เทคนิคมัลแวร์ Windows แพร่กระจายไปยัง Android

เนื่องจากมีการใช้กันอย่างแพร่หลาย Windows จึงเป็นเป้าหมายยอดนิยมสำหรับนักเขียนมัลแวร์ พวกเขาฝึกฝนและปรับแต่งเทคนิคการโจมตีและทำงานอย่างหนักเพื่อคิดค้นการโจมตีรูปแบบใหม่ ความนิยมที่เพิ่มขึ้นของ Android ทำให้มันเป็นเป้าหมายที่คล้ายกัน รายงานภัยคุกคามมือถือล่าสุดจาก F-Secure ยักษ์ใหญ่ด้านความปลอดภัยของฟินแลนด์บันทึกการเปลี่ยนแปลงจำนวนมากในแนวการคุกคาม Android ที่เกิดจากการแนะนำเทคนิคที่เป็นที่รู้จักกันดีใน Windows

แอพที่ถูกโทรจันมานานแล้วค่อนข้างเป็นมัลแวร์ประเภทเดียวใน Android มันง่ายอย่างน่าขันในการถอดรหัสแอปพลิเคชั่นปรับแต่งสิทธิ์ในสลิปโมดูลที่เป็นอันตรายและสร้างแอพเวอร์ชั่นใหม่ที่จะทำทุกอย่างที่แอปเก่าทำพร้อมกับสิ่งใหม่และน่ารังเกียจเช่นการส่งข้อความไปยังหมายเลขพรีเมี่ยม ใช่ร้านค้าแอป Android อย่างเป็นทางการทำดีที่สุดในการตรวจจับและปฏิเสธโทรจันเหล่านี้ แต่มีเว็บไซต์ดาวน์โหลดแอปที่ไม่เป็นทางการมากมาย ในบางประเทศเหล่านี้เป็นสถานที่เดียวที่จะรับแอพ ในขณะที่แอพที่ถูกโทรจันยังคงครองอำนาจอยู่นักวิจัยของ F-Secure กำลังเห็นมัลแวร์ Android ในตัวมากกว่าและแตกต่างกัน

แรงจูงใจในการทำกำไร

รายงานระบุว่ามีภัยคุกคาม Android ในปัจจุบันมากกว่า 75 เปอร์เซ็นต์ที่สร้างรายได้ให้กับผู้สร้าง ฉันถาม Sean Sullivan ที่ปรึกษาด้านความปลอดภัยที่ F-Secure Labs สิ่งที่กระตุ้นให้คนอื่น ๆ "การสอดแนมการติดตามผู้ขโมยข้อมูลและสิ่งอื่น ๆ " ซัลลิแวนตอบ "นอกจากนี้ยังรวบรวมข้อมูลติดต่อเพื่อจุดประสงค์ในการส่งสแปม SMS (ใหญ่ในจีน)" ในกรณีดังกล่าวเขาอธิบายว่าข้อมูลการติดต่อจะถูกขาย แต่ผู้เขียนมัลแวร์ "ไม่ได้กำไรโดยตรง"

โทรจัน Android ที่ค่อนข้างใหม่ที่ชื่อว่า Stels อาศัยอีเมลสแปมเพื่อจัดจำหน่าย มันเชื่อมโยงกับ botnet ของ Cutwail ซึ่งเป็นแหล่งใหญ่ของสแปมทั่วโลก โพสต์เป็นอีเมลจาก IRS ซึ่งทำหน้าที่เป็นลิงค์ที่เป็นอันตรายซึ่งจะนำผู้ใช้ Android ไปยังหน้าเว็บที่รายงานถึงความจำเป็นในการอัพเดท Flash Player การติดตั้งการอัปเดตที่ถูกกล่าวหาจะให้สิทธิ์โทรจันเพื่อโทรออก ในขณะที่คุณนอนหลับมันจะสร้างรายได้ให้กับผู้สร้างโดยการโทรไปยังหมายเลขพิเศษ

