Tag Archives: mobile malware

Samsung Galaxy S5 and other popular phones vulnerable to “TowelRoot” Android exploit

avast! Mobile Security protects from an Android flaw which leaves nearly all new smartphones and tablets vulnerable to attack. Last week, a wave of articles about a newly discovered Android security flaw flooded the Internet. They sounded a warning, similar to this: “A flaw in the Android operating system may leave many Android phones and […]

SimplLocker does what its name suggests: Simply locks your phone!

A new Android mobile Trojan called Simplocker has emerged from a rather shady Russian forum, encrypting files for ransom. AVAST detects the Trojan as Android:Simplocker, avast! Mobile Security and avast! Mobile Premium users can breathe a sigh of relief; we protect from it! The Trojan was discovered on an underground Russian forum by security researchers […]

2014 ???????????????????????: ???????????

istrbanner.png

今年も、シマンテックの最新の調査結果をお伝えする『インターネットセキュリティ脅威レポート』(ISTR)(英語)をお届けする時期になりました。過去 1 年間のシマンテックの調査と解析に基づいて、脅威を取り巻く世界の現状を考察しています。今年のレポートで取り上げている大きな傾向としては、データ侵害と標的型攻撃の大幅な増加、モバイルマルウェアとランサムウェアの進化、モノのインターネットがもたらす潜在的な脅威といったことが挙げられます。以下、これらのテーマについてそれぞれ詳しく見ていきます。

大規模なデータ侵害の年
2011 年は「データ侵害の年」と呼ばれましたが、2013 年のデータ侵害は前年までの規模をはるかに超えるものでした。2013 年、データ侵害の件数は 2012 年から 62% 増え、さらには漏えいした個人情報の数は 5 億 5,200 万件と、実に 368% も増加しています。また、データ侵害の被害が大きかった上位 8 件すべてにおいて、漏えいした個人情報の数が 1,000 万を超えた初めての年でもあり、まさに「大規模な」データ侵害の年だったと言えます。その前年、2012 年は同様の規模のデータ漏えいは、わずか 1 件にすぎませんでした。

中規模企業に狙いを定める攻撃者
これまでのレポートをお読みであれば、攻撃者の狙う主な標的が中小規模の企業(SMB)であることをご存じでしょう。今年もその傾向は変わっていません。2013 年には、SMB 全体が標的型攻撃の半数を超えて 61%(2012 年は 50%)に達し、なかでも中規模(従業員数 2,500 人以上)企業への攻撃が最も大きく増加しました。

規模を問わず全企業に対する攻撃も、2012 年から 91% とほぼ倍増しています。サイバー犯罪者が、攻撃の成功率を高めようとして水飲み場型攻撃やスピア型フィッシングを仕掛けている点は前年と同様ですが、攻撃活動に電子メールを利用する比率が下がってきたため、スピア型フィッシング攻撃は 23% 減少しました。一方、水飲み場型攻撃によってドライブバイダウンロードを通じた攻撃が増え、標的が頻繁に訪れる Web サイトでユーザーを待ち構えて狙うようになっています。ゼロデイ脆弱性が 61% 増加したことも、攻撃を助長しました。攻撃者は、ゼロデイ脆弱性を悪用することで、適切にパッチが適用されていないサイトに攻撃を仕掛け、余分な手間をほとんど、あるいはまったく掛けずに被害者の環境に感染できるためです。

最も多く狙われた業種は、引き続き政府機関でした(全攻撃の 16%)。今回のレポートでは、攻撃の量だけでなく、誰が好んで標的にされるのか、標的に選ばれる確率はどのくらいなのかも調べています。悪いことに、その確率の点で誰が有利ということはなく、標的型攻撃には全員が備えなければなりません。ただし、その確率を確かめた結果、意外な事実も判明しています。中規模の採掘会社で個人秘書を務めている方には残念なニュースですが、あなたは「最も狙われている」業種です。

消費者のプライバシーを侵害するモバイルマルウェアとマッドウェア
深く考えずに新しいアプリをモバイルデバイスにダウンロードする人は少なくありませんが、悪質なアプリの多くは、きわめて不快な機能や望ましくない機能を備えています。2013 年に作成された新しいマルウェアのうち、33% はユーザーを追跡し、20% は侵入先のデバイスからデータを収集していました。また 2013 年は、Android デバイスに対するリモートアクセスツールキット(RAT)が出現し始めた最初の年でもあります。デバイス上で実行されている RAT は、監視をしたり電話を掛けたりするほか、SMS メッセージを送受信する、デバイスの GPS 座標を取得する、カメラとマイクを有効にして利用する、デバイスに保存されているファイルにアクセスするといったことが可能です。もちろん、被害者はそれを知ることもなければ、同意もしていません。

