Аннотация
За последние десятилетия функциональные возможности мобильных устройств значительно выросли: в работе с корпоративными и личными документами мобильные устройства уже не отстают от возможностей персонального компьютера (ПК). Компактность и удобство гаджетов привела к тому, что современный человек, практически, не расстается со своими мобильными устройствами, которые превратились в незаменимого помощника и в источник уникальной личной информации. Эти факторы закономерно привели к росту количества мобильного вредоносного ПО (далее — «ВПО»), усложнению векторов атак и каналов утечки информации.
В статье приводятся описание и примеры распространенных мобильных угроз, имеющиеся на рынке средства защиты, а также эффективные личные тактики для снижения рисков компрометации мобильных устройств.
Обзор мобильных угроз
Рынок вирусов для мобильных устройств вырос и усложнился. Мобильным устройствам угрожают уже не только относительно безобидные трояны-кликеры, но и полноценные вирусы и шпионское ПО. Большинство вирусных исследовательских компаний выделяют следующие виды угроз:
-
Adware и кликеры. Иногда для данного вида угроз используется термин «Madware» (Mobile Adware). Основная цель этого класса ВПО – показ пользователю нерелевантной рекламы и генерирование искусственных переходов на сайты рекламодателей. С помощью «Madware» злоумышленники зарабатывают «клики» и демонстрируют оплачивающим их компаниям иллюзию интереса пользователей.
-
Spyware — ПО, осуществляющее кражу персональных данных или слежку за своим носителем. Фактически, мобильное устройство может превратиться в полноценный «жучок», передавая злоумышленникам данные о сетевой активности, геолокации, истории перемещений, а также фото и видеоинформацию, данные о покупках, кредитных картах и др.
-
Дроппер — ВПО, целью которого является скачивание другого вредоносного ПО.
-
Вирус — ПО, которое наносит явный вред, например, выводит из строя конкретное приложение или одну из функций устройства.
-
Бот — агент бот-сетей, ВПО, которое по команде C&C-сервера осуществляет требуемую злоумышленнику сетевую активность.
Мобильные устройства также подвержены и традиционным атакам (например, DNS Hijacking, E-mail Phishing), так как используют те же базовые пользовательские сервисы, что и персональные ПК.
Вирусные эпидемии на мобильных устройствах затрагивают от нескольких сотен до миллионов устройств. Статистика исследователей компании Positive Technologies уравнивает риски ОС Android и ОС iOS, несмотря на строгую политику Apple в части обеспечения информационной безопасности.
Рассмотрим примеры наиболее известного мобильного ВПО: «Агент Смит», Culprit, SockPuppet или Unc0ver, Ztorg, Monokle.
Заподозрить заражение «Агентом Смитом» можно по заметному увеличению показа нерелевантной рекламы. Пока это единственное зафиксированное вредоносное действие этого ВПО, хотя, технически, оно имеет огромный вредоносный потенциал. Масштаб заражения Агентом Смитом – 25 млн. устройств, преимущественно, в Азии. Поведение ВПО частично напоминает работу таких вирусов, как Gooligan, Hummingbad, CopyCat. «Агент Смит» действует следующим образом:
-
Пользователь скачивает дроппер в составе зараженного приложения (бесплатной игры или приложения с возрастным цензом).
-
Дроппер проверяет наличие на мобильном устройстве популярных приложений, таких как WhatsApp, MXplayer, ShareIt.
-
Дроппер скачивает и распаковывает архив, который превращается в APK-файл, при необходимости, обновляет и заменяет легитимное популярное приложение на зараженный вариант.
Culprit — ВПО под ОС Android, представляющее собой встроенный в видеофайл код, эксплуатирующий уязвимость CVE-2019-2107 в ОС Android 7.0 до 9.0 (Nougat, Oreo, Pie). Достаточно открыть видеофайл, полученный в фишинговом MMS или сообщении из мессенджера, и ВПО получает полные права в системе.
SockPuppet или Unc0ver — ВПО, позволяющее получить злоумышленнику права суперпользователя для систем iOS и MacOS (Jailbreak). ВПО скачивается в составе зараженного приложения, которое определенный промежуток времени было доступно даже в официальном магазине Apple. ВПО регулярно обновляется и эксплуатирует уязвимость CVE-2019-8605, которая наследуется новыми версиями iOS. В версиях iOS 12.2 и 12.3 уязвимость была закрыта, после чего вновь появилась в версии 12.4 и была пропатчена в версии 12.4.1.
