Tag Archives: Symbian

O Décimo Aniversário do Primeiro Malware Para Dispositivos Móveis

mwc_10years_tube_map_infographic.png

Figura. Uma breve história de malwares para dispositivos móveis.

 

O ano de 2014 marca o décimo aniversário da criação do primeiro malware para dispositivos móveis. Tudo começou em 2004, quando a primeira variante do SymbOS.Cabir foi submetida para os pesquisadores de segurança. A análise revelou que o worm tinha como alvo o Symbian OS, um sistema operacional bastante popular para dispositivos móveis naquela época.

Telefones infectados se utilizavam do Bluetooth para pesquisar outros dispositivos próximos que estivessem com o modo de descoberta ativado e então tentava se disseminar para o outro aparelho. O usuário tinha que aceitar a transferência do arquivo e também o processo de instalação antes do malware infectar efetivamente o dispositivo. Essa característica limitou a proliferação do vírus, já que a vítima deveria estar no raio de alcance do Bluetooth e também autorizar o processo de cópia e instalação.

Mas este foi apenas o começo. Várias outras variantes do Cabir apareceram com diferentes modificações. Algumas dessas variantes tinham como objetivo o roubo de informações como os contatos do celular enquanto outras tinham uma atuação mais parecida com um vírus clássico, infectando outros arquivos locais.

Poucos meses depois, uma versão modificada de um jogo chamado Mosquito apareceu na Internet. Junto com o jogo, que era bastante popular, essa versão modificada também trazia o trojan Trojan.Mos, que enviaria mensagens de texto (SMS) em segundo plano para números de serviços pagos, acarretando gastos para o proprietário do dispositivo. Esse foi o primeiro caso amplamente visto em dispositivos móveis de um malware com finalidade de lucro financeiro.

A mesma tática vem sendo utilizada nos dias de hoje em centenas de jogos para a plataforma Android, que depois de instalados, enviam mensagens de texto e consomem tráfego de Internet no celular.

Logo após o Mosquito, apareceram as primeiras versões do Skull. A ameaça recebeu esse nome porque uma de suas características era substituir o ícone da maioria das aplicações pela imagem de uma caveira. O malware também substituiu arquivos de sistema e de aplicativos por lixo, impossibilitando o seu funcionamento correto, tornando o telefone quase inutilizável. Para a nossa sorte, naquela época a categoria ransomware não era popular, caso contrário nós veríamos o malware tentando sequestrar as informações do usuário dentro do próprio dispositivo.

Isso mudou em 2013 quando nós vimos as primeiras amostras desse tipo de software malicioso também para dispositivos móveis. Essas ameaças focam mais em manter o telefone refém ao invés dos próprios dados, já que sincronizações das informações dos dispositivos são frequentes e cópias de segurança são realizadas regularmente para ambientes cloud.

Em 2005, o SymbOS.CommWarrior.A entrou em cena. Ele estendeu o vetor de propagação para incluir o envio de mensagens MMS para vários números da lista de contatos. Esse malware teve bastante êxito em sua tarefa e variantes do CommWarrior foram vistas em redes de dispositivos móveis por anos. Em 2006, o Trojan.RedBrowser.A estendeu para outros sistemas operacionais as ameaças que enviam mensagens de texto para números de serviços pagos, sistemas esses que suportavam a plataforma JME. Esse foi o primeiro Trojan para JME com a capacidade de infectar diferentes plataformas para dispositivos móveis.

Dentro de um ano os dispositivos móveis tiveram que lidar com malwares muito similares àqueles encontrados em computadores tradicionais, incluindo worms, Trojans para roubo de dados e com fins lucrativos, e vírus que infectavam outros arquivos. Se isso não fosse suficiente, a ascensão das categorias adware e spyware não passaram desapercebidas nos dispositivos móveis. O Spyware.FlyxiSpy, lançado em 2006, foi comercializado e teve muito sucesso em monitorar atividades de um dispositivo móvel. Uma vez instalado, ele monitorava detalhes de ligações telefônicas e mensagens de texto SMS e enviava as informações para um servidor remoto. O malware foi anunciado como a melhor solução para pessoas que queriam monitorar seus cônjuges. Ameaças similares seguiram e evoluíram nesse mesmo caminho, permitindo o monitoramento de todos os passos do usuário.

