Mobilne bestie. Część 4

• Mobilne bestie. Część 1: oprogramowanie reklamowe, programy zapisujące do subskrypcji, programy wysyłające wiele wiadomości SMS i przeprowadzające ataki DDoS.
• Mobilne bestie. Część 2: oprogramowanie żądające okupu, kasujące dane, szkodliwe kryptokoparki.
• Mobilne bestie. Część 3: oprogramowanie szpiegowskie, programy rejestrujące naciśnięcia klawiszy, trojany bankowe.

W czwartej części naszego cyklu opisującego zagrożenia mobilne omówimy najbardziej złożone i stwarzające największe zagrożenie szkodliwe programy — te, które nie tylko wykorzystują możliwości platformy Android, ale mogą również dopasować ją do swoich potrzeb. Dlatego zwykle zawierają wiele szkodliwych funkcji.

Trojany umożliwiające dostęp zdalny (Remote Access Trojan, RAT)

Narzędzia administracji zdalnej (ang. Remote Access Tool, RAT) mogą zostać użyte do łączenia się z urządzeniem w sposób zdalny poprzez sieć, aby wyświetlać zawartość ekranu, przejąć nad nim pełną kontrolę lub sterować nim z poziomu urządzeń wejściowych (klawiatura/mysz w komputerze; ekran dotykowy w smartfonie).

Narzędzia RAT powstały w dobrej wierze — ich zadaniem była pomoc w zdalnym zarządzaniu różnymi ustawieniami i aplikacjami. Jak wiadomo, znacznie łatwiej jest pracownikom pomocy technicznej zaznaczyć odpowiednie pola przy ustawieniach niż tłumaczyć użytkownikowi przez telefon, co należy zrobić.

Jednak w rękach cyberprzestępców narzędzia RAT są potężną bronią: mogą instalować na smartfonie trojany, dzięki którym osoba obca może uzyskać dostęp zdalny do urządzenia. Korzystanie z narzędzi umożliwiających dostęp zdalny do szkodliwych celów stało się tak powszechne, że akronim ten coraz częściej jest rozwijany jako „trojan umożliwiający dostęp zdalny” (Remote Access Trojan).

Po połączeniu się z atakowanym urządzeniem za pośrednictwem narzędzi RAT hakerzy mogą z nimi robić, co im się tylko podoba, w tym szpiegować wszystkie hasła i kody PIN, logować się do aplikacji bankowych i przesyłać pieniądze na swoje konto, zapisywać właściciela urządzenia do niechcianych usług, które potajemnie pobierają pieniądze z konta mobilnego czy karty płatniczej — jak również kraść adres e-mail, konta w sieciach społecznościowych i w komunikatorach w celu wyłudzenia pieniędzy od znajomych w imieniu ofiary. Ponadto narzędzia te mogą kopiować wszystkie zdjęcia z urządzenia w celu szantażu.

Zwykle narzędzia RAT są wykorzystywane do szpiegowania. Szkodliwe programy tego typu umożliwiają zazdrosnym mężom czy żonom szpiegowanie swojej drugiej połówki, ale mogą również zostać także użyte do kradzieży firmowych danych. Na przykład szkodnik AndroRAT (wykryty wiosną tego roku) potajemnie wykonywał zdjęcia przy użyciu aparatu smartfonu i nagrywał dźwięki (w tym rozmowy telefoniczne). Ponadto kradł hasła do sieci Wi-Fi na podstawie danych geolokalizacyjnych. W efekcie żadne negocjacje nie były poufne, a penetracja sieci firmowej nie było trudnym zadaniem.

Trojany umożliwiające dostęp na poziomie roota

W niektórych systemach operacyjnych,  w tym w Androidzie, „dostęp na poziomie roota” to inna nazwa uprawnień superużytkownika, które umożliwiają wprowadzanie zmian w folderach i plikach systemowych. Dla zwykłych użytkowników taki dostęp jest całkowicie niepotrzebny, dlatego jest domyślnie wyłączony. Jednak niektórzy entuzjaści o zaawansowanym poziomie wiedzy lubią go mieć, aby móc dostosować system operacyjny do swoich potrzeb. W naszym poście Rootowanie Androida: plusy, minusy i haczyki napisaliśmy, dlaczego należy dobrze przemyśleć tę decyzję, zanim się ją zrealizuje.

Niektóre szkodliwe programy, zwane trojanami rootującymi, mogą uzyskać uprawnienia roota przy użyciu luk w systemie operacyjnym. Mając uprawnienia superużytkownika, cyberprzestępcy mogą skonfigurować smartfon do swoich celów. Na przykład mogą samowolnie wymusić na urządzeniu otwieranie reklam w trybie pełnoekranowym lub instalować w tle szkodliwe programy czy takie, które wyświetlają reklamy.