Старый троян Ztorg под ОС Android после установки собирает сведения о системе и устройстве, отправляет их на командный сервер, откуда приходят файлы, позволяющие получить на устройстве права суперпользователя (Jailbreak). ВПО распространяется через зараженные приложения и рекламные баннеры.
Monokle под ОС Android и iOS — троян, позволяющий вести полноценный шпионаж за жертвой: записывать нажатия клавиатуры, фотографии и видео, получать историю интернет-перемещений, приложений социальных сетей и мессенджеров, вплоть до записи экрана в момент ввода пароля. Троян снабжен рядом эксплойтов для реализации необходимых прав в системе, распространяется, предположительно, с помощью фишинга и зараженных приложений. Первые версии ВПО появились под ОС Android, но уже появились версии для устройств Apple.
Источники угроз
На основе анализа описанных примеров мобильного ВПО, а также каналов проникновения других образцов ВПО можно выделить следующие основные пути компрометации устройства:
-
Установка пакета приложений APK из неофициальных маркетов.
-
Установка зараженного приложения из официального магазина. В данном случае, после обнаружения зараженного приложения службой безопасности магазина, оно будет оперативно удалено, а установленное пользователями приложение будет обновлено на безопасную версию.
-
Фишинг и социальная инженерия — SMS, MMS с привлекательными для жертвы вредоносным контентом или ссылкой. Или звонок от ложного «оператора связи» или «служащего банка» с требованием передать учетные данные. Известны несколько нашумевших случаев добровольной установки пользователями программы удаленного управления TeamViewer, якобы, по просьбе службы безопасности банка. После установки программы пользователи передавали злоумышленникам учетные данные для удаленного управления, что равнозначно передаче разблокированного телефона в чужие руки.
Концепция Bring Your Own Device, BYOD (использование для работы с корпоративными документами личного устройства) привносит в корпоративный сегмент целый класс угроз — мобильное устройство сотрудника становится точкой входа во внутреннюю сеть предприятия и источником утечек информации.
Основные методы защиты от мобильных угроз
По версии NIST (NIST SPECIAL PUBLICATION 1800-4 Mobile Device Security, Cloud and Hybrid Builds) для снижения риска заражения мобильного устройства и утечки конфиденциальной информации необходимо реализовать следующие методы защиты:
-
Шифрование данных на устройстве. Шифровать можно отдельные папки (если позволяет система), данные приложений или все устройство целиком. По возможности, необходимо использовать аппаратные платы шифрования и хранения ключевой информации.
-
Защита сетевого трафика: шифрование канала передачи данных, использование внешних фильтрующих решений для очистки трафика. Использование корпоративного шлюза, сканирующего web и email-трафик, или использование облачных решений очистки трафика от ВПО.
-
Обнуление данных на скомпрометированном устройстве (wipe). Уничтожение всех данных или данных отдельного корпоративного приложения при утере или краже мобильного устройства. Обнуление может быть реализовано по удаленной команде или после нескольких неудачных попыток аутентификации.
-
Реализация «песочницы»: использование приложения с изолированным контейнером для хранения данных, которое, как правило, выполняет шифрование данных, контроль их целостности, изоляцию данных приложения в оперативной памяти, запрет копирования данных (вплоть до запрета на снятие скриншотов), удаленное уничтожение данных.
-
Контроль установленных приложений, вплоть до составления «белого» списка разрешенных приложений, контроль их целостности. Контроль целостности приложений при запуске устройства.
-
Использование двухфакторной аутентификации: желательно использовать дополнительные средства аутентификации, в частности, сканирование отпечатка пальца. Необходимо иметь в виду, что некоторые биометрические способы аутентификации пока не очень надежны, например, распознавание лиц. Аутентификация путем ввода кода из СМС в современных условиях многими экспертами также признается недостаточно ненадежной.
-
Своевременная регулярная установка обновлений ОС, приложений, драйверов. При этом важно использовать официальные источники ПО.
