Mobile Financial Malware 2017: raportul internaţional privind ameninţările malware

Mobile Financial Malware 2017: raportul internaţional privind ameninţările malware

28
Davide Fania Președinte XTN

Autor: Davide Fania, Președinte XTN

Raportul internațional privind amenințările este destinat să descrie comportamentul tipic al malware-ului Android, în special în contextul financiar. Pentru a accesa documentul complet, scanați codul QR de mai jos.

Raportul internațional privind amenințările este destinat să descrie comportamentul tipic al malware-ului Android, în special în contextul financiar. Pentru a accesa documentul complet, scanați codul QR de mai jos.

Dezvoltatorii de programe de malware pentru mobile banking/plăţi sunt primii care folosesc noile tehnologii și caută mereu modalităţi de a ocoli mecanismele de securitate implementate în sistemele de operare pentru mobil.Raportul complet este alcătuit din patru secţiuni, după cum urmează:

Secțiunea 1 ► descrie contextul unui atac malware pe dispozitivele mobile. În ultimii ani s-a dezvoltat o cantitate uriașă de malware mobil. Acest lucru este cauzat de doi factori. În primul rând, contextul dezvoltării aplicaţiilor mobile este mai puţin matur din punct de vedere tehnologic, în special din perspectiva securităţii. În al doilea rând, utilizatorii au o mai mică înţelegere a implicaţiilor acţiunilor lor atunci când folosesc un dispozitiv mobil. Un citat foarte semnificativ, care descrie cel mai bine acest aspect în câteva cuvinte, este: «Pentru cei care vizează conturi bancare personale, malware-ul mobil este mai ieftin și mai sigur decât troienii bancari».

În scopul abordării importanţei securităţii mobile, Figura 1 arată numărul tot mai mare de dispozitive mobile din întreaga lume, care, în 2016, a depășit chiar Desktop-urile în ceea ce privește conexiunile la Internet. Asigurarea securităţii pe dispozitivele mobile este esenţială: ceea ce am văzut până acum nu este decât începutul.

utilizarea internetului la nivel mondial StatCounter
Figura 1: utilizarea internetului la nivel mondial, până în luna mai 2017 (sursa: StatCounter)

Secțiunea 2 ► descrie modul în care atacatorii inflitrează aplicaţii sau coduri rău intenţionate în dispozitivele utilizatorilor. Obiectivul tipic al ataca- torilor este obţinerea informaţiilor de plată, care ar putea fi utilizate mai târziu pentru a comite fraude sau pentru a accesa datele private de utilizator.

Rezumând, un atac mobil constă în trei faze principale: infiltrare, instalare Backdoor, extragere date.

  • Faza de infiltrare a malware-ului vizează introducerea unei aplicaţii sau a unei bucăţi de cod rău intenţionat în mediu de execuţie în care va fi efectuat atacul.
  • Faza de instalare Backdoor are scopul de a deschide o conexiune bidirecţională sau unidirecţională către un backend deţinut de atacator. Scopul său este de a crea un canal de comunicare persistent între dispozitivul infectat și agentul rău intenţionat.
  • Scopul fazei de extragere este de a accesa informaţii sensibile și de a le transmite prin canalul de comunicare stabilit în faza anterioară.

„Atacatorii urmăresc, de obicei, să compromită informațiile confidențiale ale utilizatorilor în scopul executării atacurilor finale asupra altor canale. Pentru a accesa datele confidențiale de utilizator, un atacator exploatează încrederea utilizatorilor în surse cunoscute și percepția eronată a riscurilor de către utilizatori în efectuarea de acțiuni sensibile pe dispozitive mobile”.

Această abordare este utilizată în faza de infiltrare, de exemplu prin troieni și / sau în faza de extragere a datelor. Figura 2 prezintă un exemplu de eșantion malware de tip bankbot, Jewel Star Classic distribuit prin Google PlayStore. Acest troian, creat prin infiltrarea unei încărcături periculoase într- un cod legitim, vizează falsificarea identităţii Jewels Star, un joc destul de faimos, potrivit statisticilor, cu 50-100 de mii de instalări legitime. În acest fel, atacatorii au putut să determine utilizatorii sa le descărce și să le instaleze. În acest moment, faza de infiltrare este finalizată.

Versiunea cu Malware a Jewel Star din PlayStore
Figura 2: Versiunea cu Malware a Jewel Star din PlayStore

Secțiunea 3 ► descrie modul în care funcţionează malware-ul financiar și oferă o imagine de ansamblu asupra peisajului malware actual. O analiză amplă a unei cantităţi relevante de eșantioane de malware financiar identifică cele șase comportamente tipice ale malware-ului, ale familiilor malware și ale distribuţiei lor geografice. Finanţatorii cibernetici financiari caută mereu noi modalităţi de a exploata utilizatorii și de a extrage bani de la ei. În ultimii ani, s-a dezvoltat o mare cantitate de malware financiar care a dus la o varietate de familii malware. Cu toate acestea, tendinţele cele mai răspândite sunt obţinerea de privilegii de administrare și păcălirea utilizatorilor prin suprapuneri. O familie foarte reprezentativă care arată un astfel de comportament și atacă în prezent o varietate de organizaţii este Red Alert24.

Pe lângă comportamentul său, o altă parte interesantă a acesteia este mecanismul atacurilor suprapuse care diferă de familiile mai în vârstă atât în ceea ce privește implementarea, cât și în gestionarea ţintelor. De fapt, ţintele sunt stocate pe serverul atacatorului și nu sunt trimise înapoi la malware-ul mobil, făcând viaţa unui analist mult mai dificilă. Cybercriminalii caută în mod constant modalităţi de a ocoli noile mecanisme de protecţie Android, adesea folosind tehnici de bază, dar valide.

Secțiunea 4 ► descrie soluţia împotriva ameninţării din ce în ce mai frecvente a malware-ului financiar, care este un mecanism de detectare bazat pe comportament numit motor de malware. Programele antivirus convenţionale care sunt disponibile pe piaţă deseori își bazează detectarea pe semnături, chiar dacă acestea sunt mai punctuale în detectare, acest tip de abordare prezintă multe dezavantaje și, în general, nu poate detecta programe malware necunoscute. În contextul mobil, care este extrem de dinamic, aceasta este o problemă enormă.

Procesul de verificare dacă un fișier nou este rău intenţionat poate fi complex și consumator de timp. În multe cazuri, malware-ul a evoluat deja până atunci. Întârzierea în identificarea noilor forme de malware face corporaţiile și consumatorii vulnerabili la daune grave. Din acest motiv, motorul nostru, bazat pe analiză comportamentală, implică mecanisme de învăţare a mașinilor și algoritmi avansaţi, modelaţi și implementaţi ca urmare a sarcinilor de business pe termen lung.

Avantajele pentru analiștii care utilizează acest tip de soluţie pot fi explicate cu următorul citat: «Detecţia malware este doar primul pas. Oferă informaţii despre familia asociată împreună cu comportamentele detec- tate, permite unui analist să înţeleagă posibilele efecte asupra unui client final și apoi să declanșeze cea mai potrivită remediere».

Harta distribuţiei ţintelor la nivel mondial
Figura 3: Harta distribuţiei ţintelor la nivel mondial

Descarcă raportul!

QR code pentru descarcarea raportului

XTN Cognitive Security - Mobile Financial Malware 2017 international threat report
XTN Cognitive Security – Mobile Financial Malware 2017 international threat report

*Mulţumiri Global Cyber Security Centre pentru permisiunea de a reproduce acest articol, publicat în “GCSEC Newsletter» în aprilie 2018.