Ile zarabiasz dziennie? Jeżeli przyjrzymy się dziennym zarobkom brazylijskiego cyberprzestępcy, zrozumiemy, dlaczego Brazylia jest jednym z głównych źródeł szkodliwego oprogramowania na świecie.

Brazylijscy cyberprzestępcy naprawdę lubią wykorzystywać krótkie adresy URL w celu śledzenia infekcji i prowadzenia własnych statystyk. Poniżej profil jednego przestępcy wykorzystującego serwis skracania adresów URL Bitly.

Jak widać, w ciągu tylko jednego dnia, przestępca uzyskał ponad 33 000 kliknięć lub potencjalnych infekcji! Przyjmijmy, że zainfekowanych zostaje zaledwie 10% wszystkich zaatakowanych maszyn. To oznacza około 3300 osób. W Brazylii szkodliwe oprogramowanie jest zwykle rozprzestrzeniane w celu kradzieży wyłącznie danych dotyczących kart kredytowych oraz kont bankowości online – tak też było w przypadku tej kampanii. Informacje dot. kont w innych zasobach internetowych, takich jak Facebook, IM, email, nie zostały skradzione.

A zatem ile zarobił cyberprzestępca w tym konkretnym dniu? Policzmy: cena jednostkowa skradzionych kart kredytowych wynosi na czarnym rynku około 8 dolarów. Załóżmy, że średnie oszczędności na koncie bankowym wynoszą około 500 dolarów. Brazylijscy cyberprzestępcy nie sprzedają dostępu do skradzionych kont bankowych, sami wykorzystują takie konta, całkowicie wyczyszczając je z pieniędzy. Wykonując proste działanie matematyczne 3305*8 + 3305*500 otrzymujemy dzienną kwotę zarobków w wysokości 1678940 dolarów! Naturalnie minie trochę czasu, zanim przestępca położy ręce na tych pieniądzach, jednak wysokość kwoty stanowi wystarczającą motywację do wysiłku.

Oczywiście, w rzeczywistości współczynnik infekcji byłby wyższy niż 10%. W większości przypadków może wynosić od 50 do 60%.

Brak odpowiedniego prawodawstwa w wielu państwach, takich jak Brazylia, pozwala kraść ogromne sumy pieniężne przy niewielkim ryzyku trafienia za kratki.

Po tym, jak główna baza danych Zappos padła ofiarą włamania, jego kierownictwo postąpiło w jedyny słuszny sposób: szybko i wyraźnie poinformowało, do których danych uzyskano dostęp, a do których nie – żadnych niewyjaśnionych opóźnień czy dezinformacji w związku z incydentem. Jest to sytuacja w stylu „Aurory”, gdy Google dość nieoczekiwanie poinformował o ataku, którego padł ofiarą, podczas gdy pozostałe ponad 30 firm, które również ucierpiały na skutek tego ataku, zasłaniały się umową o poufności, chowając głowę w piasek. Zappos zresetował 24 miliony haseł swoich klientów i poinformował ich o problemie mailem.

Ponadto, Zappos wysłał wszystkim 24 milionom użytkowników zwięzłego e-maila z wyjaśnieniem: „Pragniemy poinformować, że mogło dojść do uzyskania nielegalnego i nieautoryzowanego dostępu do pewnych informacji dotyczących twojego konta klienckiego w serwisie Zappos.com, obejmujących niektóre z następujących danych: twoje nazwisko, adres e-mail, adres do przesłania faktury i wysyłki, numer telefonu, ostatnie cztery cyfry numeru karty kredytowej oraz/lub kryptograficznie przetworzone hasła (cryptographically scrambled passwords)” jednak „incydent ten nie miał wpływu na bezpieczeństwo bazy danych, w której przechowywane są krytyczne dane dotyczące kart kredytowych oraz inne dane umożliwiające dokonywanie płatności naszych klientów”. Wszystkie te informacje, jak już mówiono wcześniej, powinny znaleźć się w standardowym, niezwłocznym powiadomieniu. Cała sprawa zwraca jednak uwagę na kilka interesujących kwestii.

1. Zappos powinien stosować mocniejsze polityki dotyczące haseł
2. Zappos powinien podać szczegóły odnośnie włamania, napisać, co znajdowało się w bazie danych i co miał na myśli pisząc o kryptograficznie przetworzonych hasłach.

Każdy ma własną opinię na temat polityki dotyczącej haseł. Osobiście jestem fanem długich haseł, jestem za OpenID dla kont, które nie są poufne, oraz stosowaniem różnych poziomów poufności w zależności od typu konta, jak również fanem password vault (repozytorium haseł), które pomaga zarządzać zwiększającą się liczbą kont i haseł.

