Что нас ждет дальше? Принято считать, что 2013 год был лишь годом «обкатывания» таких технологий разработки, и в будущем нас ожидает резкий всплеск подобных заражений и появление новых бот-сетей. Уже сейчас на хак-форумах в сети можно найти объявления о продаже вредоносного программного обеспечения для мобильных платформ. Функционал таких троянов на порядок превышает предыдущие достижения вирусописателей: перехват произвольных входящих SMS-сообщений и их перенаправление, отправка SMS-сообщений на произвольный номер с последующим скрытием от владельца, переадресация звонков на любой номер, извлечение входящих и исходящих SMS и вызовов, контактов из адресной книги. Запись аудиофайла со встроенного микрофона/гарнитуры и отправка этого файла злоумышленнику расширяет возможности шпионажа за жертвой. Кое-что насчет iOS Ранее существовавший миф о том, что под OS X вирусы не пишут, уже успешно разрушен. Кто еще об этом не знает, может почитать о вредоносной программе Flashback, да и непродолжительный поиск в сети покажет вам и другие данные о вредоносных программах под Mac. Но вот, что касается iPhone, многие специалисты до сих пор утверждают, что таких вредоносных программы не существует, — этому способствует достаточно жесткая политика модерирования Apple Store, а также отсутствие возможности установки сторонних приложений. Что же, скажем сразу, что пока в нашу лабораторию не попало ни одного устройства с трояном под iPhone. Но вот результаты исследования бот-сетей дают совершенно другие результаты. В июле Group-IB искали одного мошенника, который совершал хищения с использованием мобильных устройств. После того, как мы его нашли и собрали о нем дополнительную информацию, мы обнаружили, что еще в прошлом году, хвастаясь своими наработками под Android, он сообщил, что в начале 2013 года сделает программу и под iOS. Исследуя базу из его бот-сети, мы решили проверить нет ли в ней iPhone-ов. В самой базе бот-сети информация о платформе отсутствовала, однако, были IMEI-номера. Естественно, информацию о зараженных устройствах мы передали мобильным операторам и попросили проверить их по IMEI, нет ли среди этих устройств iPhone-ов. Результат оказался интересным. Из первой базы в 3000 устройств оказалось пять под управлением iOS. Другой случай был уже в августе, когда мы проводили исследование для одного немецкого банка. Исследуя серверы управления атакующей их клиентов бот-сети в базе данных мы увидели, что троян собирает сведения и об устройстве на которые он был установлен. Как показано на рисунке ниже, кроме Android там присутствует и iPhone и WinMobile. Перспективы использования мобильных бот-сетей Целевые атаки 2013 год стал годом целевых атак на банки: деньги начали воровать не у клиентов банка, а у самого банка. Можно ожидать появление новых векторов подобных атак: практически любой троян под Android или аналогичную платформу умеет копировать SMS-сообщения и другую историю сообщений и передавать ее впоследствии злоумышленнику. Поиск среди такой переписки сообщений, которые указывали бы на причастность данного человека к какой-то крупной компании и ИТ-специалисту открывает возможность делать очень интересные вещи. В своей работе Group-IB в рамках услуги «социальный пентест» мы не раз демонстрировали, что если системный администратор получает указание в виде SMS-сообщения, якобы с телефона своего руководителя, то он, как правило, его выполняет. Например, можно отправить сообщение с просьбой прислать root пароль от нужного сервера по SMS. Когда у вас есть контроль над телефоном и список контактов, сделать это совсем не сложно. Сценариев использования телефонов можно придумать множество. Вымогательство Люди считают свой телефон надежным устройством для хранения самых разных тайн. И на телефонах можно найти множество сообщений, которые владелец никогда не захочет опубликовать, то есть, к примеру, фотографии интимного характера. Когда на вашем мобильном устройстве уже установлен троян, доступ к таким тайнам получается автоматически. В нашей практике есть множество случаев, когда у людей за сохранение в тайне подобной информации вымогали крупные суммы денег. К сожалению, в мире полно разного рода извращенцев и они станут целью номер один для подобного рода вымогателей. Как мы уже написали в предыдущих пунктах, злоумышленники уже изучают SMS-сообщения для проведения атак. Соответственно, когда злоумышленники среди сообщений на телефоне найдут что-то указывающее на «нездоровую» активность, они достанут и фотографии, и другую информацию, доказывающую это, и наверняка захотят заработать на ней. Партнерки и бот-сети для обнала Всем давно известно, что когда идет речь о хищениях небольших сумм у физических или юридических лиц, то использование для обналичивания мобильных кошельков уже совсем не редкость. Мобильные операторы и платежные системы, такие как QIWI, неплохо борются с мошенничеством и достаточно быстро обнаруживают мошенничество со своими кошельками, в том числе, используемыми для обналичивания, чем значительно усложняют жизнь мошенникам, которые успешно выводят деньги, но не могут их обналичить. Обнаруживать такие кошельки не очень сложно, особое внимание привлекают свежезарегистрированные кошельки, кошельки без нормальной истории транзакций или управляемые с иностранных IP-адресов. Теперь представим ситуацию, когда для обналичивания используются уже имеющие долгую положительную историю кошельки, а управление кошельками осуществляется с мобильного устройства владельца. Где же взять такие кошельки? А теперь представим себе небольшую бот-сеть всего лишь на 10 000 устройств. Это означает, что каждое такое устройство – это, как минимум, один электронный кошелек. Один от мобильного оператора, а второй — подключенный QIWI-кошелек или другой аналог. И вот уже использование подобных кошельков для обналичивания должно значительно повысить эффективность или процент успешного обналичивания денег. При этом, использование большого количества кошельков позволит делать длинные цепочки для обналичивания, что тоже усложнит жизнь как для банков с целью остановить вывод денег, так и для правоохранительных органов при расследовании. Поэтому мобильные бот-сети могут вывести на рынок новую услугу — обналичивание через мобильную бот-сеть. А чтобы снизить издержки на обналичивание и поддержание такой бот-сети, мошенники могут организовать и партнерскую программу для этих целей, по аналогии с партнерскими программами по SMS-подпискам. Полноценный банковский троян Сейчас трояны под мобильные платформы имеют богатый функционал, однако, многие из них специфичны именно для мобильных платформ. Но уже сейчас мы замечаем, что некоторые банковские мобильные трояны при открытии банковского сайта с телефона или планшета начали перенаправлять запросы на фишинговые ресурсы, как это уже давно делается на обычных компьютерах. Безусловно, большое проникновение смартфонов и планшетов, а также более активное их использование при работе с банковскими услугами приведет к тому, что скоро на мобильных платформах появятся полноценные банковские трояны, как для ПК. Кроме текущего функционала они будут обладать такими необходимыми функциями, как Form-grabber и Webinject. Заключение Если говорить о финансовых учреждениях, то они сильно недооценивают риски, связанные с мобильными бот-сетями. С 2014 года банки обязаны возмещать ущерб клиентам, со счета которых будут похищены денежные средства. Сейчас большинство банков совершенно не готово к угрозам, которые несут мобильные бот-сети. Перспективы использования мобильных бот-сетей будут привлекать все большее количество участников на этот рынок. В последние полгода тенденция такова, что каждые два месяца мы фиксируем появление новой преступной группы с собственной мобильной бот-сетью. Естественно, что таких групп будет все больше, троянские программы будут все совершеннее, а методы и объемы их распространения будут стремится к результатам распространения обычных вредоносных программ.
