2012 é o ano dos worms massivos para Android e da propagação da ciber-espionagem móvel

21 mar 2012
Notícias de Vírus

  • O Android tornou-se no sistema operativo móvel mais atacado de todos, com um aumento no número de ataques de 200%

  • 75% dos vírus em smartphones aparecem em dispositivos Android. Seguem-se o Symbian e o Windows Phone. O iOS quase não aparece no mapa, apesar de ter uma quota de mercado muito próxima à do Android

  • Um cibercriminoso pode ganhar entre 1500 e 4000 euros por dia com malware móvel

  • O número total de ameaças por ano aumenta a um ritmo vertiginoso. Os programas maliciosos para dispositivos móveis aumentaram 600% durante 2011

A Kaspersky Lab, líder no desenvolvimento de sistemas de protecção contra software malicioso, ataques de hackers e spam, apresenta o seu relatório de virologia móvel, que começa por fazer um balanço a 2011 no que se refere à segurança em smartphones e tablets. Deste balanço, destaca-se o desenvolvimento activo dos Trojans SMS; o notável crescimento das ameaças para Android e do spyware e a maior complexidade dos programas maliciosos.

O que nos reserva o resto de 2012

  • Continuará a crescer o interesse pelo Android entre os autores de vírus, cujos esforços centrar-se-ão na criação de programas maliciosos dirigidos contra esta plataforma, em particular.
  • Incremento na quantidade de ataques a vulnerabilidades. Hoje em dia, os exploits são só usados para aceder ao sistema dos smarphones, mas em 2012 espera-se que os ataques explorem vulnerabilidades para infectar o sistema operativo móvel.
  • Aumento no número de incidentes com programas maliciosos que afectam as lojas oficiais de aplicações, em concreto o Android Market.
  • Vão aparecer os primeiros worms em massa para Android.
  • Grande propagação da “espionagem móvel”.

Número de famílias e modificações

Lembramos que no final de 2010 existiam 153 famílias e mais de 1000 modificações de malware móvel. Já as registadas pela Kaspersky Lab no dia 1 de Janeiro de 2012 são:

marko_exploitkits_pic07s

O número total de ameaças por ano multiplicou-se por 6,4 vezes. Só no último mês de 2011, a Kaspersky Lab agregou às suas bases antivírus mais descrições de programas maliciosos móveis que no período compreendido entre 2004 e 2010.

75% dos vírus em smartphones são descobertos em equipamentos Android, seguido do Symbian e do Windows Phone. O iOS quase não aparece no mapa, apesar de ter uma quota de mercado um pouco abaixo da do Android. E os cibercriminosos podem ganhar entre 1500 e 4000 euros por dia com malware móvel.

Distribuição do Malware

marko_exploitkits_pic07s

Em 2011, não só cresceu o número das ameaças móveis, como também houve lugar a uma mudança qualitativa do malware. Apesar do facto de entre os programas detectados continuarem a predominar os clássicos Trojans SMS, que permitem aos cibercriminosos lucrar sem esforço, o seu peso baixou dos 44,2% em 2010 para os 36,6% em 2011.

Os backdoors, distribuídos com um exploit root para tomar o controlo do dispositivo, representam o segundo comportamento mais frequente. Em terceiro lugar estão os programas spyware que roubam a informação pessoal dos utilizadores ou os dados do dispositivo infectado.

Distribuição por plataformas

Segundo os analistas da Kaspersky Lab, o sistema operativo Android tornou-se no sistema operativo para smartphones mais atacado, com um aumento de 200%. Além disso, o número de unidades de malware (programas nocivos), identificados até Dezembro do ano passado, somava 82.000. Mas só nas duas primeiras semanas de Janeiro este número aumentou para os 360.000 tipos.

Hoje em dia, o Android é o sistema operativo móvel mais popular, o que se reflecte no aparecimento e desenvolvimento de novas ameaças. De acordo com diferentes estimativas, hoje em dia o SO Android está instalado em 40-50% de todos os smartphones.

marko_exploitkits_pic07s

Software malicioso no Android Market

Outra dor de cabeça em 2011 foram os programas maliciosos na loja oficial de aplicações do Android. O primeiro caso de aparecimento de software malicioso no Android Market registou-se em princípios de Março de 2011, e a partir de então o malware começou a aparecer no Android Market com regularidade. A popularidade do Android, a simplicidade da criação de software para esta plataforma; a possibilidade de difundir o malware a partir de uma fonte oficial; bem como a pouca eficácia das novas aplicações na detecção de malware colocaram a Google em maus lençóis. Os criminosos não deixam de aproveitar todos estes factores e, como resultado, o malware propagou-se através do Android Market não durante horas ou dias, mas ao longo de semanas e meses, o que provocou uma grande quantidade de infecções.