Czy operatorzy stron internetowych nauczyli się czegoś z wcześniejszych incydentów? Zważywszy że Zappos jest stroną handlu detalicznego pozwalającą na transakcje finansowe, wszelkie dane umożliwiające uwierzytelnienie użytkowników są poufne. Zappos najprawdopodobniej przechowywał w zhakowanej bazie danych kryptograficzny hash haseł swoich klientów wraz z unikatową dla użytkownika wartością salt. Musi jednak wyjaśnić, czy to właśnie kryje się pod użytym wyrażeniem „cyptographically scrambled”. „Scrambled” nie jest powszechnie stosowanym terminem w żargonie ekspertów bezpieczeństwa i prawdopodobnie został ukuty przez speca od marketingu. Czy to znaczy, że stosowane są md5 z użyciem salt dla wartości haseł? Takie incydenty miały miejsce w 2011 r., często ich motywem był tzw. "lulz", dlatego większość operatorów stron powinno przygotować się na najgorsze. Poza tym, Zappos nie pozwala użytkownikom używać żadnego z ostatnich sześciu haseł. Czy firma ta naprawdę musi przechowywać sześć wcześniejszych haseł swoich użytkowników. Czy wszystkie te hasła zostały również skradzione? W mailu nie ma o tym żadnej wzmianki.

Gdy zespół Zappos kazał swoim użytkownikom zresetować swoje hasła, zalecił im stworzyć hasła składające się z co najmniej 8 znaków, w tym z 1 wielkiej oraz małej litery oraz 1 liczby lub jednego znaku specjalnego. Tak więc hasło użytkownika mogło mieć postać "Zappos12" – i tu leży większy problem. W przypadku “tablic tęczowych”, które krążą w ramach zarówno komercyjnych produktów, jak i projektów open source, dyskutowanych od lat podczas największych konferencji bezpieczeństwa, tak słabe hasła mogłyby szybko zostać złamane offline. Nie wystarczy już powiedzieć „użyj zestawu 8 wartości” i uważać sprawę za zakończoną. W prezentacjach podczas konferencji Defcon 19 w zeszłym roku przedstawiono ekonomię i możliwości współczesnego łamania zabezpieczeń, szczególnie w erze GPU. Potężny, tani jak barszcz sprzęt GPGPU oraz współczesne rozwiązania oparte na technologiach chmury pozwalają w bardzo krótkim czasie złamać niewiarygodne poziomy nieprzewidywalności i unikatowości haseł. Osiem znaków to żadna przeszkoda.

Podsumowując, nie tylko potrzebujemy mocniejszych i bardziej praktycznych polityk dotyczących haseł niż te, które stosowane są obecnie przez operatorów największych stron internetowych, ale również musimy zastanowić się nad zawodnymi systemami uwierzytelniania, które pilnie wymagają udoskonalenia, łącznie z powszechnym stosowaniem prostego hasła tekstowego.

Życie rozpieszcza brazylijskich hakerów: brak odpowiednich przepisów prawnych dotyczących cyberprzestępczości sprawia, że czują się oni na tyle bezkarni, aby publicznie chwalić się swoimi kradzieżami i zyskami z przestępczości. Niektóre z takich faktów przedstawiliśmy w prezentacji podczas ostatniej konferencji Virus Bulletin Conference. Ponadto w serwisie YouTube łatwo można znaleźć filmiki brazylijskich bankierów i carderów, którzy chwalą się nielegalnie zarobionymi pieniędzmi i śmieją się swoim ofiarom prosto w twarz (jeden z wielu przykładów można znaleźć tutaj). Profile takich osób nierzadko znajdziemy na portalach społecznościowych, takich jak Twitter, Tumblr itd. Wszystko rozgrywa się zupełnie jawnie bez obaw o konsekwencje prawne.

Aby pomóc nowym “przedsiębiorcom” oraz tym, którzy chcą wkroczyć na drogę cyberprzestępczości, niektórzy brazylijscy cyberprzestępcy zaczęli oferować płatne kursy. Inni poszli jeszcze dalej i stworzyli szkołę cyberprzestępczości pozwalającą zdobyć niezbędne umiejętności każdemu, kto jest zainteresowany życiem przestępcy komputerowego, ale nie posiada technicznego know-how. Na stronie oferującej takie kursy i promującej „szkołę” można wybrać na przykład kurs „How to be a Banker”, „Kit Spammer” lub „How to be a Defacer”.

Każdy kurs stanowi dobrze zaprojektowany pakiet ze szczegółowym planem zajęć. Kurs “How to become a Banker 101” ma następujący opis:

„Kurs ten jest przeznaczony dla każdego, kto dokonuje transakcji online. Dowiesz się z niego, w jaki sposób crackerzy przejmują kontrolę nad komputerami korporacyjnymi i domowymi, czym jest socjotechnika, jak wykorzystywać źródła (trojanów), jak manipulować wtyczkami bezpieczeństwa zainstalowanymi w takich przeglądarkach jak IE, Firefox, Chrome, Avant, Opera oraz w oprogramowaniu antywirusowym i zaporze sieciowej. Jak spamowanie pomaga złowić nowe ofiary, co robią “loadery” i w jaki sposób wykorzystują je crackerzy. Poznasz slang crackerów i bankerów oraz takie pojęcia jak “loader”, “info”, “cc”, “admin”, “laras (muły pieniężne)”, “Desco, Ita, Uni, Sta, CEF, BB, City (popularne nazwy brazylijskich banków) i znacznie więcej. Dowiesz się, jak crackerzy klonują karty kredytowe, książeczki czekowe, dowody tożsamości, prawa jazdy, świadectwa urodzenia oraz inne dokumenty. Poznasz tajniki prowadzenia serwisów handlu elektronicznego przez crackerów, na których przechowywane są numery kart kredytowych, oraz dowiesz się, co robią z takimi danymi. Zapoznasz się z prawem brazylijskim i dowiesz się, jaka grozi ci kara w przypadku złapania, jakie jest ryzyko i jak można uniknąć wpadki. To wszystko i jeszcze więcej można znaleźć w naszym kursie”.