爆発的に増え、ますます悪質になるランサムウェア
シマンテックが以前に予測したとおり、2013 年にはランサムウェア(コンピュータやファイルをロックする悪質なソフトウェア)が急増しました。過去 1 年間で 500% という爆発的な増加を示したことに加え、身代金の受け取りに成功するたびに 100 ~ 500 ドルの利益があるという、攻撃者にとっては非常に儲かる商売になっています。また、高度な暗号化によってデータを人質に取り、所定の期日までに身代金を支払わなければデータを完全に消去すると脅すなど、攻撃の悪質さも増してきています。

個人情報窃盗の未来を握る「モノのインターネット」
過去 1 年間にハッキングの被害に遭ったのは、冷蔵庫とベビーモニターのどちらでしょうか。お客様にこう質問すると多くの人々は「両方」と答えますが、正解はベビーモニターです。ニュースなどでどう報じられていようと、インターネットに接続された冷蔵庫が実際に攻撃を受けたことは、まだありません。ただし、あくまでも「まだない」だけです。セキュリティ研究者は 2013 年に、自動車、防犯カメラ、テレビ、医療機器に対する攻撃がいずれも可能であることを実証しています。次は冷蔵庫の番かもしれません。モノのインターネット(IoT)は今ちょうど成長過程にあり、関連する脅威が追随するのは間違いありません。今年のレポートで、これまでに判明した点に触れていますが、インターネットに接続されているデバイスのうち攻撃を受けるリスクが最も高いのはホームルーターであるという見解は一致しています。

次に起こるのは何でしょうか。IoT デバイスには個人情報や銀行口座などの情報が保存されているので、実際に冷蔵庫がハッキングされる事案が発生するのも時間の問題でしょう。今のところ、IoT デバイスのメーカーとユーザーのどちらにとってもセキュリティは二の次です。深刻なセキュリティ事案が発生するまでは真剣に考慮されないかもしれませんが、潜在的なセキュリティリスクに備えて今すぐ検討を開始しておけば、いざというときのために万全の準備をすることができます。まずは、今年の ISTR をお読みいただくことから始めてください。

詳しくは、『インターネットセキュリティ脅威レポート』第 19 号(英語)をご覧ください。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

The 2013 Internet Security Threat Report: Year of the Mega Data Breach

istrbanner.png

Once again, it’s time to reveal the latest findings from our Internet Security Threat Report (ISTR), which looks at the current state of the threat landscape, based on our research and analysis from the past year. Key trends from this year’s report include the large increase in data breaches and targeted attacks, the evolution of mobile malware and ransomware, and the potential threat posed by the Internet of Things. We’ll explore each of these topics in greater detail below.

The year of the mega data breach
While 2011 was hailed by many as the “Year of the Data Breach,” breaches in 2013 far surpassed previous years in size and scale. For 2013, we found the number of data breaches grew 62 percent from 2012, translating to more than 552 million identities exposed last year – an increase of 368 percent. This was also the first year that the top eight data breaches each resulted in the loss of tens of millions of identities – making it truly the year of the “mega” data breach. By comparison, only one data breach in 2012 reached that distinction.

Attackers set their sights on medium-sized businesses
If you’ve been following our reports, you know that small and medium-sized businesses (SMBs) are a key target for attackers, and this year proved no exception to the trend. In 2013, SMBs collectively made up more than half of all targeted attacks at 61 percent – up from 50 percent in 2012 – with medium-sized (2,500+ employees) businesses seeing the largest increase.

Attacks against businesses of all sizes grew, with an overall increase of 91 percent from 2012. Similar to last year, cybercriminals deployed watering hole attacks and spear-phishing to increase the efficiency of their campaigns. However, spear-phishing campaigns were down 23 percent, with cybercriminals relying less on emails to carry out their attack campaigns. Watering hole attacks allowed the bad guys to run more campaigns through drive-by-downloads, targeting victims at the websites they frequently visit. Efforts were also aided by a 61 percent increase in zero-day vulnerabilities, which allowed attackers to set up on poorly patched sites and infect their victims with little or no additional effort required. 

Government remained the most targeted industry (16 percent of all attacks). This year we looked at not only the volume of attacks but also at who are the preferred targets and what are the odds of being singled out. The bad news is that no one faces favorable odds and we all need to be concerned about targeted attacks. However, looking at the odds produced some surprises. If you’re a personal assistant working at a mid-sized mining company, I have bad news for you – you topped the “most wanted” list for attackers. 

Mobile malware and madware invades consumers’ privacy
While many people download new apps to their mobile devices without a second thought, many malicious apps contain highly annoying or unwanted capabilities. Of the new malware threats written in 2013, 33 percent tracked users and 20 percent collected data from infected devices. 2013 also saw the first remote access toolkits (or RATs) begin to appear for Android devices. When running on a device, these RATs can monitor and make phone calls, read and send SMS messages, get the device’s GPS coordinates, activate and use the camera and microphone and access files stored on the device – all without the knowledge or consent of the victim.

