Мобільні загрози та методи боротьби з ними

У статті наводяться опис і приклади поширених мобільних загроз, наявні на ринку засоби захисту, а також ефективні особисті тактики для зниження ризиків компрометації мобільних пристроїв.

Автор: Михайлова Ганна, Angara Technologies Group.

Анотація

За останні десятиліття функціональні можливості мобільних пристроїв значно зросли: в роботі з корпоративними та особистими документами мобільні пристрої вже не відстають від можливостей персонального комп’ютера (ПК). Компактність і зручність гаджетів призвела до того, що сучасна людина практично не розлучається зі своїми мобільними пристроями, які перетворилися в незамінного помічника і джерело унікальної особистої інформації. Ці фактори закономірно призвели до зростання кількості мобільного шкідливого ПЗ (далі – «ВПО»), ускладнення векторів атак і каналів витоку інформації.

У статті наводяться опис і приклади поширених мобільних загроз, наявні на ринку засоби захисту, а також ефективні особисті тактики для зниження ризиків компрометації мобільних пристроїв.

Огляд мобільних загроз

Ринок вірусів для мобільних пристроїв виріс і ускладнився. Мобільним пристроям погрожують вже не тільки відносно нешкідливі трояни-клікери, але й повноцінні віруси і шпигунські програми. Більшість вірусних дослідницьких компаній виділяють наступні види загроз:

  • Adware і клікери. Іноді для даного виду загроз використовується термін «Madware» (Mobile Adware). Основна мета цього класу ВПО – показ користувачеві нерелевантної реклами та генерування штучних переходів на сайти рекламодавців. З допомогою «Madware» зловмисники заробляють «кліки» і демонструють оплачують їх компаніям ілюзію інтересу користувачів.

  • Spyware – ЗА, здійснює крадіжку персональних даних або стеження за своїм носієм. Фактично, бездротовий пристрій може перетворитися на повноцінний «жучок», передаючи зловмисникам дані про мережевої активності, геолокаціі, історії переміщень, а також фото-та відеоінформацію, дані про покупки, кредитних картах і ін

  • Дроппер – ВПО, метою якого є скачування іншого шкідливого ПО.

  • Вірус – яке завдає явний шкоду, наприклад, виводить з ладу конкретний додаток або одну з функцій пристрою.

  • Бот – агент бот-мереж, ВПО, яке по команді C&C-сервера здійснює необхідну зловмиснику мережеву активність.

Мобільні пристрої також схильні і традиційним атак (наприклад, DNS Hijacking, E-mail Phishing), так як використовують ті ж базові власні сервіси, що і персональні ПК.

Вірусні епідемії на мобільних пристроях зачіпають від кількох сотень до мільйонів пристроїв. Статистика дослідників компанії Positive Technologies зрівнює ризики ОС ОС Android і iOS, незважаючи на сувору політику Apple в частині забезпечення інформаційної безпеки (https://www.ptsecurity.com/ww-en/analytics/mobile-application-security-threats-and-vulnerabilities-2019/).

Розглянемо приклади найбільш відомого мобільного ВПО: «Агент Сміт», Culprit, SockPuppet або Unc0ver, Ztorg, Monokle.

Запідозрити зараження «Агентом Смітом» можна за помітного збільшення показу нерелевантної реклами. Поки це єдине зафіксоване шкідливе дію цього ВПО, хоча, технічно, вона має величезний шкідливий потенціал. Масштаб зараження Агентом Смітом – 25 млн. пристроїв, переважно в Азії. Поведінка ВПО частково нагадує роботу таких вірусів, як Gooligan, Hummingbad, CopyCat. «Агент Сміт» діє наступним чином:

  1. Користувач викачує дроппер у складі зараженої програми (безкоштовної гри або програми з віковим цензом).

  2. Дроппер перевіряє наявність на мобільному пристрої популярних додатків, таких як WhatsApp, MXplayer, ShareIt.

  3. Дроппер викачує і розпаковує архів, який перетворюється в APK-файл, при необхідності, оновлює і замінює легітимне популярний додаток на заражений варіант.

Culprit – ВПО під ОС Android, являє собою вбудований в відеофайл код, що експлуатує уразливість CVE-2019-2107 в ОС Android 7.0 до 9.0 (Nougat, Oreo, Pie). Досить відкрити відеофайл, отриманий у шахрайський MMS або повідомленні з месенджера, і ВПО отримує повні права в системі.

