Mobile malware

Protecting the irreplaceable | f-secure.com

Mobile Malware 2010

Michal Iwan

Michal.iwan@f-secure.com

Rynek Smartphonów 2009

Data source: Canalys

Apple 14%

Microsoft 7%

RIM19%

Symbian 40%

BlackBerry 18%

Android 16%

iOS 15%

Windows

Mobile

7%

Others 4%

Symbian

BlackBerry

Android

iOS

Windows Mobile

Others

• Prognozowana sprzedaż w 2010 roku

• Nokia 107 millionów

• Apple 41 millionów

• Android 47 millionów

vs vs

Mobile Security – Stan na dziś

Pierwszy mobile malware znaleziony w 2004

• Obecnie: 517 wirusów, robaków i trojanów na platformy mobilne

• Celem ataków są najpopularniejsze platformy

• Brak exploitów…jeszcze

Najpoważniejsze problemy

• utracone, zniszczone lub skradzione telefony

•13 April 2023

Dlaczego główne niebezpieczeństwa pozostają na Windows PC

Komputery już dziś służą do nielegalnego zarabiania na atakach hakerskich

Informacja jest bardzo łatwo dostępna

Już gotowe exploity wraz z narzędziami do ich wykorzystania

Działające sprawdzone modele zarabiania na zagrożeniach

Doskonałe źródło nauki dla twórców zagrożeń mobilnych

April 13, 20237

Wszystko się kręci wokół pieniędzy

Już dziś można na m-wirusach zarobić

chociaż działania podejmują głównie amatorzy

Jak zarabiają?

• SMS Premium

• Połączenie głosowe premium

• Scam subscrypcyjny

• Ataki na bankowość online

• Ransomware ( aplikacje żądające okupu)

• Fałszywe aplikacje

• GPS Spyware

April 13, 20238

Premium SMS

• Trojany sa małymi aplikacjami z prostym GUI lub “strojanizowanymi” wersjami zwykłych programów lub gier.

• Premium SMS działa zwykle tylko w jednym kraju, trojany są ściśle zlokalizowane (większość znanych funkcjonuje w Rosji)

• Zwykle trojany rozprzestrzeniają poprzez prosty social engineering

• Wiadomości ICQ z linkiem downloadu/instalacji

• Vkontakte (Rosyjski odpowiednik facebooka)

• SEO spam

• SMS spam

April 13, 20239

Fakeplayer SMS trojan

• Fakeplayer.A oraz .B są trojanami na android’a udającymi aplikacje media player

• Podczas instalacji Android pyta o pozwolenia na różnego typu akcje zawierające wysyłanie SMS

• Niestety większość aplikacji na Androida pyta o “tony” pozwoleń podczas instalacji, więc dla użytkownika nie jest to niczym wyjątkowym

• Kiedy aplikacja startuje wyświetla rosyjski text :“Czekaj, poszukiwany dostęp do bibliotek video..“

• Fakeplayer.B rozprzestrzenia się poprzez techniki SEO głównie wykorzystując wyniki przeszukiwań związane z pornografią

April 13, 202310

Połączenia głosowe Premium

Premium SMS działają w jednym kraju

Twórcy mobile malware poszukują międzynaradowych metod zarabiania

Niestety, jedna jest już dostępna i została już wykorzystana

Jak działają “Międzynarodowe numery premium”?

Krok 1 - zostaje zarejestrowany numer u jednego z operatorów usług głosowych Premium

Krok 2 - wszystkie połączenia z tym numerem są podstawą do międzynarodowego billingu z którego właściciel numeru otrzymuje udział w przychodach

Krok 2 i pół - połączenie jest rutowane lokalnie, ale koszt jest na poziomie międzynarodowym

• W przeciwieństwie do premium SMS nie można zablokować tych numerów dopóki użytkownik nie zablokuje połączeń miedzynarodowych

• Operatorzy jest poczuwają się do winy, z ich punktu widzenia to twórcy tych zagrożeń nadużywają ich serwisów.

