Experţii Kaspersky Lab au publicat raportul cu privire la evoluţia ameninţărilor IT în trimestrul al doilea din 2013, care analizează cele mai importante incidente şi tendinţe din securitatea IT, furnizând o analiză de statistică şi telemetrie pentru peisajul ameninţărilor IT din acest trimestru. Potrivit raportului, malware-ul pentru dispozitivele mobile a reprezentat cea mai semnificativă categorie statistică pentru cel de-al doilea trimestru al anului, atât în ceea ce priveşte cantitatea, cât şi complexitatea mostrelor. Infractorii cibernetici se concentrează nu doar pe crearea de malware pentru dispozitivele mobile, ci şi pe dezvoltarea programelor. Pe lângă malware-ul pentru dispozitive mobile, infractorii cibernetici se axează pe implementarea campaniilor pentru furtul de bitcoin, pe măsură ce valoarea monedei virtuale a evoluat rapid pe parcursul celui de-al doilea trimestru.

Statistici malware în trimestrul al doilea din 2013

Informaţiile de mai jos au fost obţinute utilizând serviciul  Kaspersky Security Network (KSN). Toate statisticile au fost colectate cu aprobarea utilizatorilor.

  • Produsul Kaspersky Lab a detectat şi a neutralizat în total 983.051.408 de ameninţări în al doilea trimestru al anului 2013.
  • Atacurile web-based: 577.159.385 de infecţii au fost blocate să pătrundă în computerele utilizatorilor în timpul navigării pe internet.
  • Infecţii pe computer: 400.604.327 de programe malware au fost oprite înainte de a infecta dispozitivele utilizatorilor.
  • Malware pentru dispozitive mobile: 29.695 de noi mostre malware au fost adăugate în sistemul de detectare al Kaspersky Lab în al doilea trimestru al anului 2013.

 

Evoluţia malware-ului pentru dispozitive mobile

Până la 30 iunie 2013, Kaspersky Lab a adăugat în sistem un total de 100.386 de modificări malware pentru mobile, ceea ce reprezintă o creştere semnificativă comparativ cu finalul anului 2012, când au fost înregistrate 46.445 de modificări.

Modificările nu reprezintă detectări individuale ale unor programe maliţioase – ele sunt mostre de cod malware pe care infractorii cibernetici îl folosesc pentru a infecta aplicaţii legitime pentru mobile. De obicei, infractorii cibernetici descarcă unele aplicaţii legitime şi le modifică prin ataşarea unui cod malware. Ulterior, ei redistribuie aplicaţiile modificate – care sunt acum dăunătoare – pe site-urile de unde pot fi descărcate de utilizatori, cum ar fi magazinele online de aplicaţii. Sistemul Kaspersky Lab identifică mostrele de cod malware care este inserat în aplicaţiile modificate cu ajutorul tehnologiilor euristice şi a semnăturilor antivirus din cloud. Detectând mostrele de cod malware, Kaspersky Lab poate identifica aplicaţiile maliţioase înainte ca acestea să fie instalate pe dispozitivele utilizatorului.

Malware-ul pentru dispozitivele mobile, pe categorii comportamentale

Până în prezent, cea mai vastă categorie de malware pentru dispozitivele  mobile a fost cea a troienilor ce trimit SMS-uri către numere cu suprataxă (SMS-Trojan), însă Kaspersky Lab a observat o descreştere a acestei tendinţe în al doilea trimestru al anului, pe măsură ce troienii creaţi pentru dispozitivele mobile au început să îndeplinească mai multe funcţii şi să fie mai flexibili.

În cel de-al doilea trimestru, troienii Backdoor au înregistrat cele mai multe modificări descoperite, cu o cotă de 32,3%, urmaţi de troienii simpli (23,2%) şi de SMS-Trojans (2,7%).

În ceea ce priveşte abilităţile malware-ului pentru dispozitivele mobile, infractorii cibernetici aplică tehnici de camuflare pentru a evita detectarea, în timp ce compilează frecvent programe care transportă mai multe sarcini utile şi care pot genera bani folosind mai multe tipuri de modele de afaceri ilegale.

Noile tipuri de malware pot sustrage cantităţi mai mari de informaţii de pe dispozitivele utilizatorilor, descărcând şi instalând, în acelaşi timp, alte tipuri de malware. Programele malware pentru Android au evoluat cel mai mult comparativ cu cele pentru alte platforme şi încep să devină echivalentul mobil al malware-ului pentru PC-urile Windows.