Ulubionym trikiem szkodliwego programu rootującego jest potajemne usuwanie aplikacji zainstalowanych na smartfonie i zastępowanie ich oprogramowaniem do phishingu lub zawierającego szkodliwe funkcje. Co więcej, uprawnienia superużytkownika mogą uniemożliwiać usunięcie szkodliwych programów z urządzenia. Nic zatem dziwnego, że trojany rootujące są obecnie uważane za najniebezpieczniejszy rodzaj zagrożeń mobilnych.

Trojany modułowe

Trojany modułowe mogą przeprowadzać różne szkodliwe działania równolegle lub pojedynczo — w zależności od sytuacji. Jednym z najlepszych przykładów takich trojanów jest wykryty pod koniec 2017 roku szkodnik Loapi. Po przedostaniu się na urządzenie ofiary natychmiast zapewniał sobie bezpieczeństwo poprzez żądanie nadania mu uprawnień administratora, przy czym nie akceptował odmowy; w przypadku sprzeciwu ze strony użytkownika okno dialogowe pojawiało się na nowo, co skutecznie uniemożliwiało korzystanie ze smartfona. Gdy zmęczony użytkownik wreszcie zaakceptował żądanie, usunięcie Loapi z urządzenia było niemożliwe.

Następnie trojan uruchamiał jeden z pięciu modułów. Mógł wyświetlać reklamy, zapisywać użytkownika do płatnej zawartości poprzez klikanie w jego imieniu łączy, przeprowadzać ataki DDoS na polecenie wysłane z serwera zdalnego czy przesyłać wiadomości SMS do cyberprzestępców — a wszystko odbywało się potajemnie, tak aby użytkownik nie był w stanie dostrzec szkodliwych działań.

W wolnym czasie, gdy nie był zajęty innymi ważnymi zadaniami, trojan ten ukradkowo wydobywał kryptowalutę, najczęściej gdy smartfon był podłączony do ładowarki lub innego zewnętrznego źródła zasilania. Wykopywanie to skomplikowany proces obliczeniowy, który wykorzystuje wiele energii i zasobów — jak nietrudno się domyśleć, naładowanie baterii trwa w takiej sytuacji bardzo długo. Ma to fatalne konsekwencje dla telefonu: jak odkryli nasi eksperci, wystarczy, aby trojan Loapi działał kilka dni, aby bateria uległa przegrzaniu.

Jak chronić się przed najgorszymi szkodliwymi programami dla systemu Android

Jak widać, zagrożenia stwarzane przez narzędzia RAT, trojany rotujące i modułowe szkodliwe programy są poważne. Można się jednak przed nimi zabezpieczyć. Oto kilka podstawowych zasad, które warto przestrzegać:

• Przede wszystkim zablokuj możliwość instalacji aplikacji z nieznanych źródeł. W platformie Android opcja ta jest domyślnie wyłączona i tak powinno zostać. Chociaż nie jest to panaceum na wszystkie bolączki, rozwiązuje większość problemów związanych z trojanami mobilnymi.
• Nie próbuj oszczędzać, pobierając pirackie wersje aplikacji. Wiele z nich jest zainfekowane.
• Nie klikaj łączy, które obiecują złote góry. Oferty przesyłane w komunikatorze WhatsApp oferujące darmowe bilety lotnicze to zwykle próba kradzieży danych osobowych, a dodatkowo pobierają na smartfony szkodliwe oprogramowanie. Podobnie wygląda sytuacja z phishingiem, w tym informacjami przesyłanymi od znajomych lub obcych, w których najczęściej pojawia się pytanie „Czy to twoje zdjęcie?”.
• Nie ignoruj aktualizacji dla platformy Android i aplikacji zainstalowanych na urządzeniu. Aktualizacje łatają dziury, przez które atakujący mogliby przedostać się do smartfona.
• Sprawdzaj uprawnienia, o które prosi aplikacja, i nie bój się blokowania dostępu do informacji osobowych i potencjalnie niebezpiecznych funkcji w Androidzie — w większości przypadków nie stanie się nic strasznego, jeśli nie wyrazisz swojej zgody.
• Zainstaluj na smartfonie skutecznego antywirusa. Na przykład Kaspersky Internet Security for Android nie tylko wyszukuje i usuwa trojany, ale również blokuje strony zawierające szkodliwe oprogramowanie i zapisujące użytkowników do subskrypcji.