mobile malware
TRANSCRIPT
Rynek Smartphonów 2009
Data source: Canalys
Apple 14%
Microsoft 7%
RIM19%
Symbian 40%
BlackBerry 18%
Android 16%
iOS 15%
Windows
Mobile
7%
Others 4%
Symbian
BlackBerry
Android
iOS
Windows Mobile
Others
• Prognozowana sprzedaż w 2010 roku
• Nokia 107 millionów
• Apple 41 millionów
• Android 47 millionów
vs vs
Mobile Security – Stan na dziś
Pierwszy mobile malware znaleziony w 2004
• Obecnie: 517 wirusów, robaków i trojanów na platformy mobilne
• Celem ataków są najpopularniejsze platformy
• Brak exploitów…jeszcze
Najpoważniejsze problemy
• utracone, zniszczone lub skradzione telefony
•13 April 2023
Dlaczego główne niebezpieczeństwa pozostają na Windows PC
Komputery już dziś służą do nielegalnego zarabiania na atakach hakerskich
Informacja jest bardzo łatwo dostępna
Już gotowe exploity wraz z narzędziami do ich wykorzystania
Działające sprawdzone modele zarabiania na zagrożeniach
Doskonałe źródło nauki dla twórców zagrożeń mobilnych
April 13, 20237
Wszystko się kręci wokół pieniędzy
Już dziś można na m-wirusach zarobić
chociaż działania podejmują głównie amatorzy
Jak zarabiają?
• SMS Premium
• Połączenie głosowe premium
• Scam subscrypcyjny
• Ataki na bankowość online
• Ransomware ( aplikacje żądające okupu)
• Fałszywe aplikacje
• GPS Spyware
April 13, 20238
Premium SMS
• Trojany sa małymi aplikacjami z prostym GUI lub “strojanizowanymi” wersjami zwykłych programów lub gier.
• Premium SMS działa zwykle tylko w jednym kraju, trojany są ściśle zlokalizowane (większość znanych funkcjonuje w Rosji)
• Zwykle trojany rozprzestrzeniają poprzez prosty social engineering
• Wiadomości ICQ z linkiem downloadu/instalacji
• Vkontakte (Rosyjski odpowiednik facebooka)
• SEO spam
• SMS spam
April 13, 20239
Fakeplayer SMS trojan
• Fakeplayer.A oraz .B są trojanami na android’a udającymi aplikacje media player
• Podczas instalacji Android pyta o pozwolenia na różnego typu akcje zawierające wysyłanie SMS
• Niestety większość aplikacji na Androida pyta o “tony” pozwoleń podczas instalacji, więc dla użytkownika nie jest to niczym wyjątkowym
• Kiedy aplikacja startuje wyświetla rosyjski text :“Czekaj, poszukiwany dostęp do bibliotek video..“
• Fakeplayer.B rozprzestrzenia się poprzez techniki SEO głównie wykorzystując wyniki przeszukiwań związane z pornografią
April 13, 202310
Połączenia głosowe Premium
Premium SMS działają w jednym kraju
Twórcy mobile malware poszukują międzynaradowych metod zarabiania
Niestety, jedna jest już dostępna i została już wykorzystana
Jak działają “Międzynarodowe numery premium”?
Krok 1 - zostaje zarejestrowany numer u jednego z operatorów usług głosowych Premium
Krok 2 - wszystkie połączenia z tym numerem są podstawą do międzynarodowego billingu z którego właściciel numeru otrzymuje udział w przychodach
Krok 2 i pół - połączenie jest rutowane lokalnie, ale koszt jest na poziomie międzynarodowym
• W przeciwieństwie do premium SMS nie można zablokować tych numerów dopóki użytkownik nie zablokuje połączeń miedzynarodowych
• Operatorzy jest poczuwają się do winy, z ich punktu widzenia to twórcy tych zagrożeń nadużywają ich serwisów.
"Short Stopping" / "Long Lining"
Nevada – Somalia: $2.55 / minuteNevada – Florida: $0.03 / minute
Call Terminations
$12
Numery
• +882346077 Antarctica
• +17675033611 Dominican republic
• +88213213214 EMSAT satellite prefix
• +25240221601 Somalia
• +2392283261 São Tomé and Príncipe
• +881842011123 Globalstar satellite prefix
SMSy i połączenia premium poprzez Windows
• Dialery były popularnym zagrożeniem w czasach modemów, są jednak też nowe przypadki
• Przy użyciu “dongla” GPRS USB modem wysyła SMSy
• Potencjalnie możliwe jest wykorzystanie połaczenia BT między komputerem a telefonem do wysyłania SMS
• Nokia PC suite oferuje łatwy interfejs do wysyłania SMS i nawiązywania połączeń głosowych
• Wykorzystanie właściwości telefonów do nielegalnego zarabiania pieniędzy może być kolejną cechą botnetów.
