Зловмисне ПЗ для мобільних пристроїв у 2022 році

Кількість кібератак постійно зростає. Дійсно, звіт Check Point за середину 2022 р. показав глобальне зростання атак на 42% порівняно з минулим роком.

Згідно зі звітом про глобальні ризики Всесвітнього економічного форуму за 2022 рік, 95% проблем кібербезпеки пов’язані з людською помилкою. Це має стати тривожним сигналом для всіх організацій, особливо з переходом на віддалену та гібридну роботу, коли співробітники частіше використовують мобільні пристрої. Тепер ці пристрої мають доступ до конфіденційних даних компанії та пряме підключення до корпоративної мережі. Поєднайте це з ключовим компонентом «людська помилка», і стане зрозумілим, чому мобільні пристрої є головною мішенню для кіберзлочинців.

Незважаючи на це багато корпоративних стратегій кібербезпеки, як правило, зосереджуються лише на традиційних кінцевих точках, таких як ноутбуки. Але знаєте ви, чи всі мобільні пристрої у вашій організації захищені від зловмисного програмного забезпечення? Можливо, у вас є функція керування мобільними пристроями (MDM), і ви вважаєте, що цього достатньо? На жаль, MDM не забезпечує виявлення вторгнень або сканування на наявність шкідливих програм. І оскільки ландшафт мобільних загроз постійно розвивається, ніколи не було так важливо мати надійне рішення. Погляньмо на поточну ситуацію, та на те, що потрібно знати, щоб залишатися захищеними у 2022 році.

Ринок шпигунського програмного забезпечення процвітає. Сучасний ландшафт зловмисного ПЗ для мобільних пристроїв — це мінне поле, де використовується все більше вразливостей і розгортається шпигунське ПЗ. У останньому звіті компанії про безпеку було зазначено, що горезвісне шпигунське ПЗ NSO Group, Pegasus, сіє хаос після того, як було виявлено, що воно отримує доступ до мобільних пристроїв урядовців і правозахисників. На жаль, у 2022 р. було виявлено, що Pegasus скомпрометував пристрої Міністерства закордонних справ Фінляндії, прем’єр-міністра Іспанії, а також численні пристрої офіційних осіб Великобританії.

У липні Apple запровадила «режим блокування» своїх пристроїв для захисту від шпигунського ПЗ Pegasus. Попри те, що цей режим підвищить безпеку користувачів, він також значно зменшить досвід користувача та обмежить функціональність iPhone. Однак хоча Pegasus сьогодні є одним із найпотужніших інструментів на ринку, екосистема постачальників відеоспостереження також стала більш конкурентоспроможною. Наприклад, Predator, шпигунське ПЗ, створене комерційною компанією Cytrox Software, заразило iPhone наприкінці 2021 р. за допомогою посилань, надісланих через WhatsApp одним кліком. На сьогодні кіберспільнота ще не повністю розуміє можливості цих інструментів, не кажучи вже про їхні механізми, незважаючи на значні дослідницькі зусилля.

З точки зору техніки, Check Point цього року спостерігала сплеск виявлених атак без кліків (Zero Click). Як випливає з назви, ці атаки не вимагають введення від жертви перед розгортанням шкідливого ПЗ. Це пов’язано з тим, що вони використовують наявні вразливості у вже встановлених програмах, дозволяючи зловмисникам проникнути повз системи перевірки та непомітно почати атаку. Ця техніка особливо зосереджена на програмах, які приймають і обробляють дані, наприклад, платформах обміну миттєвими повідомленнями та електронної пошти.

Ці дії проявилися в квітні, коли було виявлено новий експлойт iMessage без кліків, який використовувався для встановлення Pegasus на iPhone і працював на деяких ранніх версіях iOS. Експлойт під назвою HOMAGE використовувався в кампанії проти каталонських чиновників, журналістів та активістів.

Однак важливо підкреслити, що ця техніка є загрозою не лише для світових лідерів, а й для звичайних людей та організацій. Наші телефони є центрами конфіденційних даних, як особистих даних, таких як банківська інформація, так і бізнес-даних, і багато співробітників тепер підключені до мереж і даних своєї компанії через свої мобільні телефони, кількість яких збільшилася в рази під час пандемії, коли тисячі працюють вдома. Кіберзлочинці використовують цю тиху й наполегливу практику, щоб отримати якомога більше доступу.