Cyberprzestępcy oferują również kurs dla spamerów, na którym można nauczyć się wszystkich technik pozwalających skutecznie wysyłać wiadomości spamowe.

Dołączony jest również prezent: lista zawierająca 60 milionów adresów e-mail umożliwiająca natychmiastowe rozpoczęcie spamowania:

„Uaktualniony KIT SPAM: W świecie wirtualnym panuje dzisiaj coraz większa konkurencja, przez co nowym użytkownikom trudno jest konkurować z zaawansowanymi rywalami na coraz większym rynku. Dlatego właśnie stworzyliśmy KIT SPAM, w którym zamieściliśmy ponad 60 milionów adresów e-mail podzielonych na oddzielne kategorie: profesjonaliści, osoby fizyczne i firmy, dyrektorzy, biznesmeni, politycy. Pakiet ten zawiera nadawców, metody socjotechniczne zapewniające efektywne rozprzestrzenienie niechcianych wiadomości oraz ekstraktor e-maili i kodów źródłowych w Delphi. Wszystko, co trzeba zrobić, to stworzyć i wysłać masowe wiadomości e-mail. Koszt – około 75 dolarów amerykańskich”.

Wszystkie te kursy można zakupić on-line, a chętni mogą uczestniczyć w nich nawet osobiście. Na stronie WWW został opublikowany adres „szkoły”:

W pierwszej połowie 2011 roku brazylijskie instytucje finansowe odnotowały straty w wysokości około 380 milionów dolarów amerykańskich z tytułu wypłaty rekompensat klientom bankowości internetowej, którzy stracili pieniądze. Uważam, że najwyższy czas, aby brazylijscy politycy przyjęli ustawę krajową o zwalczaniu lokalnej cyberprzestępczości, która pozwoli policji zaostrzyć walkę z cyberprzestępczością. W sytuacji, gdy przestępcy komputerowi otwarcie chwalą się nielegalnie zdobytymi zyskami, potrzebna jest bardziej radykalna i aktywna kampania mająca na celu powstrzymanie cyberprzestępczości.

Niedawno zidentyfikowaliśmy bardzo interesującego szkodnika dla Androida. Warto o nim wspomnieć, mimo że nadal nie wiadomo, w jaki sposób rozprzestrzenia się. Po zainstalowaniu się na urządzeniu szkodliwa aplikacja „udaje” grę pod nazwą ‘MADDEN NFL 12’.

Rozmiar pliku wynosi ponad 5 MB i w rzeczywistości jest to trojan instalujący w systemie zestaw komponentów szkodliwego oprogramowania: exploita roota, trojana SMS oraz bota IRC. Funkcjonalność droppera zawiera plik .class o nazwie "AndroidBotAcitivity". Tworzy on katalog ‘/data/data/com.android.bot/files’ i nadaje mu uprawnienia “777” (odczyt/zapis/uruchamianie dla wszystkich użytkowników). Następnie wypakowuje do tego katalogu trzy pliki - ‘header01.png’ (exploit root), ‘footer01.png’ (bot IRC), ‘border01.png’ (trojan SMS). Później nadaje uprawnienia 777 plikowi exploita roota i wykonuje go. Na koniec wyświetla na ekranie tekst ‘(0x14) Error - Not registred application’.

Jeżeli exploit zostanie pomyślnie wykonany, a urządzenie zrootowane, uruchomi bota IRC ‘footer01.png’.

Najpierw bot IRC próbuje usunąć ‘etc/sent’ przy pomocy polecenia ‘rm’:

Następnie ustanawia uprawnienia root dla użytkownika lub grupy użytkowników dotyczące pliku ‘border01.png’ przy użyciu polecenia ‘chown’ oraz nadaje uprawnienia ‘644’ dla pliku ‘border01.png’:

W dalszej kolejności bot IRC instaluje ‘border01.png’ (trojan SMS) przy użyciu ‘pm install’ i uruchamia go przy pomocy ‘am start’:

Omawiany trojan SMS jest modyfikacją trojana SMS Foncy (nie tak dawno temu pisaliśmy o tej rodzinie). Trojan ten nie został znacznie zmodyfikowany. W celu ustalenia kraju, z której pochodzi karta SIM, wykorzystuje metodę getSimCountryIso jak również wcześniejsze wersje. Poniżej lista państw z odpowiednimi numerami o podwyższonej opłacie:

• Francja (81083)
• Belgia (3075)
• Szwajcaria (543)
• Luksemburg (64747)
• Kanada (60999)
• Niemcy (63000)
• Hiszpania (35024)
• Wielka Brytania (60999)
• Maroko (2052)
• Sierra Leone (7604)
• Rumunia (1339)
• Norwegia (2227)
• Szwecja (72225)
• Stany Zjednoczone (23333)