Trojans SMS

Em 2011, o desenvolvimento do malware mais popular no mundo dos dispositivos móveis sofreu certas mudanças. Em primeiro lugar, os Trojans SMS deixaram de ser um problema que afecta só os utilizadores russos. Em segundo lugar, os ataques contra os utilizadores russos massificaram-se. Em terceiro lugar, a plataforma J2ME deixou de ser o principal território vital dos Trojans SMS.

Praticamente em todos os envios em massa que detectámos, os programas maliciosos pertenciam à família Trojan-sms.j2me.smmer. Estes Trojans têm funções bastante primitivas, mas se consideramos as dimensões e a regularidade dos seus envios em massa, a sua simplicidade não os impediu de infectar uma grande quantidade de dispositivos móveis. Pelas suas dimensões, estes envios em massa superaram todos os anteriores.

Antes de 2011, a maioria dos Trojans SMS dirigia-se aos utilizadores da Rússia, Ucrânia e Cazaquistão. A partir de então, começaram-se a registar os primeiros ataques dirigidos a utilizadores da Europa e América do Norte. Um dos pioneiros foi o trojan GGTracker, que tinha por alvo utilizadores dos EUA. A aplicação disfarçava-se de um utilitário que prometia reduzir o consumo da bateria do smartphone, mas em vez disso registava o utilizador num serviço SMS de valor acrescentado.

Man-in-the-M(iddle)obile

O primeiro ataque através da técnica Man-in-the-Mobile teve lugar em 2010. No entanto, estes ataques desenvolveram-se sobretudo em 2011, quando apareceram versões dos programas maliciosos ZitMo e SpitMo para diferentes plataformas (ZitMo para Windows Mobile, ZitMo e SpitMo para Android) e os criminosos pouco a pouco foram aperfeiçoando as funcionalidades dos programas maliciosos.

Os Trojans ZitMo (ZEUS-in-the-Mobile) e SpitMo (SpyEye-in-the-Mobile), que funcionavam em conjunto com os ZEUS e SpyEye normais, são uns dos programas maliciosos mais complexos detectados nestes últimos tempos. Entre os acontecimentos mais importantes vale a pena destacar a confirmação da existência do ZitMo para Blackberry e o aparecimento de versões do ZitMo e SpitMo para Android. O aparecimento do ZitMo e SpitMo para Android tem particular interesse porque durante bastante tempo a plataforma móvel mais popular não chamou a atenção dos autores destes programas maliciosos.

Códigos QR: uma nova forma de propagar ameaças

Os códigos QR são cada vez mais frequentes e amplamente usados em avisos, cartazes e outros meios que proporcionam um rápido e fácil acesso a determinada informação. É por isso que os primeiros ataques com códigos QR não nos surpreenderam.

Muitos programas maliciosos para dispositivos móveis (especialmente Trojans SMS), são muito comuns em sites onde todo o software é malicioso. Nestes sites, além dos links directos para as ameaças, os cibercriminosos também começaram a usar códigos QR maliciosos com um link codificado.

marko_exploitkits_pic07s

Hacktivismo móvel: o princípio

Durante todo o ano 2011, a Kaspersky Lab observou um repentino aumento na actividade de utilizadores maliciosos cujo propósito, longe do lucro económico, se centrava em protestar ou vingar de políticos, agências governamentais, grandes corporações e governos. Os hackers com motivações políticas têm penetrado inclusive nos sistemas mais seguros e têm sacado centenas de milhares de dados de pessoas em todo mundo. Inclusive os sistemas tecnologicamente mais avançados têm sido vítimas de ataques DDoS lançados a partir de grandes redes zombi de hacktivistas.

O hacktivismo também inclui programas maliciosos desenhados com claros fins políticos. Este tipo de programas maliciosos já marcou presença no mundo dos dispositivos móveis.

As ameaças que a Kaspersky Lab detectou, como o Trojan-sms.androidos.arspam, destinam-se a atacar utilizadores em países árabes - esta aplicação “trojanizada” propagou-se nos fóruns de língua árabe. A principal função deste trojan é enviar mensagens de texto com um link para um fórum dedicado a Mohamed Bouazizi para seleccionar aleatoriamente contactos no dispositivo infectado.

Além disso, o Arspam também procura determinar o código ISO do país em que está a ser utilizado o smartphone atacado. Se o código é BN (Bahrain), então o programa malicioso passa a descarregar um PDF com um relatório sobre a Comissão de investigação independente do Bahrain (BICI, em inglês) sobre os direitos humanos.

Até agora, este é o único caso de hacktivismo móvel, mas é provável que encontremos outros em 2012.

Para aceder ao relatório completo (em inglês), clique aqui.

© 1997 - 2014 Kaspersky Lab ZAO.

Todos os direitos reservados.