Com muitos bancos online passando a utilizar mensagens de texto SMS em seus métodos de verificação de transações, os criminosos também seguiram o mesmo rumo. Como resultado, em 2010, autores de códigos maliciosos introduziram o SymbOS.ZeusMitmo, uma ameaça capaz de encaminhar mensagens de texto de transações bancárias dos dispositivos comprometidos para os criminosos. Isso permitiu que eles continuassem a cometer suas fraudes bancárias online. A idéia foi tão bem-sucedida que, em pouco tempo, surgiram vários malwares com o propósito de explorar serviços de transações de bancos online, para diversas plataformas móveis, exceto para iOS.

Quando o Android se tornou a maior plataforma de dispositivos móveis em 2011, os criadores de malwares começaram a tomar ciência disso. O método preferido de vetor de distribuição para os ataques se tornaram aplicativos com Trojans, usando algumas técnicas de engenharia social para torná-los mais atraentes. Por exemplo, o Android.Geinimi foi um dos primeiros bots de sucesso para dispositivos móveis, disfarçado como uma aplicação real. Desde então botnets para dispositivos móveis tem se tornado popular e são usadas em sua maioria para fraudes, entre outros tipos de ataques.

O Android.Rootcager chegou no mesmo ano e foi a primeira ameaça para a plataforma Android a usar um exploit para elevar os privilégios do usuário. Isso também reforça uma das poucas diferenças entre malwares para dispositivos móveis e ameaças para desktops tradicionais. Em computadores Windows geralmente vemos malwares que usam um exploit para se auto-instalar no computador comprometido. De fato, websites com código malicioso que enviam informações para o dispositivo comprometido tem se tornado o vetor mais utilizado. Entretanto, em dispositivos móveis, esse tipo de técnica acontece muito raramente. Na maioria das vezes, o usuário continua sendo enganado a instalar um aplicativo que aparentemente é bom quando na verdade não é.

Isso não quer dizer que não existam vulnerabilidades em sistemas operacionais para dispositivos móveis – atualmente existem algumas poucas – mas sim que os criminosos ainda não acharam necessário usar esse tipo de porta de entrada para um ataque. Em 2010, um website especializado em jailbreak de iPhone demonstrou como essa forma de ataque poderia ser utilizada. O site aproveitou uma vulnerabilidade no tratamento de fontes de documentos PDF para instalar programas impróprios. Desde então os fabricantes de sistemas operacionais para dispositivos móveis atualizaram e melhoraram sua segurança, tornando mais difícil para um malware fazer uso de vulnerabilidades.

Nos últimos dois anos temos visto um maior crescimento de Trojans e adwares que estão focando em dispositivos móveis, principalmente na plataforma Android. Até mesmo ataques direcionados agora fazem uso de ameaças móveis com o propósito de espionar esses dispositivos. Considerando isso, malwares para dispositivos móveis se tornaram ameaças reais que precisam de maior atenção porque ainda estão em uso. De fato estamos nos aproximando do momento que veremos o próximo passo da evolução das ameaças para dispositivos móveis, especialmente agora que os dispositivos se tornaram componentes importantes para identificação e soluções de pagamento.

????????? 10 ????

      No Comments on ????????? 10 ????
mwc_10years_tube_map_infographic.png
図. モバイルマルウェアの歴史
 
2014 年は、モバイルマルウェアが登場してから 10 年目に当たります。2004 年に SymbOS.Cabir の最初の亜種がセキュリティ研究者の元に届けられたのがすべての始まりです。解析の結果、このワームは Symbian OS を標的にすることが判明しました。Symbian は、当時非常に人気を博していたオペレーティングシステムです。SymbOS.Cabir に感染した携帯電話は、付近で検出モードになっている Bluetooth 対応デバイスを探し、見つかったデバイスにそのワームを送り付けようとします。ユーザーが手動でファイル転送とインストールを承認しない限り、SymbOS.Cabir はデバイスに感染できませんでした。デバイスが近距離になければ被害は発生せず、ワームとのやり取りも必要だったため、ワームの拡散は限られていましたが、これはほんの始まりに過ぎませんでした。異なる変更が加えられた Cabir の亜種が出回るようになり、電話帳情報などのデータを盗み出す亜種や、従来型のウイルスのように動作してローカルファイルに感染する亜種も現れたのです。
 