Podobnie jak w poprzedniej wersji, Foncy próbuje blokować wszystkie wiadomości przychodzące z wymienionych wyżej numerów o podwyższonej opłacie przy użyciu metody abortBroadcast. Jednak między opisywaną a poprzednimi wersjami Foncy istnieje jedna mała różnica. Nowsza modyfikacja przesyła wszystkie wiadomości przychodzące z numeru o podwyższonej opłacie na zdalny serwer zamiast wysyłać wiadomość SMS na numer telefonu komórkowego w następującym formacie:

http://46.166.*.*/?={numer}///{treść_wiadomości}

Po uruchomieniu trojana SMS bot IRC próbuje połączyć się z serwerem IRC 199.68.*.* (w momencie prowadzenia badania serwer ten był niedostępny) na kanale ‘#andros’ z losową nazwą. W efekcie, szkodnik może otrzymywać dowolne polecenia powłoki z tego serwera i wykonać je na zainfekowanym urządzeniu.

Jak dotąd jest to pierwszy znany nam bot IRC dla Androida. Bardziej interesujące jest to, że znajduje się w zestawie z exploitem roota oraz trojanem SMS. Elementy te sprawnie współpracują ze sobą, a cyberprzestępca posiada pełny dostęp do zainfekowanego smartfonu i może zrobić wszystko, co chce.

PS Wszystkie szkodliwe pliki wykrywamy jako Trojan-Dropper.AndroidOS.Foncy.a, Exploit.Linux.Lotoor.ac, Backdoor.Linux.Foncy.a and Trojan-SMS.AndroidOS.Foncy.a.

Pojawił się nowy atak phishingowy na Facebooka. Jego celem jest kradzież nie tylko danych uwierzytelniających konto na tym portalu, ale również innych ważnych informacji, takich jak pytania bezpieczeństwa.

Atak ten jest dość interesujący, ponieważ nie ogranicza się jedynie do nakłonienia ofiary do odwiedzenia strony phishingowej. Stojące za nią osoby wykorzystują skradzione informacje oraz login do konta i podmieniają zdjęcie na profilu oraz nazwę użytkownika. Zdjęcie zostaje zmienione na logo Facebooka, a nazwa użytkownika na “Facebook Security”. Dodatkowo, nazwa zawiera specjalne znaki ASCII w miejsce takich liter jak: “a” “k” “S” oraz “t”.

Ponadto ze zhakowanego konta zostanie wysłana wiadomość do wszystkich kontaktów właściciela. Wiadomość ta wygląda następująco:

"Last Warning: Your Facebook account will be turned off Because someone has reported you. Please do re-confirm your account security by: => http://apps-xxxx-xxxxx-user.de.vu Thank you. The Facebook Team"/

[tłumaczenie] „Ostatnie ostrzeżenie: Twoje konto na Facebooku zostanie zamknięte, ponieważ ktoś złożył na ciebie doniesienie. Prosimy o powtórne potwierdzenie danych zabezpieczających twoje konto na http://apps-xxxx-xxxxx-user.de.vu Dziękujemy. Zespół Facebooka”

Klikając podany odsyłacz, użytkownik zostaje przekierowany na stronę internetową, która przypomina stronę Facebooka i prosi o podanie informacji osobistych, takich jak nazwisko, adres e-mail, hasło, system Webmail, hasło do konta e-mail itd. Po wysłaniu takich danych trafiają one w ręce osoby atakującej, która może automatycznie zalogować się do konta na Facebooku i dokonać tam zmian.

Po wysłaniu powyższych informacji pojawia się kolejna strona, na której użytkownik dowiaduje się, że musi potwierdzić swoją tożsamość w celach płatniczych, i jest proszony o podanie numeru swojej karty kredytowej.

Ostatnia strona phishingowa służy do potwierdzenia informacji dotyczących karty kredytowej, łącznie z kodem weryfikacyjnym CSC/CVV.

Tego rodzaju próby wyłudzeń stają się coraz popularniejsze, dlatego uczulamy użytkowników, aby nie podawali swoich informacji osobistych za pośrednictwem portali społecznościowych, zwłaszcza adresu e-mail, hasła oraz danych dotyczących karty kredytowej. W przypadku trafienia na takie strony zalecamy skontaktowanie się z producentem ochrony oraz administratorem portalu społecznościowego.

Siedziałem sobie w domu, pracując nad zhakowanym serwerem pod Linuksem, gdy usłyszałem dzwonek telefonu. Ktoś dzwonił do mnie i odkładał słuchawkę mniej więcej o stałej porze przez trzy lub cztery dni z rzędu. Pomyślałem, że to firma telemarketingowa próbuje ustalić, czy jestem w domu czy nie, było jednak inaczej.

Gdy odebrałem telefon, osoba po drugiej stronie przedstawiła się jako technik z działu Windows Security Support. Połączenie było bardzo kiepskie, dlatego nie usłyszałem wszystkiego, co powiedział. Niewykluczone, że było to celowe.