Ransomware pentru Android

În iunie au apărut primele semnale ale unui Ransomware pentru Android – „Free Calls Update” – o aplicaţie gratuită ce putea fi descărcată de pe magazinele online de aplicaţii. Ransomware este un tip de software creat să fure bani de la victime, blocându-le accesul la dispozitiv sau la computer până când utilizatorul infectat plăteşte o taxă specială. Însă, această taxă este una frauduloasă şi, chiar şi după plata ei, computerul victimei nu este întotdeauna deblocat. Astfel, după ce Free Calls Update era instalat pe dispozitiv, aplicaţia se activa, încercând să devină administratorul sistemului pentru a schimba setările Wi-Fi şi celulare ale dispozitivului. Aplicaţia pretinde că scanează telefonul pentru malware şi afişează o notificare falsă care informează utilizatorul că dispozitivul lui este infectat cu un virus. Apoi, avertizează victima să cumpere o licenţă falsă pentru un kit de software antivirus pentru a înlătura infecţia. Notificarea continua să fie afişată pe dispozitiv, blocând accesul la telefon.

Ransomware şi notificările antivirus false au reprezentat în trecut o tehnică foarte des utilizată de fişierele malware pentru PC-uri, iar infractorii cibernetici încă folosesc frecvent aceste metode, atât tehnice, cât şi psihologice, în încercarea de a înşela segmentul de piaţă mai puţin matur al pieţei de dispozitive mobile.

Bitcoin alimentează economia subterană

Cea mai remarcabilă tendinţă în curs de dezvoltare, remarcată în al doilea trimestru al anului, a fost atenţia tot mai mare pe care infractorii cibernetici o acordă creării de malware cu scopul de a acumula monede bitcoin. Bitcoin este o monedă digitală creată pe infrastructură peer-to-peer (P2P), pentru tranzacţii financiare anonime şi descentralizate. Tranzacţiile sunt efectuate pe servere proprii, numite minerii Bitcoin, care sunt folosite pentru a contribui la schimbul şi prelucrarea monedelor Bitcoin. Această infrastructură se bazează pe o reţea de computere conectate, care servesc ca resurse ce permit mineriilor Bitcoin să funcţioneze. Banii virtuali pot fi convertiţi ulterior în alte monede sau pot fi folosiţi pentru a plăti pentru bunuri şi servicii în magazinele online (moneda digitală bitcoin este reprezentată de litera minusculă “b”, iar infrastructura Bitcoin este reprezentată de litera majusculă “B”).

Valoarea monedelor bitcoin a crescut semnificativ pe parcursul ultimului an. Cu toate că iniţial valora mai puţin de 1 cent american, valoarea monedei a crescut pana la 130 de dolari. Deşi cursul de schimb este foarte volatil, moneda începe să devină tot mai stabilă. Popularitatea, caracterul anonim şi valoarea tot mai mare a monedelor i-au atras infractorii cibernetici să le „vâneze” tot mai agresiv. În plus, monedele bitcoin reprezintă valuta preferată a infractorilor cibernetici atunci când fac afaceri, pentru că le asigură anonimatul, siguranţa tranzacţiilor şi o lipsă a procedurilor legale, făcându-i mai dificil de identificat.

În luna aprilie, echipa de cercetători Kaspersky Lab a descoperit o campanie prin care infractorii cibernetici foloseau Skype pentru a distribui fişiere malware care să colecteze sume de bani bitcoin. Aceştia foloseau iniţial tehnici de inginerie socială pentru a infecta computerele victimelor, apoi instalau programe malware pe dispozitivele infectate pentru a le transforma computerele în colectoare de bani virtuali. Sumele adunate de computerele infectate erau trimise apoi în conturile infractorilor cibernetici.

O lună mai târziu, experţii în securitate Kaspersky Lab au identificat o altă campanie malware vizând Bitcoin, care era, de fapt, un atac de phishing brazilian. În mod asemănător cu atacul în care infractorii cibernetici foloseau Skype pentru infectarea computerelor, infractorii s-au bazat pe ingineria socială pentru a-şi infecta victimele. Însă, în această situaţie, infractorii foloseau e-mailuri de phishing pentru a redirecţiona utilizatorii către o versiune falsă a unuia dintre cele mai cunoscte site-uri de tranzacţii Bitcoin – MtGox. MtGox administrează numeroase tranzacţii autorizate, astfel că scopul acestei campanii a fost acela de a înşela utilizatorii să furnizeze datele de înregistrare, care le ofereau apoi atacatorilor şansa de a sustrage monede bitcoin direct din conturi.

Versiunea completă a raportului despre evoluţia ameninţărilor IT în trimestrul al II-lea din 2013 este disponibilă pe: securelist.com