Ransomware growth explodes and turns even more vicious 
As we had previously predicted, ransomware, the malicious software that locks computers and files, grew rapidly in 2013. Ransomware saw an explosive 500 percent growth over last year and remained a highly profitable enterprise for the bad guys, netting $100 to $500 USD for each successful ransom payment. We also saw attackers become more vicious by holding data hostage through high-end encryption and threatening to delete the information forever if the fee was not paid within the given time limit.

The future of identity theft: The Internet of Things
Which of these things have been hacked in the past year: a refrigerator or a baby monitor? When I ask customers this question, they often reply, “Both.” The correct answer is the baby monitor. Despite what you may have heard on the news, Internet connected refrigerators have yet to be attacked. But never say never. Security researchers in 2013 demonstrated that attacks against cars, security cameras, televisions and medical equipment are all possible. The refrigerator’s time will come. The Internet of Things (IoT) is on its way and related threats are sure to follow. In this year’s report, we talk about what we’ve seen so far, and the consensus is that the Internet connected device at most risk of attack today is the home router.

What comes next? With personal details and financial information being stored on IoT devices, it’s only a matter of time before we find a true case of a refrigerator being hacked. Right now, security is an afterthought for most manufacturers and users of these devices, and it will likely take a major security incident before it is seriously considered. However, by starting the conversation now about the potential security risks, we will be that much more prepared when that day comes. This year’s ISTR starts the conversation. 

For more details, check out the complete Internet Security Threat Report, Vol. 19.

O Décimo Aniversário do Primeiro Malware Para Dispositivos Móveis

mwc_10years_tube_map_infographic.png

Figura. Uma breve história de malwares para dispositivos móveis.

 

O ano de 2014 marca o décimo aniversário da criação do primeiro malware para dispositivos móveis. Tudo começou em 2004, quando a primeira variante do SymbOS.Cabir foi submetida para os pesquisadores de segurança. A análise revelou que o worm tinha como alvo o Symbian OS, um sistema operacional bastante popular para dispositivos móveis naquela época.

Telefones infectados se utilizavam do Bluetooth para pesquisar outros dispositivos próximos que estivessem com o modo de descoberta ativado e então tentava se disseminar para o outro aparelho. O usuário tinha que aceitar a transferência do arquivo e também o processo de instalação antes do malware infectar efetivamente o dispositivo. Essa característica limitou a proliferação do vírus, já que a vítima deveria estar no raio de alcance do Bluetooth e também autorizar o processo de cópia e instalação.

Mas este foi apenas o começo. Várias outras variantes do Cabir apareceram com diferentes modificações. Algumas dessas variantes tinham como objetivo o roubo de informações como os contatos do celular enquanto outras tinham uma atuação mais parecida com um vírus clássico, infectando outros arquivos locais.

Poucos meses depois, uma versão modificada de um jogo chamado Mosquito apareceu na Internet. Junto com o jogo, que era bastante popular, essa versão modificada também trazia o trojan Trojan.Mos, que enviaria mensagens de texto (SMS) em segundo plano para números de serviços pagos, acarretando gastos para o proprietário do dispositivo. Esse foi o primeiro caso amplamente visto em dispositivos móveis de um malware com finalidade de lucro financeiro.

A mesma tática vem sendo utilizada nos dias de hoje em centenas de jogos para a plataforma Android, que depois de instalados, enviam mensagens de texto e consomem tráfego de Internet no celular.

Logo após o Mosquito, apareceram as primeiras versões do Skull. A ameaça recebeu esse nome porque uma de suas características era substituir o ícone da maioria das aplicações pela imagem de uma caveira. O malware também substituiu arquivos de sistema e de aplicativos por lixo, impossibilitando o seu funcionamento correto, tornando o telefone quase inutilizável. Para a nossa sorte, naquela época a categoria ransomware não era popular, caso contrário nós veríamos o malware tentando sequestrar as informações do usuário dentro do próprio dispositivo.

Isso mudou em 2013 quando nós vimos as primeiras amostras desse tipo de software malicioso também para dispositivos móveis. Essas ameaças focam mais em manter o telefone refém ao invés dos próprios dados, já que sincronizações das informações dos dispositivos são frequentes e cópias de segurança são realizadas regularmente para ambientes cloud.

Em 2005, o SymbOS.CommWarrior.A entrou em cena. Ele estendeu o vetor de propagação para incluir o envio de mensagens MMS para vários números da lista de contatos. Esse malware teve bastante êxito em sua tarefa e variantes do CommWarrior foram vistas em redes de dispositivos móveis por anos. Em 2006, o Trojan.RedBrowser.A estendeu para outros sistemas operacionais as ameaças que enviam mensagens de texto para números de serviços pagos, sistemas esses que suportavam a plataforma JME. Esse foi o primeiro Trojan para JME com a capacidade de infectar diferentes plataformas para dispositivos móveis.