その数カ月後には、Mosquito というゲームをクラックしたバージョンがインターネット上に登場しました。この人気ゲームとともにパッケージに含まれる Trojan.Mos が、バックグラウンドでプレミアムテキストメッセージを送信する仕組みで、金銭的な儲けに特化したモバイルマルウェアが広く確認された最初のケースです。今でも、トロイの木馬が仕掛けられた何百という Android 用ゲームで同様の手口が使われており、インストールすると高額のテキストメッセージが送信されます。Trojan.Mos のすぐ後には、Skull の最初のバージョンが出現しました。Skull というのは、メインのペイロードにちなんだ命名で、ほとんどのアプリのアイコンがガイコツの画像に置き換えられたからです。また、システムファイルやアプリファイルも置き換えられたため、ファイルの機能が無効になり、携帯電話はほぼ使用不能に陥りました。幸いなことに、この当時ランサムウェアはまだ一般的ではありませんでしたが、そうでなければ、ユーザーのデータやモバイルデバイスそのものを人質に取ろうとするマルウェアも出現していたに違いありません。その状況が変わったのは、2013 年にモバイルデバイスを狙うランサムウェアの最初のサンプルが確認されたときのことです。ランサムウェアでは、データではなく携帯電話そのものを人質に取ることに主眼が移っています。デバイスが頻繁に同期され、データは自動的にクラウドにアップロードされるようになって、ユーザーにとってバックアップの利便性が高まったためです。
 
2005 年になると SymbOS.CommWarrior.A が登場し、連絡先に載っている番号に次々と MMS メッセージを送信するなど、感染経路が広がりました。このマルウェアは大きな成功を収め、CommWarrior という亜種はその後何年間も携帯電話のネットワークにはびこっています。2006 年に現れた Trojan.RedBrowser.A は、プレミアムテキストメッセージを他のオペレーティングシステムに送信するという形で脅威の範囲を広げました。これが、J2ME を標的とし、複数の携帯電話プラットフォームに感染する最初のトロイの木馬でした。
 
それから 1 年も経たないうちに、モバイルデバイスは PC を狙う定番マルウェアと似たようなマルウェアへの対処を迫られるようになります。ワーム、データの窃盗や金銭を狙うトロイの木馬、他のファイルに感染するウイルスなどです。それだけでなく、アドウェアやスパイウェアの流行も携帯電話を見逃しはしませんでした。2006 年にリリースされた販売向けの Spyware.FlyxiSpy は、侵入したモバイルデバイスのあらゆる活動を監視することに大きく成功します。配偶者のデバイスを盗み見たいユーザーにとってのベストソリューションとまで宣伝されるほどでした。類似の脅威がそれに続き、あらゆる操作を追跡できる進化形も現れました。
 
オンラインバンクの多くが帯域外の SMS 送信による認証方式を採用するようになると、犯罪者もそれに追随しました。その結果 2010 年に登場したのが SymbOS.ZeusMitmo です。侵入先のモバイルデバイスから、銀行口座の取引情報をテキストメッセージで攻撃者に転送する機能があったため、攻撃者はそれを利用してオンラインバンキング詐欺を実行し続けることができました。これも大きな成果を上げたため、iOS を除く主要なモバイル OS のすべてに、オンラインバンキングサービスを標的とするモバイルマルウェアが出現しました。
 
2011 年、Android が最大の携帯電話プラットフォームになると、マルウェアの作成者もそれに注目するようになります。攻撃者は、トロイの木馬を仕掛けたアプリを拡散経路として選び、ソーシャルエンジニアリングの技術を駆使してユーザーがそれをインストールするように誘導を試みます。たとえば、Android.Geinimi はモバイルデバイス向けのボットとして早期に成功した例ですが、実用的なアプリに偽装していました。それ以来、モバイルボットネットは広がり続け、クリック詐欺やプレミアムテキストメッセージ詐欺にもたびたび使われるようになっています。
 