SockPuppet або Unc0ver – ВПО, що дозволяє зловмиснику отримати права суперкористувача для систем iOS і MacOS (Jailbreak). ВПО скачується в складі зараженого додатка, яке певний проміжок часу було доступно навіть в офіційному магазині Apple. ВПО регулярно оновлюється і експлуатує уразливість CVE-2019-8605, яка успадковується новими версіями iOS. У версіях iOS 12.2 та 12.3 вразливість була закрита, після чого знову з’явилася у версії 12.4 і була пропатчена до версії 12.4.1.

Старий троян Ztorg під ОС Android після установки збирає відомості про систему і пристрої, відправляє їх на командний сервер, звідки приходять файли, що дозволяють отримати на пристрої права суперкористувача (Jailbreak). ВПО поширюється через заражені програми і рекламні банери.

Monokle під ОС Android і iOS – троян, що дозволяє вести повноцінний шпигунство за жертвою: записувати натиснення клавіш, фотографії та відео, отримувати історію інтернет-переміщень, додатків соціальних мереж і месенджерів, аж до запису екрану у момент введення пароля. Троян забезпечений поряд експлойтів для реалізації необхідних прав в системі, поширюється, імовірно, з допомогою фішингу та заражених програм. Перші версії ВПО з’явилися під ОС Android, але вже з’явилися версії для пристроїв Apple.

Джерела загроз

На основі аналізу наведених прикладів мобільного ВПО, а також каналів проникнення інших зразків ВПО можна виділити наступні основні шляхи компрометації пристрої:

  • Установка пакету програм АПК з неофіційних маркетів.

  • Установка зараженої програми з офіційного магазину. В даному випадку, після виявлення зараженого додатки службою безпеки магазину, воно буде оперативно видалено, а встановлене користувачами додаток буде оновлено на безпечну версію.

  • Фішинг і соціальна інженерія – SMS, MMS з привабливими для жертви шкідливим контентом або посиланням. Або дзвінок від помилкового «оператора зв’язку» або «службовця банку» з вимогою передати облікові дані. Відомі кілька гучних випадків добровільної установки користувачами програми віддаленого управління TeamViewer, нібито, на прохання служби безпеки банку. Після установки програми користувачі передавали зловмисникам облікові дані для віддаленого управління, що рівнозначно передачі розблокованого телефону в чужі руки.

Концепція Bring Your Own Device, BYOD (використання для роботи з корпоративними документами особового пристрою) привносить в корпоративний сегмент цілий клас загроз – мобільний пристрій співробітника стає точкою входу у внутрішню мережу підприємства і джерелом витоків інформації.

Основні методи захисту від мобільних загроз

За версією NIST (NIST SPECIAL PUBLICATION 1800-4 Mobile Security Device, and Cloud Hybrid Builds) для зниження ризику зараження мобільного пристрою і витоку конфіденційної інформації необхідно реалізувати наступні методи захисту:

  • Шифрування даних на пристрої. Шифрувати можна окремі папки (якщо дозволяє система), дані додатків або весь пристрій цілком. За можливості, необхідно використовувати апаратні плати шифрування і зберігання ключової інформації.

  • Захист мережного трафіку: шифрування каналу передачі даних, використання зовнішніх фільтруючих рішень для очищення трафіку. Використання корпоративного шлюзу, скануючого web і email-трафік, або використання хмарних рішень очищення трафіку від ВПО.

  • Обнулення даних на скомпрометованому пристрої (wipe). Знищення всіх даних або даних окремого корпоративного програми при втраті або крадіжці мобільного пристрою. Обнулення може бути реалізовано за віддаленої команді або після декількох невдалих спроб аутентифікації.

  • Реалізація «пісочниці»: використання програми з ізольованим контейнером для зберігання даних, яке, як правило, виконує шифрування даних, контроль їх цілісності, ізоляцію даних програми в оперативній пам’яті, заборона копіювання даних (аж до заборони на зняття скріншотів), віддалене знищення даних.

  • Контроль встановлених додатків, аж до складання «білого» списку дозволених програм, контроль їх цілісності. Контроль цілісності додатків при запуску пристрою.

  • Використання двофакторної аутентифікації: бажано використовувати додаткові засоби аутентифікації, зокрема, сканування відбитку пальця. Необхідно мати на увазі, що деякі біометричні способи аутентифікації поки не дуже надійні, наприклад, розпізнавання осіб. Аутентифікація шляхом вводу коду з СМС в сучасних умовах багатьма експертами також визнається недостатньо ненадійною.

  • Вчасна регулярна установка оновлень ОС, програм, драйверів. При цьому важливо використовувати офіційні джерела.