Dentro de um ano os dispositivos móveis tiveram que lidar com malwares muito similares àqueles encontrados em computadores tradicionais, incluindo worms, Trojans para roubo de dados e com fins lucrativos, e vírus que infectavam outros arquivos. Se isso não fosse suficiente, a ascensão das categorias adware e spyware não passaram desapercebidas nos dispositivos móveis. O Spyware.FlyxiSpy, lançado em 2006, foi comercializado e teve muito sucesso em monitorar atividades de um dispositivo móvel. Uma vez instalado, ele monitorava detalhes de ligações telefônicas e mensagens de texto SMS e enviava as informações para um servidor remoto. O malware foi anunciado como a melhor solução para pessoas que queriam monitorar seus cônjuges. Ameaças similares seguiram e evoluíram nesse mesmo caminho, permitindo o monitoramento de todos os passos do usuário.

Com muitos bancos online passando a utilizar mensagens de texto SMS em seus métodos de verificação de transações, os criminosos também seguiram o mesmo rumo. Como resultado, em 2010, autores de códigos maliciosos introduziram o SymbOS.ZeusMitmo, uma ameaça capaz de encaminhar mensagens de texto de transações bancárias dos dispositivos comprometidos para os criminosos. Isso permitiu que eles continuassem a cometer suas fraudes bancárias online. A idéia foi tão bem-sucedida que, em pouco tempo, surgiram vários malwares com o propósito de explorar serviços de transações de bancos online, para diversas plataformas móveis, exceto para iOS.

Quando o Android se tornou a maior plataforma de dispositivos móveis em 2011, os criadores de malwares começaram a tomar ciência disso. O método preferido de vetor de distribuição para os ataques se tornaram aplicativos com Trojans, usando algumas técnicas de engenharia social para torná-los mais atraentes. Por exemplo, o Android.Geinimi foi um dos primeiros bots de sucesso para dispositivos móveis, disfarçado como uma aplicação real. Desde então botnets para dispositivos móveis tem se tornado popular e são usadas em sua maioria para fraudes, entre outros tipos de ataques.

O Android.Rootcager chegou no mesmo ano e foi a primeira ameaça para a plataforma Android a usar um exploit para elevar os privilégios do usuário. Isso também reforça uma das poucas diferenças entre malwares para dispositivos móveis e ameaças para desktops tradicionais. Em computadores Windows geralmente vemos malwares que usam um exploit para se auto-instalar no computador comprometido. De fato, websites com código malicioso que enviam informações para o dispositivo comprometido tem se tornado o vetor mais utilizado. Entretanto, em dispositivos móveis, esse tipo de técnica acontece muito raramente. Na maioria das vezes, o usuário continua sendo enganado a instalar um aplicativo que aparentemente é bom quando na verdade não é.

Isso não quer dizer que não existam vulnerabilidades em sistemas operacionais para dispositivos móveis – atualmente existem algumas poucas – mas sim que os criminosos ainda não acharam necessário usar esse tipo de porta de entrada para um ataque. Em 2010, um website especializado em jailbreak de iPhone demonstrou como essa forma de ataque poderia ser utilizada. O site aproveitou uma vulnerabilidade no tratamento de fontes de documentos PDF para instalar programas impróprios. Desde então os fabricantes de sistemas operacionais para dispositivos móveis atualizaram e melhoraram sua segurança, tornando mais difícil para um malware fazer uso de vulnerabilidades.

Nos últimos dois anos temos visto um maior crescimento de Trojans e adwares que estão focando em dispositivos móveis, principalmente na plataforma Android. Até mesmo ataques direcionados agora fazem uso de ameaças móveis com o propósito de espionar esses dispositivos. Considerando isso, malwares para dispositivos móveis se tornaram ameaças reais que precisam de maior atenção porque ainda estão em uso. De fato estamos nos aproximando do momento que veremos o próximo passo da evolução das ameaças para dispositivos móveis, especialmente agora que os dispositivos se tornaram componentes importantes para identificação e soluções de pagamento.

?????????????????????????????

      No Comments on ?????????????????????????????
3442719_-_mobile_device_grayware_concept.png
モバイルセキュリティで非常に厄介なのが、「グレイウェア」をめぐる問題です。正規のソフトウェアとマルウェアとの間に明確な境界線はなく、グレイウェアは概ねその曖昧な領域に存在します。グレイウェアとは、明らかにマルウェアと言えるものを隠し持っているとは限らないものの、何らかの形でユーザーにとって有害または迷惑なアプリのことです。たとえば、ユーザーの所在や Web ブラウズの習慣を追跡する、望まない広告をしつこく表示するといった動作をします。多くの場合、グレイウェアの作成者はソフトウェアライセンス契約の中に小さな文字でアプリの機能概要を示して正規のアプリを装います。
 