Android.Rootcager が登場したのも同じ 2011 年のことで、これは悪用コードを利用して特権を昇格する最初の Android マルウェアです。モバイルマルウェアと PC 向けマルウェアとの違いは少なくなりましたが、そのひとつを備えているのが Android.Rootcager です。Windows コンピュータでは、悪用コードを使って自身を侵入先のコンピュータにインストールするマルウェアは珍しくありません。実際、悪質な Web サイトによるドライブバイダウンロード型の感染は、感染経路のトップになっています。一方で、携帯電話でドライブバイダウンロードが見られるのはごくまれであり、ほとんどの場合、アプリそのものをインストールさせるにはユーザーを欺く必要があります。ただし、モバイル OS に脆弱性が皆無ということではありません。脆弱性は実際に多く存在しますが、攻撃者が脆弱性の悪用をまだそれほど必要と思っていないだけのことです。2010 年には、iPhone のジェイルブレイクを扱う Web サイトで、脆弱性を悪用した攻撃がどのように行われるか実証されました。このサイトは、PDF のフォント解析に存在する脆弱性を悪用して、秘かにカスタムのソフトウェアをインストールしていました。その後、すべてのモバイル OS でセキュリティが強化されたため、マルウェアによる脆弱性の悪用はさらに難易度が高くなっています。
 
過去 2 年間では、モバイルデバイスを狙うトロイの木馬とアドウェアの顕著な進歩が確認されていますが、これは主に Android 携帯が中心です。今では、標的型攻撃でも、スパイ活動の目的にモバイルマルウェアが使われるようになっています。こうした傾向を考えると、モバイルマルウェアはすでに現実的な脅威となっており、まだ今後もさらに警戒が必要です。実際、将来的に携帯電話が本人確認のためのトークンや決済手段として使われるようになれば、モバイルの脅威は遠からず新たな進化を遂げるだろうと思われます。
 
今後も、不明なソースからアプリをインストールしないよう警戒を怠らず、強力なパスワードを使ってデバイスやサービスを保護することをお勧めします。シマンテックは、モバイルデバイスでこうした脅威を遮断する各種のセキュリティ製品を提供しており、次世代の保護対策をお届けするために常に努力を続けています。
 
 
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

The Tenth Anniversary of Mobile Malware

      No Comments on The Tenth Anniversary of Mobile Malware
mwc_10years_tube_map_infographic.png
Figure. A brief history of mobile malware
 
2014 marks the tenth anniversary of mobile malware. It all began in 2004, when the first variant of SymbOS.Cabir was submitted to security researchers. The analysis revealed that this worm targeted Symbian OS, which was a very popular mobile operating system at the time. Infected phones would search for nearby Bluetooth devices that had activated discovery mode and then the worm would try to push itself onto them. The user had to manually accept the file transfer and also had to agree to the worm’s installation before the malware could infect the device. This limited the spread of the worm, as the victim had to be in close proximity to devices and needed to interact with the worm. But this was only the beginning. Several variants of Cabir appeared in the wild with different modifications. Some variants stole data, such as phonebook details, and other samples acted as a classic virus and infected local files. 
 
A few months later, a cracked version of a game called Mosquito appeared on the Internet. Along with the popular game, the package contained Trojan.Mos, which would send premium text messages in the background. This was the first widely seen case of mobile malware with a focus on monetary profit. Today, the same tactic is used on hundreds of Trojanized Android games, which will send expensive text messages after installation. Soon after Mosquito, the first versions of Skull appeared. The threat was named after its main payload, as the malware replaced the icons of most applications with an image of a skull. It also replaced system and application files with garbage, disabling their functionality and rendering the phone nearly unusable. Luckily at that time, ransomware was not yet popular, or else we probably would have seen the malware trying to hold the user’s data or the mobile device itself hostage. This changed in 2013 when we saw the first ransomware samples hitting mobile devices. These threats focus more on holding the phone hostage instead of the data, as frequent device synchronization and automatic data uploads to the cloud provide a better backup utilization for the users.  
 
In 2005, SymbOS.CommWarrior.A entered the scene. It extended the propagation vector to include sending MMS messages to various numbers in the contacts book. This malware was very successful and CommWarrior variants have been floating around mobile phone networks for years. In 2006, Trojan.RedBrowser.A extended threats that send premium text messages to other operating systems. This was the first Trojan for J2ME that could infect different mobile phone platforms.
 