-
Антивирусная защита: регулярное сканирование системы, файлов, приложений. Сканирование приложений перед их установкой.
Классы решений для защиты мобильных устройств
EMM=MDM+MAM+MCM+EFS
На рынке представлены следующие классы решений для защиты мобильных:
-
Антивирусные решения. Наиболее популярные среди них: Kaspersky Internet Security, Trend Micro Mobile Security, BitDefender, ESET NOD32 Mobile Security, Avast Mobile Security & Antivirus, Dr.Web Anti-virus, AVG Antivirus, Avira Antivirus Security, Norton Security & Antivirus, McAfee Security & Antivirus.
-
Mobile Threat Management, MTM (источник термина — IDC) — агент, выполняющий, помимо антивирусной защиты, фильтрацию корпоративного почтового трафика и трафика мессенджеров от вредоносных URL и документов, интеграцию с корпоративным облаком для фильтрации трафика и мониторинга событий. Возможно дополнительное шифрование контейнера данных приложения. На рис. 1 представлен квадрат решений MTM от IDC за 2019 год.
Рис. 1. Квадрат решений MTM 2019, IDC
-
Mobile Device Management, MDM — средства управления корпоративными мобильными устройствами или пользовательскими устройствами в концепции BYOD. Включает следующие функции: управление конфигурациями прошивок и приложений, инициализация и деинициализация приложений, удаленная очистка данных, настройка проксирования трафика через корпоративный шлюз или облачное решение фильтрации трафика, удаленный мониторинг и поддержка.
-
Enterprise Mobility Management, EMM — новое поколение средств защиты мобильных устройств, выросшее из MDM-решений и впоследствии влившееся в концепцию Unified Endpoint Management (UEM). EMM, дополнительно к решениям MDM, включает в себя решения MAM (Mobile Application Management), Mobile Content/Email Management (MCM/MEM), Encrypting File System (EFS), централизованное управление и мониторинг, настройку отдельных приложений, в частности, контроль за установкой приложений из определенного репозитория, удаление приложений, шифрование данных, аудит, проверку на соответствие политикам.
-
UEM-консоли — общие консоли управления мобильными устройствами и ОС пользователей. В сущности, современные производители средств защиты мобильных устройств предлагают решения, совмещающие набор технологий: MDM, MAM, UEM, MCM/MEM, управление конфигурацией и политиками.
Квадрат Gartner по UEM-решениям за 2019 год представлен на Рис. 2.
Рис. 2. Квадрат Gartner по UEM решениям за 2019 год
Основные выводы
Вслед за развитием мобильных технологий, растет количество и разнообразие ВПО, нацеленного на мобильные устройства.
Общеприменимыми рекомендациями по безопасному использованию как личных, так и корпоративных мобильных устройств являются:
-
Использование только доверенных официальных прошивок и приложений.
-
Личная мобильная гигиена в использовании устройств: не устанавливайте неизвестные программы из недоверенных источников, не давайте приложениям избыточные разрешения (например, приложению «Фонарик» не нужен доступ к фотографиям).
-
Соблюдение физической и логической безопасности устройства: не давайте устройство в руки незнакомым лицам и неофициальным экспертам, не предоставляйте удаленный доступ к устройству недоверенному источнику, например, непроверенному сотруднику банка по телефону.
-
Периодический мониторинг системных параметров: расхода батареи, сетевой активности. Если приложение создает неадекватный расход ресурсов — это является поводом для проверки или даже удаления приложения, так как оно, возможно, создает вредоносную активность.
-
Отключение функции платного контента у оператора связи оградит от нелегитимных снятий средств с мобильного счета.
-
В случае возникновения проблем с приложением — отправка отчетов производителю средствами приложения или через официальный магазин — так вы поможете разработчикам вовремя обнаружить и нейтрализовать возможные заражения.
Для снижения риска заражения вредоносным ПО, обеспечения защиты от утечек конфиденциальных данных и минимизации ущерба в случае потери физического контроля над устройством рекомендуется также использовать специализированные средства защиты — антивирусы, решения класса MTM, а также корпоративные решения классов UEM, MDM, EMM.
Автор: Анна Михайлова
Системный архитектор
Angara Technologies Group
Статья опубликована на securitylab.ru