グレイウェア自体は目新しい存在ではなく、無償アプリケーションにスパイウェアなどの余計なものが含まれているとして議論の対象になり始めたのはもう 10 年以上も前のことです。PC ユーザーのスキルが上がり、インストールされるものに関して敏感になるとともに、その議論は下火になりましたが、スマートフォンという新しい環境が登場するようになると、まったく新しいソフトウェアマーケットが生まれました。スマートフォンのユーザーは、まるで 10 数年前の PC 環境に対するのと同じような不用心さで、モバイルソフトウェアマーケットに接しています。多くの場合、ユーザーは、機能の全容をほとんど、あるいはまったく知らないままモバイルアプリをインストールしているのです。
 
これは深刻な問題です。シマンテックが集めたデータでは、モバイルアプリの 3 分の 1 以上がグレイウェアと見なせると示唆されています。ノートン モバイルセキュリティの新バージョンが発表された昨年までに、シマンテックのアプリ解析ツール、ノートン モバイルインサイトは、400 万以上のアプリを解析してきましたが、そのなかでグレイウェアに分類できるものは 150 万にのぼりました。これは、マルウェアに分類されるアプリの 30 万という数字と比べると相当な数です。
 
グレイウェアの形態は、ユーザーのプライバシーをもてあそぶアプリから、さらに手の込んだアプリまでさまざまです。たとえば、シマンテックが最近発見したグレイウェアアプリは、「いいね」やフォロワーの数を増やすためとして Instagram ユーザーにユーザー名とパスワードを共有するよう誘導します。これは InstLike というアプリで、Apple 社の App Store でも Google Play でもしばらくの間ダウンロードできましたが、その後どちらからも削除されました。
 
このアプリは、フォロワーと「いいね」の数を無料で増やせると謳っていますが、実際にはユーザーの Instagram ログイン情報を要求します。この要求に応じると、アプリはユーザーの Instagram アカウントを制御できるようになり、ユーザーが操作しなくても写真に自動的に「いいね」を付けます。
 
モバイルグレイウェアのうち、ここ数年で増加しているカテゴリのひとつが「マッドウェア」です。マッドウェアとは、攻撃的な広告ライブラリを使うアプリのことを指します。広告ライブラリは、ターゲット広告を表示するためにユーザーに関する情報を収集できるアプリのコンポーネントです。収入を広告に依存することが多い無料アプリではよく使われる機能ですが、一部には、個人情報を漏えいする、通知バーに広告を表示する、広告用のアイコンを作成する、ブックマークを変更するといった迷惑な手法を採用している広告ライブラリもあります。
 
シマンテックが最近実施した調査では、既知の広告ライブラリ 65 個のうち、半数以上がマッドウェアに分類できることが判明しました。マッドウェアを使うアプリの比率は、一貫して上昇傾向にあります。たとえば、Google Play で公開されたアプリのうちマッドウェアと見なすことができるものは、2010 年の 5% 未満から昨年には 23% に増えています。
 
では、グレイウェアに対してどのように対処すればいいのでしょうか。不正と見なされる境界線は越えていないため、通常、ウイルス対策企業はこれらを遮断することができません。App Store や Google Play のような公式のモバイルマーケットから、利用規約に反しているとして削除されるものもあります。
 
最大の防衛手段は知識です。PC ユーザーが、コンピュータにインストールするものに関して以前より用心深くなったように、スマートフォンユーザーも、ダウンロードする対象には注意し、アプリが求める許可も確認する必要があります。
 
スマートフォンを勝手に操作しようとするアプリを識別できるツールもいろいろと公開されています。たとえば、ノートン スポットは Android デバイスをスキャンして、スパム攻撃に利用される攻撃的な広告ライブラリを見つけ出し、関連するアプリを特定します。
 
 
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

????????? 10 ????

      No Comments on ????????? 10 ????
mwc_10years_tube_map_infographic.png
図. モバイルマルウェアの歴史
 
2014 年は、モバイルマルウェアが登場してから 10 年目に当たります。2004 年に SymbOS.Cabir の最初の亜種がセキュリティ研究者の元に届けられたのがすべての始まりです。解析の結果、このワームは Symbian OS を標的にすることが判明しました。Symbian は、当時非常に人気を博していたオペレーティングシステムです。SymbOS.Cabir に感染した携帯電話は、付近で検出モードになっている Bluetooth 対応デバイスを探し、見つかったデバイスにそのワームを送り付けようとします。ユーザーが手動でファイル転送とインストールを承認しない限り、SymbOS.Cabir はデバイスに感染できませんでした。デバイスが近距離になければ被害は発生せず、ワームとのやり取りも必要だったため、ワームの拡散は限られていましたが、これはほんの始まりに過ぎませんでした。異なる変更が加えられた Cabir の亜種が出回るようになり、電話帳情報などのデータを盗み出す亜種や、従来型のウイルスのように動作してローカルファイルに感染する亜種も現れたのです。
 
