Ransomware na urządzeniach mobilnych

Ostatnio wspominaliśmy oprogramowanie żądające okupu na komputery. Jednak warto pamiętać, że dotyczy ono nie tylko komputerów stacjonarnych, ale także urządzeń mobilnych, a liczba takich programów wzrasta.

Dzisiaj omówię najbardziej rozpowszechniony rodzaj mobilnych programów żądających zapłaty. Statystyki do tego posta pobrałem z naszych produktów zabezpieczających.

Co to jest mobilne ransomware?

Wielu ludzi wie, co to jest ransomware, a świadomość w tym temacie wciąż wzrasta. Najbardziej rozpowszechnionym — i najbardziej irytującym — rodzajem takiego programu przeznaczonym dla komputerów jest cryptolocker, szkodliwy program, który szyfruje dane i oferuje ich przywrócenie po opłaceniu okupu. Drugim rodzajem jest bloker, który – jak sama nazwa wskazuje – blokuje działanie przeglądarek i systemów operacyjnych oraz żąda okupu za przywrócenie dostępu do nich. Dzisiaj blokery komputerowe są nieco mniej rozprzestrzenione od swoich szyfrujących kolegów, głównie ze względu na to, że nie tak skutecznie wyłudzają pieniądze.

Krajobraz zagrożeń dla urządzeń mobilnych jest całkiem odmienny: dla urządzeń z Androidem niemal nie istnieją żadne cryptolockery, ponieważ system operacyjny i aplikacje tworzą swoje kopie zapasowe w chmurze. A gdy użytkownicy mogą odzyskać swoje pliki, nie zapłacą za nie, więc atakujący mają małą motywację, aby ich atakować.

Blokery to znacznie bardziej popularne sposoby infekcji urządzeń z systemem Android, które nakładają na każdą aplikację swój interfejs, tak aby ofiara nie mogła ich używać. Właściciele komputerów mogą stosunkowo łatwo się od nich uwolnić — muszą jedynie usunąć dysk twardy, podłączyć go do innego komputera i wymazać pliki blokera. Niestety na telefonie sytuacja jest znacznie bardziej skomplikowana, gdyż pamięć główna jest przylutowana do płyty głównej. To dlatego blokery posiadają 99% „rynku” mobilnego ransomware.

Mali wielcy gracze

W okresie 2014–2015 r. na scenie szkodliwych programów mobilnych żądających okupu dominowało czterech głównych aktorów: Svpeng, Pletor, Small i Fusob. Pletor niemal całkowicie zaprzestał swojej ekspansji, ale wygląda na to, że jego twórcy udostępnili niesławnego trojana Acecard i wszystkie swoje zasoby poświęcili na tworzenie i rozprzestrzenianie go. Twórcy Svpeng także zmienili obiekt zainteresowania na bankową wersję trojana. Pozostały więc tylko dwie duże rodziny mobilnych programów żądających okupu: Small i Fusob. W rezultacie w okresie 2015–2016 te dwa trojany stanowiły ponad 93% całego ransomware przeznaczonego dla urządzeń mobilnych.

Warto zauważyć, że rodziny trojanów Fusob i Small mają ze sobą wiele wspólnego. Oba zagrożenia wyświetlają fałszywe ekrany legitymujące się fałszywym podpisem należącym rzekomo do policji i oskarżają ofiary o popełnienie wykroczeń. Oba informują także, że jeśli użytkownik nie zapłaci grzywny, zostaną otwarte przeciwko niemu sprawy karne.

Fusob i Small oferują także dosyć osobliwe sposoby na zapłacenie okupu: Fusob sugeruje płatność z wykorzystaniem kart podarunkowych iTunes, a Small oferuje płatność przez system Kiwi lub przy użyciu talonów MoneyPak xpress Packet. Prawdopodobnie oba szkodniki zostały utworzone przez rosyjskojęzycznych cyberprzestępców, ale stosujących różne podejścia.