Within a year, mobile devices had to deal with malware that was similar to established malware on desktop computers, including worms, data-stealing and profit-making Trojans, and viruses that infect other files. If this wasn’t enough, the rise of adware and spyware did not bypass mobile phones. The commercial Spyware.FlyxiSpy, which was released in 2006, was very successful at monitoring all of the compromised mobile device’s activity. The malware was advertised as the best solution for people who wanted to spy on their spouses. Similar threats followed and evolved further, allowing the user’s every step to be tracked.
 
With many online banks moving to out-of-band SMS transaction verification methods, the criminals had to follow as well. As a result, in 2010, attackers introduced SymbOS.ZeusMitmo, a threat that was capable of forwarding bank account transaction text messages from the compromised mobile device to the attackers. This allowed attackers to continue to commit online banking fraud. The idea was so successful that soon, mobile malware targeting online banking services appeared for all the major phone operating systems except iOS.
 
When Android became the biggest mobile phone platform in 2011, malware authors began to take notice. The attackers’ distribution vector of choice is through Trojanized applications and they use some social engineering techniques to make them more palatable. For example, Android.Geinimi was an early, successful bot for mobile devices disguised as a useful app. Mobile botnets have since become popular and are often used for click-fraud and premium text message scams.
 
Android.Rootcager arrived in the same year and was the first Android threat to use an exploit to elevate its privileges. This also marks one of the few differences between mobile malware and desktop computer threats. On Windows computers, we often see malware that uses an exploit to install itself on the compromised computer. In fact, drive-by-download infections from malicious websites have become the top infection vector. However, on mobile phones, drive-by-downloads happen very rarely. Most of the time, users still have to be tricked into installing the application themselves. It’s not that there are no vulnerabilities for mobile operating systems — there are actually quite a few, it’s just that attackers have not found it necessary to use them yet. In 2010, an iPhone jailbreak website demonstrated how this form of attack could work. The site took advantage of a PDF font-parsing vulnerability to install custom software on the fly. Since then, all mobile phone operating systems have upgraded their security, making it harder for malware to misuse vulnerabilities.
 
In the last two years, we have seen major growth from Trojans and adware targeting mobile devices, mainly focusing on Android phones. Even targeted attacks now make use of mobile threats for spying purposes. Considering this boom, mobile malware has become a real threat that needs greater attention because it isn’t over yet. In fact, we are likely to see the next evolution of mobile threats soon, especially as mobile phones become identification tokens and payment solutions in the future. 
 
Symantec recommends that users remain vigilant when installing applications from any unknown sources. Use strong passwords to protect your device and services. Symantec offers various security products for mobile devices that block these threats and we are constantly working on delivering the next level of protection.

More Than 30% of People Don’t Password Protect Their Mobile Devices

Are you guilty as charged? Whenever I bring this up in a group setting, it astonishes me how many people raise their hands. I wonder if they realize that they are putting all the personal information contained on their mobile device at risk. The unfortunate reality is that everyone loses things, and our devices can Read more…

MWC 2013: What’s the Hot Ticket?

      No Comments on MWC 2013: What’s the Hot Ticket?

Mobile World Congress, or MWC to the veterans, has arrived once again. We’ve been busy preparing for this event for the past couple of months, and now that we’re here, we’re faced with sleep deprivation, increased caffeine intake, and indecision as to whether or not we’ll need a sweater in the confusing Barcelona climate.  Nevertheless, Read more…

Risky Mobile Applications Plague Users

      No Comments on Risky Mobile Applications Plague Users

Once you own a smartphone or tablet, you are not likely to give it up. But it is essential that you can understand where the risks are and steer around them as you enjoy your mobile digital life. With the growth in mobile exploding, it is only natural for cybercriminals to move towards that device Read more…

Get Smart?Lock Down Your Apps

      No Comments on Get Smart?Lock Down Your Apps

Apps are what make smartphones smart. Without apps, smartphones would just be regular feature phones. Apps are what make our smartphones into our most personal computers. And like our computers, we need to protect our smartphones and apps. Some of the most commonly used apps on the Android platform such as Facebook, LinkedIn and Gmail Read more…

What’s on Your Phone? A Lot More than You Realize.

It’s funny to me that when having conversations about technology people still don’t see the parallel between their smartphone and their computer. Today, smartphone are connected to the Internet and have much of the same information as the personal computer, if not more. Now Androids and other smartphones have become little mini handheld computers. Carriers Read more…