Vírusok a telefonokon Mikor mások hallgatnak és néznek telefonommal.
Outline • • • • •
Bevezető Miért az Android? Hogyan támadnak? Hogyan védekezzünk? Esettanulmány: Red October
Bevezető • Vírus, malware, trójai – mi micsda? – Malware (malicious software): rosszindulatú programok
• A malware-ek különböző típusai: – Vírusok: másolódik, terjed – Trójai falovak: mást tesz – Backdoor-ok: nem látható, visszatérést segíti – ad- és spyware-ek: reklámoz / adatokat gyűjt
Milyen eszközöket támadnak? • Mindenent: PC-k, MAC-k, tabletek és okostelefonok: Android, BlackBerry, iOS • Milyen céllal? – Információt szerezni: spam, e-banking, érzékeny (pl. céges) információk / adatok, GPS tracking stb. – Támadni: botnetek, DDOS egy szolgáltató ellen,
Az asztali operációs rendszereket támadó új kártevők számának évenkénti növekedése. forrás: G Data 3000000 2500000 2000000 1500000 1000000
500000 0 2006
2007
2008
2009
2010
2011
2012
Az új androidos kártevők számának növekedése 2012 második félévében. f: G Data 35000
30000 25000 20000 15000 10000 5000 0 2012.07
2012.08
2012.09
2012.10
2012.11
2012.12
Miért mobil és miért Android? • Minél elterjedtebb rdsz. legyen! – Android: 70%
• Minél könnyebben támadható legyen – Nem a Google Play-en keresztül telepítjük a kártékony alkalmazásokat! – „A felhasználók 44%-a nem is tud arról, hogy van Anti vírus szoftver telefonra is.” – Symantec
• Az adott támadásnak megfelelő szempontok
Okostelefon-eladások operációs rendszer szerinti eloszlása 2012 Q4-ben. f: Gartnet Android iOS Microsoft Bada
Symbian Others
Miért mobil és miért Android? • A mobilokat még a számítógépektől idegenkedők is használnak. • A legtöbb telefon „ugyanolyan”: – Bluetooth, WiFi, Kamera, SD-kártya, GPS, stb.
• Eddig nem volt nagyobb botrány! – Ez nem igaz, de tud bárki is mondani egy mobil vírust, esetleg story-t?
Hogyan támadnak? • „A fertőzött eszközöket már botnetekbe kötik” – Ralph Benzmüller (G Data) • Malware, kártékony mobil alkalmazások • Hamis Facebook promóciók és versenyek, internetes üdvözlőlapok • Scareware • Phishing Scams – Online kuponok, „Sikertelen átutalás”, próbavásárló, wellness és szilveszter, „Hurrá nyaralunk”
A legelterjedtebb támadások f: Kaspersky Lab 0%
Trojan-SMS.AndroidOS.Opfake.bo
0%
Trojan.AndroidOS.Plangton.a
16%
1%
Trojan-SMS.AndroidOS.FakeInst.a
1% 2%
32%
Trojan-SMS.AndroidOS.Opfake.a AdWare.AndroidOS.Hamob.a
4%
Exploit.AndroidOS.Lotoor.g
8%
Trojan-Spy.AndoidOS.Fakeview Exploit.AndroidOS.Lotoor.c 16%
20%
Trojan-SMS.AndroidOS.Agent.a
Exploit.AndroidOS.Lotoor.p Más
Hogyan védekezzünk? • Lock (Password-lock, screen-lock, stb.) • Ne tartsunk bizalmas adatod a készüléken • Csak megbízható forrásból töltsünk le alkalmazást (Oroszország, Távol-Kelet) • Figyeljünk arra, hogy mihez szeretne hozzáférni egy alkalmazás (permission list) • System update! (~ Windows) • Figyeljünk az gyanús jelekre (pl. akku gyorsan merül)
Esettanulmány: Red October • Okostelefonokról adatot gyűjt. • Mobil malware és/vagy fertőzött számítógép – Egy Windows-t fertőző modul (RegConn) is van, ami akkor hat, ha egy eszközt a fertőzött számítógéphez csatlakoztatunk: iTunes, Nokia PC Suite
• iPhone-hoz is, Nokia-hoz is és WinPhone-hoz is van mondulja – iPhone: egy a jailbroken készülékekhez, egy az eredetiekhez!
Esettanulmány: Red October • Információkat gyűjt a telefonról (EMEI, firmware verzió), SMS-ek, Calendar bejegyzések, email-ek, telepített app-ok listája, stb. • Feljegyés a következő kiterjesztésű file-okról: .jpg, .jpeg, .txt, .doc, .docx, .xls, .xlsx, .ppt, .pptx, .dot, .dotx, .odt, .djvu, .odts, .reg, .rtf, .zip, .rar, .pdf, .7z, .wab, .pab, .vcf, .ost, .wav, .mp4, .m4a, .amr, .log, .cer, .em, .msg, .arc, .key, .pgp, .gpg • MCC/MNC kódok: – 129 ország és több, mint 350 szolgáltató
Esettanulmány: Red October • Backdoor-t telepített, ill. a fertőzött Windowsokra egy programot, ami frissíti a backdoor-t • C&C-n keresztül vezérelhető – cydiasoft.com – htc-mobile-update.com – mobile-update.com – playgoogle-market.com – security-mobile.com – world-mobile-congress.com
Esettanulmány: Red October • Amit eddig tudunk: – Több Red October modulról tudunk, amelyek információkat lopnak a mobil eszközökről – A C&C domain-ek alapján elő fognak kerülni Android-os és BlackBerry-s modulok is, bár eddig nem talált ilyet a Kaspersky Lab.
Kérdések?
Ellenőrző kérdések • Ismersz-e olyan malware-t, ami iPhone készülékeket képes támadni (pl. információt gyűjteni) – Red October – FinSpy
• Sorolj fel három védekezési eszközt az okostelefonokon tárolt adatok védelmére! – (Screen)Lock, legális forrásból (tipikusan Google Play) telepíts alkalmazást, rendszeresen frissítsük az OS-t!