В данной статье мы не хотим приводить различные описания семейств троянских программ под Android и графики их распространения из месяца в месяц. Найти такую информацию не составляет большого труда, и почти всегда это будут графики роста. Подобную статистику детектов лучше смотреть у разных антивирусных производителей. Мы же в этот раз постараемся рассказать, как сейчас зарабатывают на таких сетях, как менялись тенденции такого «бизнеса», а также дадим прогнозы того, что нас может ждать ближайшем будущем.
Способы распространения
Серая монетизация мобильного трафика в абсолютном большинстве случаев подразумевает сотрудничество веб-мастеров с партнерскими программами, предоставляющими услуги «конвертации мобильного трафика». В этом случае клиент партнерской программы в результате продажи собственного или арбитражного трафика получает доход от «серых» J2ME-мидлетов/Android приложений. Спектр содержимого таких мидлетов очень велик и знаком каждому более или менее активному пользователю сети — диеты, эротическое содержимое, гороскопы, игры и т.д. В результате установки и запуска приложения на мобильное устройство владельцу демонстрируются «условия подписки», часто замаскированные под элементы интерфейса приложения. Результат соглашения с условиями всегда одинаков: «Отправьте SMS-сообщение на платный короткий номер».
Партнерские программы
Полученные деньги, за вычетом комиссии партнерской программы, переводятся веб-мастеру. Подобные партнерские программы всегда направлены на создание бот-сетей, массово осуществляющих отправку платных SMS. Однако, за редким исключением, они не реализуют и другие векторы атаки — шпионаж за пользователем, перехват SMS от банковских учреждений и т.п.
Чаще всего вышеописанные партнерские программы стараются не выходить за рамки правового поля, оставаясь со стабильным «серым» заработком (подробнее об этом мы расскажем в подразделе «Лучший способ монетизации»). Впрочем, на сегодняшний день уже известны случаи, когда партнерская программа устанавливала на телефон жертвы троян, downloader и прочее вредоносное ПО.
Поддельный магазин Google Play Store
Другим способом «доставки» мобильных троянов является копирование страницы популярной игры в Google Play Store и замена ссылки на скачивание собственным URL. На рисунке ниже показан пример такого поддельного маркета. Используемое при этом доменное имя подражает настоящему – для неподготовленного пользователя разница незаметна.
SMS/MMS спам
Однако, основным способом распространения вредоносного программного обеспечения для мобильных платформ, по-прежнему является SMS-спам. Здесь стоит отметить крайнюю простоту реализации отправки SMS. За небольшую сумму (в основном, в пределах 0,7 руб. за SMS на телефоны ведущих операторов сотовой связи, со значительным снижением цены при повышении объема рассылок) можно отправлять SMS на нужные номера телефонов с произвольным текстом и подменой номера. Обычно, SMS-шлюзы не разрешают отправку спам-сообщений, но в сети есть десятки сервисов, предлагающих отправку любых SMS, даже с «черным» содержимым (например, ссылкой на вредоносное ПО).
На рисунке ниже показано одно из объявлений по продаже такой услуги.
В результате проведенных спам-рассылок (самостоятельно через SMS-шлюз, либо с использованием услуг сторонних лиц) потенциальным жертвам присылаются сообщения со ссылками на скачивание вредоносной программы. Очень часто используется социальная инженерия – «Вам пришло MMS. Просмотр – http://адрес_вредоносного_ресурса.com».
В сентябре 2013 года был описан мобильный троян Backdoor.AndroidOS.Obad.a, использующий неизвестную ранее уязвимость в Android. Особый интерес представляет способ распространения данной вредоносной программы – в результате обычного SMS-спама жертва устанавливает себе вредоносную программу Trojan-SMS.AndroidOS.Opfake, которая по команде злоумышленников начинает рассылать SMS-сообщения со ссылками для скачивания уже другой вредоносной программы Backdoor.AndroidOS.Obad.a по контактам из адресной книги. Таким образом, у потенциальных жертв повышается уровень доверия к присланным ссылкам – ведь они приходят со знакомых номеров телефона.
Что дальше? Прогнозы
Описанные выше способы распространения вредоносного ПО не отличаются и для распространения троянов на ПК. При этом стоит отметить, что распространение вредоносов через спам на мобильные устройства сейчас на пике популярности, а вот аналогичный способ распространения через email-спам на ПК встречается все реже. Можно сказать, что история методов распространения на мобильные устройства полностью повторяет историю распространения на ПК. Исходя из этого, можно предположить, что по мере распространения мобильных устройств будет широко использоваться метод перенаправления мобильного трафика на наборы (связки) эксплойтов. Например, при посещении очередного скомпрометированного популярного новостного ресурса, кроме новостей посетители таких сайтов будут получать и трояна, использующего уязвимое программное обеспечение. И именно этот способ может вытеснить все остальные способы распространения по своим объемам.