Gdy zacząłem rozmawiać z nim, zapytał mnie po angielsku z indyjskim akcentem, czy mam w domu komputer, na co naturalnie odpowiedziałem „tak”. Następnie zaczął wyjaśniać, że mój komputer został zhakowany, a moja zapora sieciowa chroni mnie jedynie przed zagrożeniami zewnętrznymi, a nie wewnętrznymi. W tym momencie wiedziałem już, że sprawa jest podejrzana, więc zacząłem zadawać więcej pytań na temat szkodliwego oprogramowania, próbując uzyskać więcej informacji o moim rozmówcy, gdy niespodziewanie rozłączył się.

Po tym, jak rozłączył się, zorientowałem się, że mam do czynienia z jednym z tych oszustw, w którym oszuści przekonują ofiary do zainstalowania oprogramowania do uzyskiwania zdalnego dostępu w celu kontrolowania maszyn. Po uzyskaniu dostępu do maszyn instalują rootkity i uzyskują pełny dostęp do komputera ofiary.

Generalnie, tego rodzaju oszustwo można określić jako dość skuteczne: oszuści zadzwonili do mnie w dzień, a – jak wiadomo – o tej porze nie spodziewali się raczej zastać w domu specjalisty ds. bezpieczeństwa z Kaspersky Lab, ale starsze osoby lub chorych.

Chciałbym ostrzec przed takimi oszustwami. Na razie mogę potwierdzić, że zostały odnotowane w Szwecji. Wcześniej ofiarami podobnych sztuczek padali głównie użytkownicy z Wielkiej Brytanii i Stanów Zjednoczonych, wygląda jednak na to, że biznes rozwija się.

Skontaktujcie się z nami, jeżeli ktoś zadzwoni do was, twierdząc, że jest z działu “Windows Security” (lub podobnego) i poprosi was o zainstalowanie oprogramowania pozwalającego na uzyskanie zdalnego dostępu. I najważniejsze: nie instalujcie zalecanego przez taką osobę oprogramowania!

Ponad trzy tygodnie temu kilka wschodnioeuropejskich banków zaczęło powiadamiać swoich klientów, że ich karty zostały zablokowane i zostaną wymienione na nowe. Większość banków nie podało dalszych szczegółów, a w wielu przypadkach banki nie poinformowały nawet swoich klientów przed zablokowaniem ich kart.

Wszystko zaczęło się dwa tygodnie temu, gdy rumuński bank państwowy CEC Bank zablokował około 17 000 kart w następstwie incydentu naruszenia bezpieczeństwa, jaki miał miejsce w jednym z europejskich centrów obsługi płatności VISA.

Niedługo potem zareagowały inne banki. Rumuński oddział banku ING również potwierdził zablokowanie kart, które ucierpiały w wyniku incydentu naruszenia bezpieczeństwa, nie podał jednak żadnych liczb. Przedstawiciele banku twierdzą, że zablokowali kilka kart, jednak ściśle monitorują sytuację.

Kilka dni później również serbskie banki zaczęły blokować tysiące kart z powodów bezpieczeństwa. Raiffeisen Bank, Komercijalna oraz Societe Generale potwierdzają, że zostały poinformowane przez VISA o tym, że zostało złamane bezpieczeństwo kart niektórych jego klientów. Bardzo podobna sytuacja miała miejsce w Rumunii.

Według pogłosek, incydent naruszenia bezpieczeństwa miał miejsce w europejskim oddziale dostawcy elektronicznych usług płatności - Euronet Worldwide. Informacje te krążą w rumuńskich mediach biznesowych – i chociaż nie zostały potwierdzone oficjalnie, mogą tłumaczyć, dlaczego ofiarami są klienci różnych banków w różnych krajach.

Trudno ocenić, jak poważny jest omawiany incydent, ponieważ reakcja banków była bardzo różna. Niektóre banki przystąpiły do natychmiastowego zablokowania i wymiany wszystkich kart, których bezpieczeństwo zostało złamane, inne natomiast ograniczyły się do monitorowania sytuacji.

Na razie nie wiadomo, jaki jest pełny obraz sytuacji, jednak prawdopodobnie nie są to odosobnione incydenty. Co więcej, przypadki te mogą stanowić zaledwie wierzchołek góry lodowej. W związku z tym jeżeli otrzymałeś podobne powiadomienie ze swojego banku, skontaktuj się z nami, szczególnie gdy sytuacja miała miejsce poza Serbią i Rumunią.

Poniżej zamieszczamy trzy podstawowe wskazówki, jak nie paść ofiarą oszustwa dotyczącego kart kredytowych:

1. Sprawdzaj wyciągi z konta bankowego tak często jak to możliwe. Upewnij się, że wszystkie widniejące tam płatności zostały rzeczywiście dokonane przez ciebie. Jeżeli jakaś transakcja wzbudzi twoje podejrzenie, natychmiast skontaktuj się ze swoim bankiem.
2. Jeżeli twój bank oferuje klientom powiadamianie SMS o transakcjach, włącz je. W niektórych bankach można korzystać z takiej opcji bezpłatnie, w innych za opłatą. W obu przypadkach, warto. Dzięki temu będziesz otrzymywał natychmiastowe powiadomienia o płatnościach dokonywanych przy użyciu twoich kart.
3. Większość pieniędzy przechowuj na koncie, do którego nie masz dostępu za pomocą karty. Konieczność przelewania pieniędzy z jednego konta na drugie co tydzień lub miesiąc może stanowić pewną niedogodność, z drugiej strony może oszczędzić ci wiele kłopotów, w przypadku złamania zabezpieczenia twojej karty.