その数カ月後には、Mosquito というゲームをクラックしたバージョンがインターネット上に登場しました。この人気ゲームとともにパッケージに含まれる Trojan.Mos が、バックグラウンドでプレミアムテキストメッセージを送信する仕組みで、金銭的な儲けに特化したモバイルマルウェアが広く確認された最初のケースです。今でも、トロイの木馬が仕掛けられた何百という Android 用ゲームで同様の手口が使われており、インストールすると高額のテキストメッセージが送信されます。Trojan.Mos のすぐ後には、Skull の最初のバージョンが出現しました。Skull というのは、メインのペイロードにちなんだ命名で、ほとんどのアプリのアイコンがガイコツの画像に置き換えられたからです。また、システムファイルやアプリファイルも置き換えられたため、ファイルの機能が無効になり、携帯電話はほぼ使用不能に陥りました。幸いなことに、この当時ランサムウェアはまだ一般的ではありませんでしたが、そうでなければ、ユーザーのデータやモバイルデバイスそのものを人質に取ろうとするマルウェアも出現していたに違いありません。その状況が変わったのは、2013 年にモバイルデバイスを狙うランサムウェアの最初のサンプルが確認されたときのことです。ランサムウェアでは、データではなく携帯電話そのものを人質に取ることに主眼が移っています。デバイスが頻繁に同期され、データは自動的にクラウドにアップロードされるようになって、ユーザーにとってバックアップの利便性が高まったためです。
 
2005 年になると SymbOS.CommWarrior.A が登場し、連絡先に載っている番号に次々と MMS メッセージを送信するなど、感染経路が広がりました。このマルウェアは大きな成功を収め、CommWarrior という亜種はその後何年間も携帯電話のネットワークにはびこっています。2006 年に現れた Trojan.RedBrowser.A は、プレミアムテキストメッセージを他のオペレーティングシステムに送信するという形で脅威の範囲を広げました。これが、J2ME を標的とし、複数の携帯電話プラットフォームに感染する最初のトロイの木馬でした。
 
それから 1 年も経たないうちに、モバイルデバイスは PC を狙う定番マルウェアと似たようなマルウェアへの対処を迫られるようになります。ワーム、データの窃盗や金銭を狙うトロイの木馬、他のファイルに感染するウイルスなどです。それだけでなく、アドウェアやスパイウェアの流行も携帯電話を見逃しはしませんでした。2006 年にリリースされた販売向けの Spyware.FlyxiSpy は、侵入したモバイルデバイスのあらゆる活動を監視することに大きく成功します。配偶者のデバイスを盗み見たいユーザーにとってのベストソリューションとまで宣伝されるほどでした。類似の脅威がそれに続き、あらゆる操作を追跡できる進化形も現れました。
 
オンラインバンクの多くが帯域外の SMS 送信による認証方式を採用するようになると、犯罪者もそれに追随しました。その結果 2010 年に登場したのが SymbOS.ZeusMitmo です。侵入先のモバイルデバイスから、銀行口座の取引情報をテキストメッセージで攻撃者に転送する機能があったため、攻撃者はそれを利用してオンラインバンキング詐欺を実行し続けることができました。これも大きな成果を上げたため、iOS を除く主要なモバイル OS のすべてに、オンラインバンキングサービスを標的とするモバイルマルウェアが出現しました。
 
2011 年、Android が最大の携帯電話プラットフォームになると、マルウェアの作成者もそれに注目するようになります。攻撃者は、トロイの木馬を仕掛けたアプリを拡散経路として選び、ソーシャルエンジニアリングの技術を駆使してユーザーがそれをインストールするように誘導を試みます。たとえば、Android.Geinimi はモバイルデバイス向けのボットとして早期に成功した例ですが、実用的なアプリに偽装していました。それ以来、モバイルボットネットは広がり続け、クリック詐欺やプレミアムテキストメッセージ詐欺にもたびたび使われるようになっています。
 
Android.Rootcager が登場したのも同じ 2011 年のことで、これは悪用コードを利用して特権を昇格する最初の Android マルウェアです。モバイルマルウェアと PC 向けマルウェアとの違いは少なくなりましたが、そのひとつを備えているのが Android.Rootcager です。Windows コンピュータでは、悪用コードを使って自身を侵入先のコンピュータにインストールするマルウェアは珍しくありません。実際、悪質な Web サイトによるドライブバイダウンロード型の感染は、感染経路のトップになっています。一方で、携帯電話でドライブバイダウンロードが見られるのはごくまれであり、ほとんどの場合、アプリそのものをインストールさせるにはユーザーを欺く必要があります。ただし、モバイル OS に脆弱性が皆無ということではありません。脆弱性は実際に多く存在しますが、攻撃者が脆弱性の悪用をまだそれほど必要と思っていないだけのことです。2010 年には、iPhone のジェイルブレイクを扱う Web サイトで、脆弱性を悪用した攻撃がどのように行われるか実証されました。このサイトは、PDF のフォント解析に存在する脆弱性を悪用して、秘かにカスタムのソフトウェアをインストールしていました。その後、すべてのモバイル OS でセキュリティが強化されたため、マルウェアによる脆弱性の悪用はさらに難易度が高くなっています。
 