Fusob wykrywa najpierw język urządzenia, a jeśli jest on używany w republice postsowieckiej, szkodnik nie robi nic. Jeśli jednak język jest inny, wyświetlana jest informacja pochodząca rzekomo od agencji wywiadowczej z żądaniem okupu w wysokości od 100 do 200 dolarów. Większość ofiar Fusob (ponad 41%) żyje w Niemczech, natomiast Zjednoczone Królestwo i Stany Zjednoczone zajmują drugie i trzecie miejsca z wynikami odpowiednio 14,5% i 11,4%.

Istnieje tez rodzina Small. Prawie 99% jego ofiar znajduje się w trzech krajach, których Fusob unika: Rosji, Kazachstanie i na Ukrainie. Ransomware Small wyświetla planszę podszywającą się pod komunikat rządowy i zawiera instrukcje dokonania płatności, groźby i żądanie 700 – 3 500 rubli (10 do 50 dolarów) za odblokowanie zainfekowanego urządzenia. Istnieje także wersja angielska Smalla — posiada inną blokadę ekranu niż ta wspominająca FBI i żąda około 300 dolarów.

Istnieją jeszcze dwie wersje Smalla. Jedna jest cryptolockerem, które wykonuje takie same działania jak pierwsza wersja, a na końcu szyfruje pliki znajdujące się na karcie SD urządzenia. Druga to wielofunkcyjny trojan, który kradnie pieniądze, pobiera dane i oczywiście blokuje urządzenie.

O co chodzi i czego należy się spodziewać?

Dawniej, gdy mobilne szkodliwe programy nie stanowiły jeszcze takiego dużego problemu, my już wysyłaliśmy sygnały alarmowe. I tak jak przewidzieliśmy, ta forma szkodliwego oprogramowania przeżywa ogromny rozkwit, a szansy na poprawę warunków nie widać: od roku 2014 liczba ataków na urządzenia mobilne wzrosła czterokrotnie!

Wzrosła także liczba ofiar programów ransomware — o ponad dwa razy, z 2,04% do 4,63%. W zeszłym roku głównym celem mobilnego ransomware były Stany Zjednoczone były: 1 na 10 użytkowników, którzy mieli do czynienia ze szkodliwym programem, spotkali je w formie mobilnej. Było to 2 na 10 w Niemczech i Kanadzie, ok. 1 na 7 w Zjednoczonym Królestwie, Stanach Zjednoczonych i Kazachstanie, a także ponad 1 na 10 we Włoszech i Holandii.

Spodziewamy się, że mobilne szkodliwe programy — w szczególności wersje żądające okupu — zyskają na popularności w przyszłym roku. Bardziej szczegółowy raport na temat ransomware znajduje się na stronie securelist.com.

Jak się chronić?

1. Instaluj aplikacje tylko z oficjalnych sklepów, takich jak Google Play. Aby mieć pewność, że żadna aplikacja nie przedostanie się na Twoje urządzenie z niezaufanego źródła, przejdź do ustawień systemu Android, wybierz Bezpieczeństwo i zaznacz pole Nieznane źródła.
2. Regularnie aktualizuj oprogramowanie firmowe i zainstalowane aplikacje. Możesz wybrać automatyczne aktualizowanie aplikacji, lecz system musi być aktualizowany ręcznie — najlepiej jest przeprowadzać to tuż po pojawieniu się aktualizacji (OTA).
3. Zainstaluj silny produkt zabezpieczający. Nawet jeśli masz wszystkie możliwe aktualizacje i pobierasz aplikacje tylko z oficjalnych źródeł, ryzyko nie jest całkowicie zażegnane. Malware może czyhać w Google Play, może także rozprzestrzeniać się przy pomocy zestawów exploitów używających nieznanych jeszcze luk. Aby nie paść ofiarą mobilnego programu wyłudzającego zapłatę, zalecamy korzystanie z pełnej wersji Kaspersky Internet Security for Android, ponieważ tylko ta wersja na bieżąco monitoruje, co się dzieje na urządzeniu, i eliminuje zagrożenia tuż po ich pojawieniu się.