Ostatni dużo mówi się o oprogramowaniu o nazwie Carrier IQ zainstalowanym na wielu urządzeniach mobilnych. Według producenta, celem tej aplikacji jest gromadzenie danych statystycznych w celu usprawnienia wielu funkcji urządzenia, na którym jest zainstalowana. Powodem oburzenia jest to, że oprogramowanie to posiada dostęp do ogromnej ilości prywatnych danych użytkownika.

Badanie Trevora Eckharta wykazało, że Carrier IQ posiada wgląd w praktycznie wszystko, co użytkowmik robi na swoim urządzeniu, od wciskanych klawiszy po nazwy użytkowników i hasła przesyłane za pośrednictwem szyfrowanych połączeń SSL (aczkolwiek przed ich zaszyfrowaniem). Mimo że nowe badanie wykazało, że w rzeczywistości żadne z tych danych osobowych nie są przechwytywane, możliwości nadużycia są bardzo duże.

Rozumiem oburzenie klientów. Sam nie chciałbym, aby ktokolwiek czytał moje SMS-y czy posiadał informacje na temat tego, czego szukam, albo czytał moje maile. Tym bardziej jest to problem dla korporacji. Szczególnie że takie urządzenia mogą zawierać własność intelektualną.

Trzeba pamiętać, że oprogramowanie Carrier IQ może zostać zaatakowane. Z doświadczenia wiem, że nie ma aplikacji, która nie posiadałaby żadnej wady. A zatem istnieje możliwość, że Carrier IQ zostanie zhakowany i ktoś przechwyci dane, do których to oprogramowanie ma dostęp.

Jednak najgorsze w tym wszystkim jest to, że osoby, których dotyczy ten problem, nie mogą nic z tym zrobić. Przeciętny użytkownik po prostu nie jest w stanie usunąć tego oprogramowania. Nawet jeżeli w tym celu „zrootuje” swój telefon lub wykona „jailbreak”, istnieją dowody na to, że zepsuje jego funkcjonalność lub nawet spowoduje, że telefon przez pewien czas nie będzie nadawał się do użytku. Niektórzy użytkownicy instalują w systemie niestandardowe ROM-y, czyli niestandardowe pełne zamienniki zainstalowanego przez producenta systemu operacyjnego. Jednak w pewnych przypadkach nic to nie daje: użytkownicy nadal znajdują na urządzeniu pliki Carrier IQ.

Większości użytkownikom nie zalecamy rootowania urządzenia ani instalowania niestandardowych ROM-ów. To całkowicie podważa model bezpieczeństwa urządzenia. Co więcej, niestandardowe ROM-y mogą być tak złożone, że często nie są poddawane szczegółowej analizie przez specjalistów od bezpieczeństwa. Czy nie jest to bardziej niebezpieczne niż posiadanie aplikacji z prawami administratora, która potrafi rejestrować całą aktywność użytkownika? Odpowiedź na to pytanie nie jest łatwa.

Podsumowując, Carrier IQ to aplikacja rejestrująca czynności użytkownika, która posiada dostęp na poziomie administratora i jest zainstalowana na urządzeniach klientów bez ich wiedzy. Chociaż klienci opłacają roczne umowy, dostawcy usługi nie widzieli potrzeby poinformowania ich o obecności takiego oprogramowania. Carrier IQ nie tylko posiada szeroki dostęp do osobistych danych, ale również nie daje się łatwo odinstalować. Nawet jeżeli ktoś rozgryzie, w jaki sposób można usunąć tę aplikację, istnieje niebezpieczeństwo zepsucia urządzenia. Nie jestem przeciwny usprawnianiu usług. Nie zgadzam się jedynie z tym, aby dostawcy usług celowo zatajali informacje o tym, co robią z naszymi danymi na urządzeniu, za które sami zapłaciliśmy, a co więcej nie dawali żadnej możliwości usunięcia oprogramowania takiego jak Carrier IQ. Mimo że prawdopodobnie nie jest to nielegalne, z pewnością jest nieetyczne.

Co w tej sytuacji można zrobić? Wprawdzie istnieje możliwość wykrycia obecności Carrier IQ na urządzeniu, jednak na chwilę obecną nie da się go łatwo usunąć. A zatem pozostaje rozmowa z dostawcą usług. Jeżeli oprogramowanie Carrier IQ zostało zainstalowane na twoim urządzeniu, a ty nie chcesz, aby się tam znajdowało, zalecamy skontaktowanie się z działem obsługi klientów i wyrażenie swojego niezadowolenia.

Ludzie często pytają mnie o prawdziwe zagrożenie ze strony szkodliwego oprogramowania na Androida. Trudno odpowiedzieć na to pytanie, ponieważ należy wziąć pod uwagę kilka czynników, takich jak lokalizacja użytkownika, jego urządzenie, liczbę zainstalowanych aplikacji, a także lekkomyślność podczas wyboru aplikacji.