過去 2 年間では、モバイルデバイスを狙うトロイの木馬とアドウェアの顕著な進歩が確認されていますが、これは主に Android 携帯が中心です。今では、標的型攻撃でも、スパイ活動の目的にモバイルマルウェアが使われるようになっています。こうした傾向を考えると、モバイルマルウェアはすでに現実的な脅威となっており、まだ今後もさらに警戒が必要です。実際、将来的に携帯電話が本人確認のためのトークンや決済手段として使われるようになれば、モバイルの脅威は遠からず新たな進化を遂げるだろうと思われます。
 
今後も、不明なソースからアプリをインストールしないよう警戒を怠らず、強力なパスワードを使ってデバイスやサービスを保護することをお勧めします。シマンテックは、モバイルデバイスでこうした脅威を遮断する各種のセキュリティ製品を提供しており、次世代の保護対策をお届けするために常に努力を続けています。
 
 
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Grayware: Casting a Shadow over the Mobile Software Marketplace

3442719_-_mobile_device_grayware_concept.png
One of the most problematic areas in mobile security today is “grayware.” The dividing line between legitimate software and malware is not clearly drawn and grayware often occupies this murky middle ground. Grayware is applications that may not have any recognizable malware concealed within them but can nevertheless be in some way harmful or annoying to the user. For example, it might track their location, Web browsing habits or serve up unwanted ads. In many cases, grayware authors often maintain a veneer of legitimacy by outlining the application’s capabilities in the small print of the software license agreement. 
 
Grayware is not a new phenomenon and it first began to attract attention well over a decade ago when unwanted extras, such as spyware, were often packaged with free applications. As PC users became more savvy and aware of what they install, the controversy died down. However, the arrival of the new generation of smartphones has created a brand new software market. Consumers are prone to treat the mobile software market with the same degree of naivety that they may have treated the desktop space ten or fifteen years ago. Mobile apps are often installed with little or no consideration of what they may be capable of.
 
How big is the problem? Data collected by Symantec suggests that over a third of all mobile apps can be regarded as grayware. By the time the new version of Norton Mobile Security launched last year, Norton Mobile Insight, Symantec’s app analysis tool, had analyzed more than four million apps and found that 1.5 million could be classed as grayware. This compares to 300,000 apps that were classed as malware. 
 
Grayware can be anything from an app that plays fast and loose with the user’s privacy to something far more elaborate. For example, Symantec recently discovered a grayware app that encouraged Instagram users to share their usernames and passwords in order to increase likes and followers. The app, known as InstLike, was for a time available on the Apple App Store and the Google Play Store, but both companies have since removed it. 
 
The app claimed that it could provide people with followers and likes for free. However, it demanded a user’s login credentials for Instagram. The app was then given significant control of a user’s Instagram account, automatically liking photos without any user interaction.
 
One class of mobile grayware that has grown in recent years is what’s known as “madware.” This refers to apps that use aggressive ad libraries. An ad library is a component of an app that can collect information about the user for the purposes of displaying targeted advertising. It is a common feature of free apps, which usually rely on advertising for revenue. However, some ad libraries adopt aggressive tactics, such as leaking personal information, displaying ads in the notification bar, creating icons for ads or changing bookmarks. 
 
Recent research by Symantec found that of the 65 known ad libraries, over 50 percent can be classified as madware. The percentage of apps that utilize madware has risen steadily. For example, 23 percent of apps on the Google Play store last year can be considered as madware, up from less than 5 percent in 2010. 
 
What can be done about grayware? Because it doesn’t cross the bounds of illegality, antivirus firms usually can’t block it. Occasionally it is removed from official mobile marketplaces such as the Apple App Store or Google Play because it violates terms and conditions. 
 
Knowledge is the best defense. In the same way that PC users are now a little bit more wary about what they install on their computers, smartphone users should take a moment to consider what they’re downloading and look into what permissions the app is seeking. 
 
There are also a number of tools you can use to help identify which apps may be taking liberties with your smartphone. For example, Norton Spot will scan your Android phone for aggressive ad libraries that may spam your device and identify the apps associated with them. 

