Video: Android.Elite (Вредоносная программа для Андроид) (Oktober 2024)
Mobilsikkerhetsselskapet Lookout ga i dag ut en rapport på DefCon som avslører den fantastiske størrelsen, omfanget og kompleksiteten til malware-operasjoner til Android i Russland. Rapporten fant at hoveddelen av denne russiske skadelige programvaren ikke kom fra ensomme individer i kjellere, men veloljet maskinvare som produserer skadelig programvare.
I en tale med SecurityWatch forklarte seniorforsker og responsingeniør Ryan Smith at Lookouts interesse var vekket da de la merke til at SMS-svindel malware fra Russland utgjorde hele 30 prosent av all skadelig programvare selskapet oppdaget. I løpet av et halvt år avdekket selskapet en hytteindustri som hadde vokst opp rundt å produsere og distribuere malware til Android.
Svindelen
Lookout oppdaget at 10 organisasjoner er ansvarlige for omtrent 60 prosent av den russiske SMS-malware der ute. Disse var sentrert rundt "Malware HQs" som faktisk produserer skadelige apper. Når de er lastet ned, bruker disse appene sms-koder som fakturerer ofre via sin trådløse operatør. I USA ser vi ofte at disse er knyttet til veldedige organisasjoner som Røde Kors.
Slik fungerer svindelen: Malware HQ lager ondsinnede applikasjoner som kan konfigureres til å se ut som omtrent hva som helst. De registrerer og vedlikeholder også kortnummerene med trådløse transportører. Tilknyttede selskaper, eller personer som jobber på vegne av Malware HQ, tilpasser skadelig programvare i og markedsfører den gjennom sine nettsteder og sosiale medier.
Ofre finner tilknyttet nettside eller sosiale medier spam og laster ned skadelige applikasjoner. Når skadet er på offerets Android-enhet, sender malware en eller flere premium SMS-meldinger - koster vanligvis offeret mellom $ 3 og $ 20 USD.
Fordi Malware HQ eier kortnummerene, får de pengene fra offerets transportør. De tar et kutt, og gir resten til de tilknyttede selskapene, som tilsynelatende blir betalt som normale ansatte basert på ytelsen. Smith sier at Lookout observerte noen tilknyttede selskaper som tjente $ 12.000 USD i måneden i over fem måneder, og antydet at dette er en lukrativ og stabil "virksomhet."
Stort i skala og kompleksitet
Det er en ganske grei svindel, og sannsynligvis den mest direkte måten å tjene penger med Android-malware. Det som gjør Lookouts oppdagelse bemerkelsesverdig er størrelsen og den rare selskapets karakter av operasjonene.
Malware HQ, for eksempel, har gjort det forbausende enkelt å tilknyttede selskaper å tilpasse skadelig programvare. Smith sa at Malware HQ produserte flere temaer for å gjøre det enkelt for tilknyttede selskaper å tilpasse skadelig programvare. "De kan få det til å se ut som Skype, Google Play, hva som helst for å lokke en bruker til å laste ned det og tro at det er ekte, " sa Smith.
Smith sa at malware HQ-organisasjoner også presser ut oppdateringer og ny kode hver en til to uke "som enhver annen smidig oppstart." Mange av disse oppdateringene ble designet spesielt for å unngå sikkerhetsselskaper, til og med å gå så langt som å "kryptere deler av programmet som er dekryptert før de brukes."
På den andre siden av operasjonen er tilknyttede selskaper sterkt engasjert i arbeidet sitt, men også ustabile. Det er, sa Smith, fora og nettsteder der tilknyttede selskaper sammenligner driften av forskjellige Malware HQs. Selv om regelmessigheten av betalingen var et stort problem, var kundeservice - egentlig teknisk support - tilknyttet - avgjørende. Hvis tilknyttede selskaper er lite fornøyd med et bestemt Malware-hovedkvarter, vil de migrere til et annet.
Malware-hovedkvarterene går ut av deres måte å gjøre tilknyttede selskaper også vellykket. Smith sier ringlederne ville motivere tilknyttede selskaper med pengepremier for høy ytelse - noen så store som $ 300.000 dollar. De opprettet til og med annonseringsplattformer for tilknyttede selskaper for å gi bedre informasjon om hvilke svindelene som hadde bedre resultater i hvilke regioner.
Sølvforet
Selv om det er skremmende å se kriminalitet utført i så stor skala, og med alle feller av normalitet, er det noen gode nyheter her. Lesere i USA kan hvile lett, siden de fleste av disse svindelene bruker spesifikke korte koder som ikke fungerer utenfor Russland og de omkringliggende landene.
Enda viktigere, forklarte Smith at ved å avdekke hele omfanget av denne svindelen, kan de gi bedre beskyttelse. "Vi er nå i stand til å knytte oss til distribusjonen deres, " sa Smith. Selskapet kan nå tilsynelatende blokkere mer enn bare koden - som ofte endres - men også sjekke ut servere, IP-adresser og andre markører.
Dette vil ikke stoppe svindlerne direkte. Tross alt, hvis de er smarte nok til å endre koden sin, er de smarte nok til å vite at sikkerhetsselskapene er opptatt av dem. Likevel sier Smith at dette kan være en seier på lang sikt: "For å gjøre endringene de trenger å gjøre, vil det koste dem."
Og vi vet at det å gå etter lommeboken er en fin måte å bekjempe skadelig programvare.
Klikk for å se hele bildet