Istnieją dwie podstawowe frakcje, często stojące w opozycji do siebie. Przedstawiciele jednej z nich twierdzą, że zagrożenie dla systemu Android jest wyolbrzymiane, ponieważ liczba wykrytych złośliwych programów jest tak mała w porównaniu z liczbą szkodliwych programów na system Windows, że zagrożenia mobilne są pomijalne. Gdy jakakolwiek firma poinformuje o wykryciu zagrożenia i pokaże jakikolwiek wzrost w tym sektorze, jest często oskarżana o sianie paniki w celu zwiększenia sprzedaży.

Uważam, że prawdziwe źródło tego argumentu leży w stwierdzeniu, że tak wiele firm nazywa bieżący rok „rokiem mobilnego szkodliwego oprogramowania” już od około 7 lat. I przez stwierdzenie ‘ten rok’ mam na myśli każdy rok od 2004, gdyż właśnie w tym roku wykryto pierwszego wirusa przeznaczonego na telefony komórkowe. Nazywał się ‘Cabir’ i był rozpowszechniany przez Bluetootha na telefonach z systemem Symbian. Po tym odkryciu można było przypuszczać, że powstanie więcej zagrożeń na telefony i tak też się stało. Może przez te lata liczba zagrożeń nie była zastraszająca, ale to się zmienia. Statystyki pokazują znaczący wzrost w korzystaniu z systemu Android. Google oświadczyło, że aktywuje ponad pół miliona urządzeń dziennie. Przy tak dużej liczbie nowych użytkowników oczywistym jest, że twórcy szkodliwego oprogramowania będą kontynuować swoją pracę.

Z drugiej strony barykady stoją ludzie tacy jak ja, którzy codziennie prowadzą badania dotyczące zagrożeń na Androida. Widzę użytkowników instalujących szkodliwe aplikacje, takie jak DroidDream, który zainfekował ponad 100 000 smartfonów, czy też sieci reklamowe, przez które wyciekają dane niczego nieświadomych użytkowników. Widzę wzrost liczby tabletów i innych nietypowych urządzeń (np. telewizory i odtwarzacze multimediów), które działają pod kontrolą systemu Android. Wszędzie widzę logo Androida. Tak samo jest z cyberprzestępcami. Gdy zapytacie weteranów przemysłu antywirusowego, będą porównywali tę sytuację z początkami szkodliwego oprogramowania na system Windows. Widzimy zwlekanie z aktualizacjami, nieświadomość użytkowników, a także wszechobecne przekonanie, że „to mnie nie dotyczy”.

Należy wspomnieć o jednej ważnej rzeczy – wiele nowych zagrożeń pojawia się w nieoficjalnych serwisach z oprogramowaniem, w miejscach takich jak Chiny. Większość wykrytych szkodliwych programów nie nadaje się do zastosowania przez przestępców, których celem są użytkownicy ze Stanów Zjednoczonych. Przynajmniej na razie. Dzieje się tak, ponieważ większość złośliwych programów przeznaczonych na urządzenia mobilne to trojany SMS, których rozpowszechnianie w Stanach Zjednoczonych nie ma sensu. Trojany SMS rozprzestrzeniają wiadomości, za których wysłanie pobierana jest określona opłata. Takie szkodliwe oprogramowanie jest popularne w Rosji i Chinach. Brak popularności trojanów SMS w Ameryce można wiązać z kilkoma czynnikami. Pierwszy z nich dotyczy cyklu opłat za numery o podwyższonej opłacie, który w Stanach Zjednoczonych wynosi 30 dni. Oznacza to, że złośliwi użytkownicy nie zbiorą pieniędzy od swoich ofiar od razu, co daje władzom więcej czasu na złapanie przestępców. Drugi jest związany z procedurą założenia numeru o podwyższonej opłacie, która wymaga podania więcej znacznie większej liczby informacji identyfikacyjnych. W innych krajach nie ma obowiązku podawania tylu danych, co umożliwia przestępcom pozostawanie anonimowymi. W Stanach Zjednoczonych możemy za to zaobserwować szkodliwe oprogramowanie kradnące dane. Jeżeli tylko będziesz w Stanach Zjednoczonych, popytaj ludzi, a na pewno znajdziesz kilku, których urządzenia zostały zainfekowane. Spodziewamy się, że ulegnie to zmianie, ponieważ mobilne szkodliwe programy są coraz bardziej zaawansowane. Jeżeli tylko pojawi się nowy sposób zbierania pieniędzy przy pomocy mobilnych szkodliwych programów, cyberprzestępcy z pewnością nie omieszkają go wykorzystać.

Na końcu chciałbym wspomnieć, że naszym zadaniem, jako badaczy w zakresie bezpieczeństwa, jest identyfikowanie pojawiających się zagrożeń. Bitwa z cyberprzestępcami jest trudna i szala zwycięstwa wciąż się przechyla na jedną ze stron, ale my nie mamy zamiaru się poddawać i będziemy walczyć dalej. Edukacja ludzi w zakresie istniejących typów zagrożeń to jedna z broni w tej potyczce. Szkodliwe oprogramowanie jest problemem na skalę globalną, a jakikolwiek wysiłek, który podejmiemy w celu jego zmniejszenia, przyniesie pozytywny wynik.