  • Антивірусний захист: регулярне сканування системи, файлів, додатків. Сканування додатків перед їх установкою.

Класи рішень для захисту мобільних пристроїв

EMM=MDM+MAM+MCM+EFS

На ринку представлені наступні класи рішень для захисту мобільних:

  • Антивірусні рішення. Найбільш популярні серед них: Symantec, Trend Micro Mobile Security, BitDefender, ESET NOD32 Mobile Security, Kaspersky Mobile Security & Antivirus, Dr.Web Anti-virus, AVG Antivirus, Avira Antivirus Security, Norton Security & Antivirus, McAfee Security & Antivirus.

  • Mobile Threat Management, MTM (джерело терміна – IDC) – агент, що виконує, крім антивірусного захисту, фільтрацію корпоративного поштового трафіку і трафіку месенджерів від шкідливих URL і документів, інтеграцію з корпоративним хмарою для фільтрації трафіку і моніторингу подій. Можливо додаткове шифрування контейнера даних програми. На рис. 1 представлений квадрат рішень MTM від IDC за 2019 рік.

Рис. 1. Квадрат рішень MTM 2019, IDC

  • Mobile Device Management, MDM – засоби управління корпоративними мобільними пристроями або користувацькими пристроями в концепції BYOD. Включає наступні функції: управління конфігураціями прошивок і додатків, ініціалізація і деініціалізація додатків, віддалене очищення даних, налаштування проксі серверів трафіку через корпоративний шлюз або хмарне рішення фільтрації трафіку, віддалений моніторинг і підтримка.

  • Enterprise Mobility Management, EMM – нове покоління засобів захисту мобільних пристроїв, що виросло з MDM-рішень і згодом влившееся в концепцію Unified Security Management (UEM). EMM, додатково до рішень MDM, включає в себе вирішення MAM (Mobile Application Management), Mobile Content/Email Management (MCM/MEM), Encrypting File System (EFS), централізоване управління і моніторинг, налаштування окремих програм, зокрема, контроль за установкою додатків з репозиторію, видалення програм, шифрування даних, аудит, перевірку на відповідність політикам.

  • UEM-консолі – загальні консолі управління мобільними пристроями і ОС користувачів. По суті, сучасні виробники засобів захисту мобільних пристроїв пропонують рішення, що поєднують набір технологій: MDM, MAM, UEM, MCM/MEM, управління конфігурацією і політиками.

Квадрат Gartner по UEM-рішень за 2019 рік представлений на Рис. 2.

Рис. 2. Квадрат Gartner по UEM рішень за 2019 рік

Основні висновки

Слідом за розвитком мобільних технологій, зростає кількість і різноманітність ВПО, націленого на мобільні пристрої.

Общеприменимыми рекомендаціями по безпечному використанню як особисті, так і корпоративних мобільних пристроїв є:

  • Використання тільки довірених офіційних прошивок і додатків.

  • Особиста мобільна гігієна у використанні пристроїв: не встановлюйте невідомі програми з ненадійних джерел, не давайте додатками надлишкові дозволу (наприклад, з додатком «Ліхтарик» не потрібен доступ до фотографій).

  • Дотримання фізичної і логічної безпеки пристрої: не давайте пристрій в руки незнайомим особам і неофіційними експертам, не надавайте віддалений доступ до пристрою недоверенному джерела, наприклад, неперевіреного співробітникові банку по телефону.

  • Періодичний моніторинг системних параметрів: витрати батареї, мережевої активності. Якщо додаток створює неадекватний витрата ресурсів – це є приводом для перевірки або навіть видалення програми, так як воно, можливо, створює шкідливу активність.

  • Відключення функції платного контенту оператора зв’язку захистить від нелегітимних зняття коштів з мобільного рахунку.

  • У разі виникнення проблем з додатком – відправка звітів виробнику засобами програми або через офіційний магазин – так ви допоможете розробникам вчасно виявити і нейтралізувати можливі зараження.

Для зниження ризику зараження шкідливим ПЗ, забезпечення захисту від витоків конфіденційних даних і мінімізації збитків у разі втрати фізичного контролю над пристроєм рекомендується також використовувати спеціалізовані засоби захисту – антивіруси, рішення класу MTM, а також корпоративні рішення класів UEM, MDM, EMM.

Джерело

Поділитися
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
Реклама

148

Залишити відповідь

Ваша e-mail адреса не оприлюднюватиметься. Обов’язкові поля позначені *

Схожі записи

Почніть набирати текст зверху та натисніть "Enter" для пошуку. Натисніть ESC для відміни.

Повернутись вверх