"Short Stopping" / "Long Lining"

Nevada – Somalia: $2.55 / minuteNevada – Florida: $0.03 / minute

Call Terminations

$12

Numery

• +882346077 Antarctica

• +17675033611 Dominican republic

• +88213213214 EMSAT satellite prefix

• +25240221601 Somalia

• +2392283261 São Tomé and Príncipe

• +881842011123 Globalstar satellite prefix

SMSy i połączenia premium poprzez Windows

• Dialery były popularnym zagrożeniem w czasach modemów, są jednak też nowe przypadki

• Przy użyciu “dongla” GPRS USB modem wysyła SMSy

• Potencjalnie możliwe jest wykorzystanie połaczenia BT między komputerem a telefonem do wysyłania SMS

• Nokia PC suite oferuje łatwy interfejs do wysyłania SMS i nawiązywania połączeń głosowych

• Wykorzystanie właściwości telefonów do nielegalnego zarabiania pieniędzy może być kolejną cechą botnetów.

© F-Secure ConfidentialApril 13, 202321

Scam – Subsrybcje Usług Premium

nieświadome korzystanie z

płatnego serwisuoszukuje

ofiarę

płaci dopóki nie zrezygnuje.

WAP push

April 13, 202322

Scam - Premium Service jako Spam w Facebook’u

• W przeszłości scam usług premiumdystrybuowany był głównie przez SMS

• Obecnie zauważyliśmy go również w FB

• Kliknięcie linku prowadzi do strony reklamowego serwisu premium wixawin.com

• Wixawin wyświetla ceny i informacje o subskrypcji

• Mechanizm może być wykorzystany nieuczciwie

© F-Secure ConfidentialApril 13, 202323

Ikee.B pierwszy trojan bankowy

Ikee.A cel = rozprzestrzenianie

Ikee.B cel = łączył się z serwerem, aby pobrać złośliwy kod

• modyfikował /etc/hosts wskazujący stronę Dutch ING bank na serwer w Japonii

• Japoński “zhakowany” serwer należał do małego sklepu z kwiatami

• Dutch ING używa kodów SMS TAN ( transaction authentication number)

• Ikee.B przesyłał wiadomości SMS zawierające TAN na serwer HTTP

April 13, 202326

Pierwszy Mobilny Ransomware

• Domyślne hasło SSH w odblokowanych iPhonezostało użyte w pierwszej próbie ransomware

• Nastoletni Holender wykorzystał te lukę, aby włamać się do telefonów i zamienić ikonę“lock” na wiadomość z groźbami i żądaniem okupu

• Na stronie wyświetlonej w żądaniu przestępcadomagał się $4.95 za instrukcje usunięcia problemu

• Spotyka się zagrożenia ransomware na PC któreużywają SMS jako sposób płatności za kod odblokowujący komputer.

Source:http://www.zdnet.com/blog/security/ihacked-jailbroken-iphones-compromised-5-ransom-demanded/4805

Fałszywe Aplikacje

• Fałszywe aplikacje nie są malware’m

• Nie posiadają żadnych funkcjonalnościale są sprzedawane za tak niską cenę żeludziom “ nie opłaca się” składać skarg

• Fałszywe aplikacje bankowe obiecujązapewnić mobile banking

• A uruchamiają tylko stronę bankuw przeglądarce

• Mogą jednak bez trudu być wykorzystywaneprzez trojany bankowe

• Ludzie dobrowolnie za nie płacą i chcąwykonywać przez nie transakcje

Banki które były celem "09droid"

Abbey Bank

Alaska USA FCU

Alliance & Leicester (v. 1.1)

Bank Atlantic

Bank of America

Bank of Queensland

Barclaycard (v. 1.1)

Barclays Bank (v. 1.2)

BB&T

Chase

City Bank Texas

Commerce Bank

Compass Bank

Deutsche Bank

Fifty Third Bank v.1.1

First Republic Bank v.1.1

Great Florida Bank

LloydsTSBM&IMechanics Bank v.1.1 MFFCU v.1.1 MidwestNationwide (v. 1.1) NatWest (v. 1.1)Navy Federal Credit Union (v. 1.1) PNCRoyal Bank of Canada RBS v.1.1 SunTrustTD Bank v.1.1 US Bank v.1.2 USAA v.1.1 Valley Credit Union Wachovia Corp (v. 1.2) Wells Fargo (v. 1.1)

Tap snake – szpieg GPS

• Gra Tap Snake wygląda jak przeciętny „wąż"

• Ma jednak dwie ukryte cechy

1. Po zakończeniu gry aplikacja się nie zamyka. Raz zainstalowana działa zawsze w tle i startuje się na nowo po każdym wyłączeniu telefonu.

2. Co 15 minut gra raportuje pozycję GPS na serwer.

April 13, 202330

Jak się zabezpieczyć przed utratą telefonu

Zaszczep swój sprzęt – nowości o komórkach