The Tenth Anniversary of Mobile Malware

      No Comments on The Tenth Anniversary of Mobile Malware
mwc_10years_tube_map_infographic.png
Figure. A brief history of mobile malware
 
2014 marks the tenth anniversary of mobile malware. It all began in 2004, when the first variant of SymbOS.Cabir was submitted to security researchers. The analysis revealed that this worm targeted Symbian OS, which was a very popular mobile operating system at the time. Infected phones would search for nearby Bluetooth devices that had activated discovery mode and then the worm would try to push itself onto them. The user had to manually accept the file transfer and also had to agree to the worm’s installation before the malware could infect the device. This limited the spread of the worm, as the victim had to be in close proximity to devices and needed to interact with the worm. But this was only the beginning. Several variants of Cabir appeared in the wild with different modifications. Some variants stole data, such as phonebook details, and other samples acted as a classic virus and infected local files. 
 
A few months later, a cracked version of a game called Mosquito appeared on the Internet. Along with the popular game, the package contained Trojan.Mos, which would send premium text messages in the background. This was the first widely seen case of mobile malware with a focus on monetary profit. Today, the same tactic is used on hundreds of Trojanized Android games, which will send expensive text messages after installation. Soon after Mosquito, the first versions of Skull appeared. The threat was named after its main payload, as the malware replaced the icons of most applications with an image of a skull. It also replaced system and application files with garbage, disabling their functionality and rendering the phone nearly unusable. Luckily at that time, ransomware was not yet popular, or else we probably would have seen the malware trying to hold the user’s data or the mobile device itself hostage. This changed in 2013 when we saw the first ransomware samples hitting mobile devices. These threats focus more on holding the phone hostage instead of the data, as frequent device synchronization and automatic data uploads to the cloud provide a better backup utilization for the users.  
 
In 2005, SymbOS.CommWarrior.A entered the scene. It extended the propagation vector to include sending MMS messages to various numbers in the contacts book. This malware was very successful and CommWarrior variants have been floating around mobile phone networks for years. In 2006, Trojan.RedBrowser.A extended threats that send premium text messages to other operating systems. This was the first Trojan for J2ME that could infect different mobile phone platforms.
 
Within a year, mobile devices had to deal with malware that was similar to established malware on desktop computers, including worms, data-stealing and profit-making Trojans, and viruses that infect other files. If this wasn’t enough, the rise of adware and spyware did not bypass mobile phones. The commercial Spyware.FlyxiSpy, which was released in 2006, was very successful at monitoring all of the compromised mobile device’s activity. The malware was advertised as the best solution for people who wanted to spy on their spouses. Similar threats followed and evolved further, allowing the user’s every step to be tracked.
 
With many online banks moving to out-of-band SMS transaction verification methods, the criminals had to follow as well. As a result, in 2010, attackers introduced SymbOS.ZeusMitmo, a threat that was capable of forwarding bank account transaction text messages from the compromised mobile device to the attackers. This allowed attackers to continue to commit online banking fraud. The idea was so successful that soon, mobile malware targeting online banking services appeared for all the major phone operating systems except iOS.
 
When Android became the biggest mobile phone platform in 2011, malware authors began to take notice. The attackers’ distribution vector of choice is through Trojanized applications and they use some social engineering techniques to make them more palatable. For example, Android.Geinimi was an early, successful bot for mobile devices disguised as a useful app. Mobile botnets have since become popular and are often used for click-fraud and premium text message scams.
 
Android.Rootcager arrived in the same year and was the first Android threat to use an exploit to elevate its privileges. This also marks one of the few differences between mobile malware and desktop computer threats. On Windows computers, we often see malware that uses an exploit to install itself on the compromised computer. In fact, drive-by-download infections from malicious websites have become the top infection vector. However, on mobile phones, drive-by-downloads happen very rarely. Most of the time, users still have to be tricked into installing the application themselves. It’s not that there are no vulnerabilities for mobile operating systems — there are actually quite a few, it’s just that attackers have not found it necessary to use them yet. In 2010, an iPhone jailbreak website demonstrated how this form of attack could work. The site took advantage of a PDF font-parsing vulnerability to install custom software on the fly. Since then, all mobile phone operating systems have upgraded their security, making it harder for malware to misuse vulnerabilities.
 
In the last two years, we have seen major growth from Trojans and adware targeting mobile devices, mainly focusing on Android phones. Even targeted attacks now make use of mobile threats for spying purposes. Considering this boom, mobile malware has become a real threat that needs greater attention because it isn’t over yet. In fact, we are likely to see the next evolution of mobile threats soon, especially as mobile phones become identification tokens and payment solutions in the future. 
 
Symantec recommends that users remain vigilant when installing applications from any unknown sources. Use strong passwords to protect your device and services. Symantec offers various security products for mobile devices that block these threats and we are constantly working on delivering the next level of protection.

How are you doing Mr. Android?

      No Comments on How are you doing Mr. Android?

First of all, I would like to shift your attention a bit backwards. No worries! This is no history lesson or something from the ancient past.  Rather, I would like to share with you folks some Android statistics from the last two years. Hopefully, it will give you a better idea about which malware is […]