Окрім атак Zero Click, також спостерігалось безперервне зростання техніки поширення, відомої як «Smishing» (SMS-фішинг), яка використовує SMS-повідомлення як вектор атаки для розповсюдження зловмисного ПЗ. Ці спроби часто імітують надійні бренди або особисті контакти, щоб спонукати жертву натиснути посилання або конфіденційно поділитися особистою інформацією. Цей метод виявився особливо успішним, оскільки після того, як один пристрій було скомпрометовано, весь його список контактів готовий для захоплення, створюючи нескінченний цикл можливих жертв.

Ось як зазвичай розгортався сумнозвісний Flubot. З моменту появи в грудні 2020 р. він вважався найшвидше зростаючим Android-ботнетом будь-коли баченим. Відомо, що ця група є особливо інноваційною та постійно прагне вдосконалити свої варіанти, забравши десятки тисяч жертв. Таким чином, у червні міжнародна правоохоронна операція за участю 11 країн призвела до зняття його інфраструктури та виведення зловмисного програмного забезпечення на неактивне.

Очевидно, що місце Flubot не могло довго залишатися вакантним, оскільки незабаром після цього з’явилося нове шкідливе ПЗ Android під назвою MaliBot. MaliBot націлений на онлайн-банкінг і криптовалютні гаманці в Іспанії та Італії, намагаючись повторити успіх свого попередника. На цей момент MaliBot вже був третім найпоширенішим шкідливим ПЗ для мобільних пристроїв у світі, незважаючи на те, що воно таке нове, а AlienBot займає перше місце.

Але чи є безпека в App Store? Багато користувачів звертаються до магазинів програм, щоб допомогти захистити свої пристрої. Однак, на жаль, є програми, які стверджують, що допомагають керувати ризиками безпеки, але самі часто містять зловмисне програмне забезпечення. Найбільш захищені магазини, як-от Google Play Store і Apple App Store, мають ретельний процес перевірки заявок-кандидатів перед їх завантаженням і дотримуються високих стандартів безпеки після того, як їх допустять на платформи. У нещодавньому Звіті зазначено, що протягом 2021 р. Google заблокувала 1,2 мільйона підозрілих програм, а Apple – 1,6 мільйона. Винахідливі кіберзлочинці постійно намагаються обійти ці заходи безпеки, проте використовуючи різні тактики, такі як маніпуляції з їхнім кодом, щоб пройти крізь фільтри, або запровадити спочатку безпечні програми та додати шкідливі елементи на пізнішому етапі.

Тож не дивно, що в цих магазинах досі знаходять шкідливі програми. Насправді ці платформи залишаються основними векторами зараження мобільних загроз. Наприклад, дослідники Check Point нещодавно проаналізували підозрілі застосування в Google Play Store і виявили, що деякі з них видавалися за справжні антивірусні рішення, тоді як насправді після завантаження застосувань установлювався Android Stealer під назвою SharkBot, який викрадає облікові дані та банківську інформацію. В лютому банківський троян Android під назвою Xenomorph був помічений за фальшивою програмою підвищення продуктивності в Google Play Store. Було понад 50 000 завантажень.

Слід також зазначити, що через пандемію використання мобільних телефонів у робочих цілях раптово стало новою нормою для багатьох користувачів і підприємств, що означало, що націлювання на мобільні пристрої також стала новою нормою для кіберзлочинців. На жаль, загальна обізнаність користувачів мобільних телефонів щодо атак на кібербезпеку значно нижча, і навіть незважаючи на те, що багато з них почали використовувати свої особисті або робочі мобільні телефони для робочих цілей, багато хто все ще не вважає це чутливим для корпоративного середовища, менш обережно ставлячись до шкідливих електронних листів або посилань, які вони отримують.

На жаль, середовище загроз швидко розвивається, і зловмисне ПЗ для мобільних пристроїв становить значну небезпеку як для особистої, так і для корпоративної безпеки, особливо тому, що мобільні пристрої вразливі до кількох векторів атак, від застосувань до мережі та рівня ОС. Щоб боротися з цим ризиком, організації також повинні прагнути запровадити проактивні стратегії, які можуть захистити персонал і корпоративні дані від потенційної атаки. Це має бути безперервна подорож, оскільки кіберзлочинці невпинні, постійно адаптуються та вдосконалюють свою тактику.

Стратегія охолодження ЦОД для епохи AI