntiSec, światowego ruchu hakerskiego zainicjowanego przez Anonymous i LulzSec w ostatnim roku. Skany wykonywane były na całym świecie. We wrześniu, prawie 25 procent systemów monitoringowych Forti Guard wykryło co najmniej jeden taki skan dziennie.
„Cel ataku na tę lukę jest otwarty na spekulacje,” – dodaje Lovet. – „Ale jeśli hakerzy rzeczywiście związani byli z AntiSec, możliwe scenariusze to eksfiltracja poufnych danych, wykorzystanie serwerów do przeprowadzenia ataków Denial of Service (DDoS) lub uszkodzenie stron WWW, na które hakerzy przeniknęli.”
Aby zabezpieczyć serwery WWW przed tym zagrożeniem, Fortinet zaleca aktualizację do najnowszej wersji phpMyAdmin.