Лучший способ монетизации
Что было раньше?
Изучая вопрос, сколько дохода может приносить монетизация мобильного трафика с использованием «серых» партнерских программ, мы проанализировали несколько бот-сетей, построенных в рамках участия в таких партнерских программах и посмотрели? куда они отправляют SMS и в каких количествах.
Результаты анализа показаны в таблице ниже.
№ бот-сети | Период работы | Количество уникальных IMEI | Количество SMS, отправленных на платные короткие номера | Общий доход |
1 | 7 дней | 6160 | 11 346 | 401 648 р. |
2 | 8 дней | 197 | 389 | 7954 р. |
3 | 22 дня | 5009 | 11 511 | 611 234 р. |
Мобильные устройства в бот-сетях отправляли смс на платные короткие номера 3150, 6150, 8055, 1141, 8455, 7517, 5556. Учитывая комиссию оператора сотовой связи (около 50% от стоимости платного сообщения) и другие комиссии (контент-провайдер, партнерская программа) и взяв размер комиссии за 60% от стоимости, видно, что для трех бот-сетей размер суточного заработка лиц, сотрудничающих с партнерскими программами, составляет 22951, 397 и 11113 рубля в день.
Известно, что заработок с использованием таких методов со временем начинает приносить все меньше дохода, так как, во-первых, ужесточаются условия работы контент-провайдеров, а во-вторых, различными компаниями проводятся мероприятия по повышению информационной грамотности клиентов операторов сотовой связи.
Учитывая снижение доходов от такой деятельности, люди, умеющие управлять мобильными бот-сетями, в настоящее время находятся в поисках новых способов заработка.
Текущая действительность
Первая явная попытка на российском рынке совершать хищения с банковских счетов, используя Android-троянов была зафиксирована 11 декабря 2012 года, когда в Google Play Market были обнаружены приложения, нацеленные непосредственно на пользователей банковского сектора – клиентов «Сбербанка» и «Альфа-банка». Стоит отметить, что такая схема практикуется уже несколько лет на клиентах зарубежных банков.
Подобные приложения осуществляют перехват полученных от банков SMS-сообщений и перенаправляют их злоумышленнику. Такие приложения использовались в связке с вредоносным программным обеспечением, которое уже было установлено на компьютерах жертв, а именно, закрытая версия Carberp. Для того, чтобы вынудить пользователя банка установить трояна на свой телефон троян на компьютере блокировал работу с интернет-банкингом и для продолжения требовал указать номер телефона. Когда пользователь указывал номер телефона, ему приходило SMS с рекомендацией установить специальное приложение для «безопасного получения SMS от банка». В результате злоумышленник контролировал и компьютер и телефон жертвы.
Снимок экрана панели управления бот-сети с перехваченными сообщениями от банка показан ниже.
В начале 2013 года был написан нашумевший Perkele – вредоносное программное обеспечение для мобильных устройств. Троян использовался для совершения хищений в банках Австралии, Австрии, Великобритании, Испании, Сингапуре, Германии, Индии, Швейцарии, Турции, Новой Зеландии, Франции и Италии, а его стоимость за полный комплект составляла всего лишь 15 000 долларов.
В настоящее время его дальнейшая разработка прекращена, но уже сейчас большинство злоумышленников, разрабатывающих вредоносное программное обеспечение для хищения денежных средств в системах ДБО (дистанционного банковского обслуживания) заявляет о поддержке в своих приложениях инжектов Perkele и ему подобных программ.
В конце лета 2013 года был обнаружен ботнет, использующий функции технологии мобильной коммерции (так называемый «мобильный платеж»), в своих целях. Общая схема по работе такой бот-сети такова.
- Злоумышленник распространял своего трояна с помощью SMS-рассылок на мобильные телефоны по базам сотовых операторов.
- Установленные трояны перехватывали все SMS и отправляли их на сервер злоумышленника.
- На своем сервер злоумышленник искал сообщения показывающие, что у клиента есть карта или счет в банке привязанный к этому номеру телефона. Сделать это не сложно, поскольку большинство банков отправляют SMS уведомления, которые и искал злоумышленник.
- Как только злоумышленник находил такой номер телефона, то он отправляя специальные SMS-команды переводил деньги со счета жертвы на телефон жертвы, при этом все уведомления от банка просто скрывались трояном на телефоне.
- Ну и на последнем шаге, с помощью тех же СМС, злоумышленник переводил деньги с баланса пополненного телефона жертвы на другие номера или электронные кошельки.
Схема оказалась очень простой и не требовала ничего сложного. Всем этим функционалом обладают трояны, которые ранее использовались для отправки SMS на премиум номера. Пример перехваченных сообщений от банка показан на рисунке ниже.
Основную часть этой бот-сети составляли мобильные телефоны из России.