© F-Secure ConfidentialApril 13, 202321
Scam – Subsrybcje Usług Premium
nieświadome korzystanie z
płatnego serwisuoszukuje
ofiarę
płaci dopóki nie zrezygnuje.
WAP push
April 13, 202322
Scam - Premium Service jako Spam w Facebook’u
• W przeszłości scam usług premiumdystrybuowany był głównie przez SMS
• Obecnie zauważyliśmy go również w FB
• Kliknięcie linku prowadzi do strony reklamowego serwisu premium wixawin.com
• Wixawin wyświetla ceny i informacje o subskrypcji
• Mechanizm może być wykorzystany nieuczciwie
© F-Secure ConfidentialApril 13, 202323
Ikee.B pierwszy trojan bankowy
Ikee.A cel = rozprzestrzenianie
Ikee.B cel = łączył się z serwerem, aby pobrać złośliwy kod
• modyfikował /etc/hosts wskazujący stronę Dutch ING bank na serwer w Japonii
• Japoński “zhakowany” serwer należał do małego sklepu z kwiatami
• Dutch ING używa kodów SMS TAN ( transaction authentication number)
• Ikee.B przesyłał wiadomości SMS zawierające TAN na serwer HTTP
April 13, 202326
Pierwszy Mobilny Ransomware
• Domyślne hasło SSH w odblokowanych iPhonezostało użyte w pierwszej próbie ransomware
• Nastoletni Holender wykorzystał te lukę, aby włamać się do telefonów i zamienić ikonę“lock” na wiadomość z groźbami i żądaniem okupu
• Na stronie wyświetlonej w żądaniu przestępcadomagał się $4.95 za instrukcje usunięcia problemu
• Spotyka się zagrożenia ransomware na PC któreużywają SMS jako sposób płatności za kod odblokowujący komputer.
Source:http://www.zdnet.com/blog/security/ihacked-jailbroken-iphones-compromised-5-ransom-demanded/4805
Fałszywe Aplikacje
• Fałszywe aplikacje nie są malware’m
• Nie posiadają żadnych funkcjonalnościale są sprzedawane za tak niską cenę żeludziom “ nie opłaca się” składać skarg
• Fałszywe aplikacje bankowe obiecujązapewnić mobile banking
• A uruchamiają tylko stronę bankuw przeglądarce
• Mogą jednak bez trudu być wykorzystywaneprzez trojany bankowe
• Ludzie dobrowolnie za nie płacą i chcąwykonywać przez nie transakcje
Banki które były celem "09droid"
Abbey Bank
Alaska USA FCU
Alliance & Leicester (v. 1.1)
Bank Atlantic
Bank of America
Bank of Queensland
Barclaycard (v. 1.1)
Barclays Bank (v. 1.2)
BB&T
Chase
City Bank Texas
Commerce Bank
Compass Bank
Deutsche Bank
Fifty Third Bank v.1.1
First Republic Bank v.1.1
Great Florida Bank
LloydsTSBM&IMechanics Bank v.1.1 MFFCU v.1.1 MidwestNationwide (v. 1.1) NatWest (v. 1.1)Navy Federal Credit Union (v. 1.1) PNCRoyal Bank of Canada RBS v.1.1 SunTrustTD Bank v.1.1 US Bank v.1.2 USAA v.1.1 Valley Credit Union Wachovia Corp (v. 1.2) Wells Fargo (v. 1.1)
Tap snake – szpieg GPS
• Gra Tap Snake wygląda jak przeciętny „wąż"
• Ma jednak dwie ukryte cechy
1. Po zakończeniu gry aplikacja się nie zamyka. Raz zainstalowana działa zawsze w tle i startuje się na nowo po każdym wyłączeniu telefonu.
2. Co 15 minut gra raportuje pozycję GPS na serwer.
April 13, 202330
Jak się zabezpieczyć przed utratą telefonu
Zaszczep swój sprzęt – nowości o komórkach
