Raportul internaţional privind ameninţările este destinat să descrie comportamentul tipic al malware-ului Android, în special în contextul financiar.
Dezvoltatorii de programe de malware pentru mobile banking/plăţi sunt primii care folosesc noile tehnologii şi caută mereu modalităţi de a ocoli mecanis-mele de securitate implementate în sistemele de operare pentru mobil. Raportul complet este alcătuit din patru secţiuni, după cum urmează:
Secţiunea 1 - descrie contextul unui atac malware pe dispozitivele mobile. În ultimii ani s-a dezvoltat o cantitate uriaşă de malware mobil. Acest lucru este cauzat de doi factori. În primul rând, contextul dezvoltării aplicaţiilor mobile este mai puţin matur din punct de vedere tehnologic, în special din perspectiva securităţii. În al doilea rând, utilizatorii au o mai mică înţelegere a implicaţiilor acţiunilor lor atunci când folosesc un dispozitiv mobil. Un citat foarte semnificativ, care descrie cel mai bine acest aspect în câteva cuvinte, este: "Pentru cei care vizează conturi bancare personale, malware-ul mobil este mai ieftin şi mai sigur decât troienii bancari".
În scopul abordării importanţei securităţii mobile, Figura 1 arată numărul tot mai mare de dispozitive mobile din întreaga lume, care, în 2016, a depăşit chiar Desktop-urile în ceea ce priveşte conexiunile la Internet. Asigurarea securităţii pe dispozitivele mobile este esenţială: ceea ce am văzut până acum nu este decât începutul.
Secţiunea 2 - descrie modul în care atacatorii infiltrează aplicaţii sau coduri rău intenţionate în dispozitivele utilizatorilor. Obiectivul tipic al atacatorilor este obţinerea informaţiilor de plată, care ar putea fi utilizate mai târziu pentru a comite fraude sau pentru a accesa datele private de utilizator.
Rezumând, un atac mobil constă în trei faze principale: infiltrare, instalare Backdoor, extragere date.
- Faza de infiltrare a malware-ului vizează introducerea unei aplicaţii sau a unei bucăţi de cod rău intenţionat în mediul de execuţie în care va fi efectuat atacul.
- Faza de instalare Backdoor are scopul de a deschide o conexiune bidirecţională sau unidirecţională către un backend deţinut de atacator. Scopul său este de a crea un canal de comunicare persistent între dispozitivul infectat şi agentul rău intenţionat.
- Scopul fazei de extragere este de a accesa informaţii sensibile şi de a le trans-mite prin canalul de comunicare stabilit în faza anterioară.
"Atacatorii urmăresc, de obicei, să compromită informaţiile confidenţiale ale utilizatorilor în scopul executării atacurilor finale asupra altor canale. Pentru a accesa datele confidenţiale de utilizator, un atacator exploatează încrederea utilizatorilor în surse cunoscute şi percepţia eronată a riscurilor de către utilizatori în efectuarea de acţiuni sensibile pe dispozitive mobile".
Această abordare este utilizată în faza de infiltrare, de exemplu prin troieni şi / sau în faza de extragere a datelor. Figura 2 prezintă un exemplu de eşantion malware de tip bankbot, Jewel Star Classic distribuit prin Google PlayStore. Acest troian, creat prin infiltrarea unei încărcături periculoase într- un cod legitim, vizează falsificarea identităţii Jewels Star, un joc destul de faimos, potrivit statisticilor, cu 50-100 de mii de instalări legitime. În acest fel, atacatorii au putut să determine utilizatorii sa le descărce şi să le instaleze. În acest moment, faza de infiltrare este finalizată.
Secţiunea 3 - descrie modul în care funcţionează malware-ul financiar şi oferă o imagine de ansamblu asupra peisajului malware actual. O analiză amplă a unei cantităţi relevante de eşantioane de malware financiar identifică cele şase comportamente tipice ale malware-ului, ale familiilor malware şi ale distribuţiei lor geografice. Finanţatorii cibernetici financiari caută mereu noi modalităţi de a exploata utilizatorii şi de a extrage bani de la ei. În ultimii ani, s-a dezvoltat o mare cantitate de malware financiar care a dus la o varietate de familii malware. Cu toate acestea, tendinţele cele mai răspândite sunt obţinerea de privilegii de administrare şi păcălirea utilizatorilor prin suprapuneri. O familie foarte reprezentativă care arată un astfel de comportament şi atacă în prezent o varietate de organizaţii este Red Alert24.
Pe lângă comportamentul său, o altă parte interesantă a acesteia este mecanis-mul atacurilor suprapuse care diferă de familiile mai în vârstă atât în ceea ce priveşte implementarea, cât şi în gestionarea ţintelor. De fapt, ţintele sunt stocate pe serverul atacatorului şi nu sunt trimise înapoi la malware-ul mobil, făcând viaţa unui analist mult mai dificilă. Cybercriminalii caută în mod constant modalităţi de a ocoli noile mecanisme de protecţie Android, adesea folosind tehnici de bază, dar valide.
Secţiunea 4 - descrie soluţia împotriva ameninţării din ce în ce mai frecvente a malware-ului financiar, care este un mecanism de detectare bazat pe comportament numit motor de malware. Programele antivirus convenţionale care sunt disponibile pe piaţă deseori îşi bazează detectarea pe semnături, chiar dacă aces-tea sunt mai punctuale în detectare, acest tip de abordare prezintă multe dezavantaje şi, în general, nu poate detecta programe malware necunoscute. În contextul mobil, care este extrem de dinamic, aceasta este o problemă enormă.
Procesul de verificare dacă un fişier nou este rău intenţionat poate fi complex şi consumator de timp. În multe cazuri, malware-ul a evoluat deja până atunci. Întârzierea în identificarea noilor forme de malware face corporaţiile şi consumatorii vulnerabili la daune grave. Din acest motiv, motorul nostru, bazat pe analiză comportamentală, implică mecanisme de învăţare a maşinilor şi algoritmi avansaţi, modelaţi şi implementaţi ca urmare a sarcinilor de business pe termen lung.
Avantajele pentru analiştii care utilizează acest tip de soluţie pot fi explicate cu următorul citat: "Detecţia malware este doar primul pas. Oferă informaţii despre familia asociată împreună cu comportamentele detectate, permite unui analist să înţeleagă posibilele efecte asupra unui client final şi apoi să declanşeze cea mai potrivită remediere".