Analiza Fortinet – rośnie liczba ataków na urządzenia z Androidem i aktywność rosyjskich hakerów
Specjaliści z FortiGuard Labs firmy Fortinet opublikowali nowy tygodniowy przegląd informacji o cyberzagrożeniach. Analitycy wskazali na dynamiczny wzrost ataków na urządzenia mobilne oraz aktywność cyberprzestępców pochodzących z Rosji.
Uwaga na bezpieczeństwo smartfonów
Rośnie liczba ataków na urządzenia mobilne. Spośród wszystkich wykrytych zagrożeń cybernetycznych 14% dotyczy urządzeń z systemem Android. Może to sprowadzać konsekwencje nie tylko na użytkowników smartfonów czy tabletów. – Jest to również problem dla przedsiębiorstw, ponieważ pracownicy często korzystają z ważnych aplikacji firmowych na osobistych urządzeniach, co sprawia, że wzrasta ryzyko naruszenia bezpieczeństwa – mówi Jolanta Malak, dyrektor Fortinet w Polsce.
Analitycy Fortinet w ostatnim czasie wykryli kilka istotnych kampanii cyberprzestępców związanych z zagrożeniem dla urządzeń mobilnych, w tym z wykorzystaniem trojana o nazwie xHelper. Jest on w stanie nie tylko ponownie zainstalować się na urządzeniach z systemem Android po jego wcześniejszym usunięciu, ale może to zrobić nawet po całkowitym przywróceniu telefonu lub tabletu do ustawień fabrycznych. Po zainfekowaniu urządzenie łączy się z serwerem zarządzającym działaniem szkodliwego kodu (command & control, C&C), z którego pobierane są dodatkowe złośliwe narzędzia, takie jak droppery (służą do pobierania szkodliwych aplikacji, w tym wirusów) czy rootkity, za pomocą których haker może uzyskać np. uprawnienia administratora i dzięki nim włamać się na urządzenie.
Rosyjscy cyberprzestępcy w akcji
Specjaliści Fortinet natrafili ostatnio również na szereg witryn internetowych reklamujących platformy wymiany kryptowalut. Po dalszej analizie okazało się, że były to strony phishingowe, z domenami zarejestrowanymi na rosyjskiej platformie hostingowej. Osoby inwestujące w kryptowaluty powinny więc za każdym razem upewniać się, że korzystają z legalnych platform wymiany danych.
Innym narzędziem, za którym prawdopodobnie stoją cyberprzestępcy z Rosji, jest infostealer pod nazwą Racoon (szop), a więc oprogramowanie służące do kradzieży informacji. Jest on dostępny na czarnym rynku w modelu usługowym jako MaaS (Malware-as-a-Service, czyli złośliwe oprogramowanie jako usługa). Racoon po raz pierwszy został wykryty w kwietniu tego roku, był dostępny wyłącznie w języku rosyjskim i sprzedawany na tamtejszych forach hakerskich. Teraz autorzy tego malware’u rozszerzyli swoją kampanię o fora anglojęzyczne.
Gdy atak się powiedzie, złośliwe oprogramowanie może wykonać jedno lub wszystkie z następujących czynności: robienie zrzutów ekranu, kradzież informacji o systemie i logów, danych przeglądarki, poświadczeń logowania oraz kradzież z portfela kryptowalut. Po pomyślnym zebraniu danych i wysłaniu ich do centrum command & control, Racoon próbuje usunąć ślady swojej obecności na zainfekowanym urządzeniu.
Kiedy cyberprzestępcy oglądają zbyt wiele anime
Zespół FortiGuard natrafił również na całkiem zabawną historię, w której cyberprzestępcy nazwali swoje narzędzia imionami postaci i przedmiotów pochodzących z popularnych japońskich serii anime. Narzędzia te miały takie nazwy jak Sakabota, Hisoka, Gon i Killua, wywodzące się z serii „Rurouni Kenshin” oraz „Hunter x Hunter”.
Przykładowo: Sakabota jest backdoorem, a więc umyślnie pozostawioną luką w zabezpieczeniach. Łączy się on z serwerami command & control poprzez protokół HTTP i był najbardziej aktywny w kampanii sięgającej drugiej połowy 2018 roku. Stwierdzono, że Sakabota umieszcza na zainfekowanych urządzeniach złośliwe oprogramowanie o nazwie Diezen, które komunikuje się z C&C za pomocą niestandardowego protokołu.
Przedstawione narzędzia dają cyberprzestępcy różne możliwości, w tym między innymi kradzież informacji, zbieranie haseł, robienie zrzutów ekranu zainfekowanego urządzenia lub też keylogging, czyli rejestrowanie klawiszy naciskanych przez użytkownika.