W połowie czerwca obserwowaliśmy SMS-y zawierające aplikacje z pornografią, które oferowały sprośne obrazki i potajemnie zapisywały użytkowników do różnych usług o podwyższonej opłacie. Aplikacje te były skierowane do użytkowników ze Stanów Zjednoczonych, Malezji, Holandii, Wielkiej Brytanii, Kenii i południowej Afryki. Pisaliśmy wtedy, że ‘…pojawienie się kilku aplikacji wykorzystujących SMS-y o podwyższonej opłacie i skierowanych do użytkowników z różnych krajów dowodzi, że niestety nie jest to już tylko problem Rosji i Chin’.

Obecnie problem ten wyewoluował do trojanów SMS, których celem są użytkownicy z kilku krajów Europy i Kanady. Tak, te trojany SMS nie są skierowane do użytkowników smartfonów z Rosji i Chin.

Zgodnie z informacjami, jakie znaleźliśmy na forach internetowych, pierwsze infekcje odnotowano na początku września. Jeden z użytkowników pobrał aplikację do zarządzania i monitorowania swoich wiadomości SMS/MMS, połączeń i ruchu sieciowego. Po uruchomieniu tej aplikacji wyświetlona została wiadomość o braku kompatybilności z wersją systemu Android na urządzeniu użytkownika, a następnie wyczyszczone zostało jego konto.

Zlokalizowaliśmy tę aplikację i niespodziewanie okazała się być trojanem SMS, który wysyła 4 wiadomości SMS na numery o podwyższonej opłacie. Wykrywamy go jako Trojan-SMS.AndroidOS.Foncy.

Trojan ten był rozpowszechniany na stronie internetowej do przechowywania plików pod nazwą ‘SuiConFo.apk’. Po instalacji pojawiał się w menu głównym smartfonów z systemem Android:

Trojan wyposażony jest w dwa szkodliwe moduły: ‘MagicSMSActivity.class’ i ‘SMSReceiver.class’. Pierwszy z nich jest odpowiedzialny za wysyłanie SMS-ów, natomiast drugi służy do ukrywania wiadomości przychodzących z określonych numerów. Jak już zostało wspomniane, po uruchomieniu aplikacja wyświetla wiadomość o błędzie „Android version is not compatible” („Wersja systemu Android nie jest kompatybilna”):

Zaraz po wyświetleniu tej wiadomości trojan wywołuje metodę publiczną getSimCountryIso z klasy TelephonyManager w celu uzyskania kodu ISO kraju karty SIM:

Następnie szkodliwe oprogramowanie definiuje zmienne ‘s1’ (numer SMS-a) i ‘s2’ (treść SMS-a):

Lista krajów zawiera 8 pozycji: Francja (numer SMS-a 81001), Belgia (numer SMS-a 9903), Szwajcaria (numer SMS-a 543), Luksemburg (numer SMS-a 64747), Kanada (numer SMS-a 60999), Niemcy (numer SMS-a 63000), Hiszpania (numer SMS-a 35064) i Wielka Brytania (numer SMS-a 60999).

Wygląda na to, że twórcy trojana popełnili błąd. Trojan wysyła wiadomość SMS przy użyciu klasy SmsManager zawierającej metodę sendTextMessage:

smsmanager.sendTextMessage(s1, null, s2, pendingintent, pendingintent1),

gdzie ‘s1’ reprezentuje numer, a ‘s2’ oznacza treść. Te zmienne są określone poprawnie dla wszystkich krajów oprócz Kanady:

if(s.equals("ca"))
{
s1 = "SP";
s2 = "60999";

Po określeniu kraju, numeru i treści wiadomości trojan wyśle 4 SMS-y przy pomocy metody sendTextMessage (jak zostało to opisane powyżej).

SMSReceiver.class jest odpowiedzialny za ukrywanie wiadomości SMS przychodzących z określonych numerów. Jeżeli SMS przychodzi z jednego z następujących numerów: 81001, 35064, 63000, 9903, 60999, 543, 64747, wówczas trojan będzie próbował go ukryć przy użyciu metody abortBroadcast. Sam numer jest uzyskiwany z wiadomości SMS przy pomocy metody getDisplayOriginatingAddress.

Jest jeszcze jedna interesująca rzecz czająca się w tym szkodliwym programie. Jeżeli spojrzymy na ten kod:

możemy zauważyć, że po ukryciu wiadomości przychodzącej (abortBroadcast) trojan ten wyśle na francuski numer telefonu komórkowego jeszcze jeden SMS o treści przechowywanej w zmiennej ‘s’. Zmienna ‘s’ jest definiowana przy pomocy metody getMessageBody po przyjściu SMS-a.

Innymi słowy, trojan wyśle na francuski numer telefonu komórkowego SMS-a o treści wziętej z wiadomości zwrotnej z numeru o podwyższonej opłacie. Może to pomóc cyberprzestępcom w zorientowaniu się w liczbie wysłanych wiadomości SMS.

Obecnie trojany SMS są niestety jednym z najłatwiejszych sposobów do szybkiego zdobycia pieniędzy przez cyberprzestępców. Szkodliwe wykorzystanie SMS-ów o podwyższonej opłacie zostało rozpowszechnione na całym świecie i jestem prawie pewien, że nie skończy się to tak szybko. Będziemy monitorować sytuację i informować Was na bieżąco.