รายงานดังกล่าวอ้างถึงการโทรด้วยโทรจันนี้ "เรียกสายยาว (หรือที่เรียกว่าหยุดสั้น)" ไม่มีวลีใด ๆ เลยเลยส่งเสียงระฆังให้ฉัน ซัลลิแวนอธิบายว่าโดยเฉพาะอย่างยิ่งในประเทศกำลังพัฒนาบริการการเรียกเก็บเงินบางอย่างใช้ VOIP สำหรับการโทรภายในประเทศที่สั้นลงและโทรศัพท์แบบดั้งเดิมสำหรับการโทรแบบ "ยาว" "บริการมัลแวร์ประเภทนี้ที่ถูกกฎหมายสามารถถูกมัลแวร์ทำร้ายได้" ซัลลิแวนกล่าว "มันค่อนข้างยากที่จะบอกได้ว่าใครเป็นหมายเลขที่มีเส้นยาวเมื่อตรวจสอบใบเรียกเก็บเงิน"

ขาย Zitmo

โทรจันการธนาคารเช่น Zeus ขโมยข้อมูลรับรองธนาคารออนไลน์หรือ piggyback ในเซสชันธนาคารออนไลน์ของคุณเพื่อทำธุรกรรมของตนเอง เมื่อธนาคารเพิ่มการรับรองความถูกต้องด้วยสองปัจจัยโดยใช้อุปกรณ์พกพาคนร้ายได้คิดค้น Zeus-in-the-mobile เรียกสั้น ๆ ว่า Zitmo เทคนิคนี้ช่วยให้โทรจันทำการตรวจสอบสิทธิ์แบบสองปัจจัย ตามรายงานการใช้ Zitmo ไม่ได้ จำกัด อยู่เพียงแค่ "ผู้ประกอบการ Zeus ระดับสูง" อีกต่อไปเนื่องจากองค์ประกอบใหม่ที่ชื่อว่า Perkele มีวางจำหน่ายแล้วใน "ตลาด crimeware"

รายงานตั้งข้อสังเกตว่า "ตอนนี้ทุกคนที่ใช้บอตเน็ตของ Zeus สามารถค้นหาตัวเลือกที่เหมาะสมสำหรับ Zitmo" นักวิจัยพบว่าโทรจันนี้กำหนดเป้าหมายไปยังธนาคารในอิตาลีไทยและออสเตรเลียโดยแต่ละอินสแตนซ์ได้รับการปรับแต่งให้คล้ายกับการสร้างแบรนด์ของธนาคารเป้าหมาย

อะไรต่อไป?

รายงานชี้ให้เห็นถึงกลยุทธ์มัลแวร์อื่น ๆ ที่ปรากฏในเวที Android มีการใช้การโจมตีเป้าหมายกับนักเคลื่อนไหวชาวทิเบต ภัยคุกคามที่ F-Secure เรียก SmSilence ขโมยข้อมูลส่วนบุคคลโดยเฉพาะจากโทรศัพท์ที่มีรหัสพื้นที่ของเกาหลีใต้ การหลอกลวงเสนองานปลอมให้เหยื่อตกเป็นเหยื่อในการสมัครเรียกเก็บค่าธรรมเนียมการดำเนินการแล้วไม่ส่งมอบอะไรเลย

เมื่อคิดถึงการ "คืบคลาน" ของเทคนิคมัลแวร์จาก Windows ไปยัง Android ฉันถามซัลลิแวนว่าเขาคาดหวังว่าจะได้เห็นอะไรต่อไป “ ฉันค่อนข้างประหลาดใจอยู่แล้ว” เขากล่าว“ เราไม่เคยเห็นแอพข้อมูล / การคัดลอกภาพถ่ายที่กำหนดเป้าหมายวัยรุ่น (หญิง) ซึ่งใช้ในการพยายามแบล็กเมล์ / รีดไถวัสดุเพิ่มเติมจากเหยื่อ” พูดคุยเกี่ยวกับครีพคุณสมบัติ!

รายงานฉบับเต็มจะมีรายละเอียดมากขึ้น คุณสามารถดูได้จากเว็บไซต์ F-Secure Labs