Все, что было описано выше, связано с особенностями мобильной платформы, но злоумышленники не забыли и про старый добрый фишинг. Теперь, когда пользователь пытается запустить на Android банковское приложение своего любимого банка, троян просто подменяет открываемое окно на фишинговое, где требует ввести логин и пароль для доступа к интернет-банкингу, а доступ к SMS у мошенника уже есть.
Но и это не все, чем можно поживится на мобильном устройстве. Кроме бесплатных приложений в Google Play есть и платные. Для их покупки необходима пластиковая карта. Именно поэтому с таким трояном, после того как вы попробуете войти в Google Play, с вас потребуют указать данные карты, которые немедленно будут отправлены злоумышленнику.
Также неплохо можно зарабатывать на промышленном шпионаже. Одной из важной составляющей такой работы является прослушка телефонных переговоров и чтение переписки. Об этой угрозе говорят уже достаточно давно. Мы решили показать, как это выглядит со стороны злоумышленника. Если посмотреть на изображение, то можно увидеть какие команды можно дать боту. Среди команд есть: начать запись звонков, получить все изображения с телефона и контакт-лист. И как можно заметить на некоторых устройствах запись телефонных переговоров включена.
Что нас ждет дальше?
Принято считать, что 2013 год был лишь годом «обкатывания» таких технологий разработки, и в будущем нас ожидает резкий всплеск подобных заражений и появление новых бот-сетей.
Уже сейчас на хак-форумах в сети можно найти объявления о продаже вредоносного программного обеспечения для мобильных платформ. Функционал таких троянов на порядок превышает предыдущие достижения вирусописателей: перехват произвольных входящих SMS-сообщений и их перенаправление, отправка SMS-сообщений на произвольный номер с последующим скрытием от владельца, переадресация звонков на любой номер, извлечение входящих и исходящих SMS и вызовов, контактов из адресной книги. Запись аудиофайла со встроенного микрофона/гарнитуры и отправка этого файла злоумышленнику расширяет возможности шпионажа за жертвой.
Кое-что насчет iOS
Ранее существовавший миф о том, что под OS X вирусы не пишут, уже успешно разрушен. Кто еще об этом не знает, может почитать о вредоносной программе Flashback, да и непродолжительный поиск в сети покажет вам и другие данные о вредоносных программах под Mac. Но вот, что касается iPhone, многие специалисты до сих пор утверждают, что таких вредоносных программы не существует, — этому способствует достаточно жесткая политика модерирования Apple Store, а также отсутствие возможности установки сторонних приложений. Что же, скажем сразу, что пока в нашу лабораторию не попало ни одного устройства с трояном под iPhone. Но вот результаты исследования бот-сетей дают совершенно другие результаты.
В июле Group-IB искали одного мошенника, который совершал хищения с использованием мобильных устройств. После того, как мы его нашли и собрали о нем дополнительную информацию, мы обнаружили, что еще в прошлом году, хвастаясь своими наработками под Android, он сообщил, что в начале 2013 года сделает программу и под iOS. Исследуя базу из его бот-сети, мы решили проверить нет ли в ней iPhone-ов. В самой базе бот-сети информация о платформе отсутствовала, однако, были IMEI-номера. Естественно, информацию о зараженных устройствах мы передали мобильным операторам и попросили проверить их по IMEI, нет ли среди этих устройств iPhone-ов. Результат оказался интересным. Из первой базы в 3000 устройств оказалось пять под управлением iOS.
Другой случай был уже в августе, когда мы проводили исследование для одного немецкого банка. Исследуя серверы управления атакующей их клиентов бот-сети в базе данных мы увидели, что троян собирает сведения и об устройстве на которые он был установлен. Как показано на рисунке ниже, кроме Android там присутствует и iPhone и WinMobile.
Перспективы использования мобильных бот-сетей
Целевые атаки
2013 год стал годом целевых атак на банки: деньги начали воровать не у клиентов банка, а у самого банка. Можно ожидать появление новых векторов подобных атак: практически любой троян под Android или аналогичную платформу умеет копировать SMS-сообщения и другую историю сообщений и передавать ее впоследствии злоумышленнику. Поиск среди такой переписки сообщений, которые указывали бы на причастность данного человека к какой-то крупной компании и ИТ-специалисту открывает возможность делать очень интересные вещи. В своей работе Group-IB в рамках услуги «социальный пентест» мы не раз демонстрировали, что если системный администратор получает указание в виде SMS-сообщения, якобы с телефона своего руководителя, то он, как правило, его выполняет. Например, можно отправить сообщение с просьбой прислать root пароль от нужного сервера по SMS. Когда у вас есть контроль над телефоном и список контактов, сделать это совсем не сложно. Сценариев использования телефонов можно придумать множество.
Вымогательство
Люди считают свой телефон надежным устройством для хранения самых разных тайн. И на телефонах можно найти множество сообщений, которые владелец никогда не захочет опубликовать, то есть, к примеру, фотографии интимного характера. Когда на вашем мобильном устройстве уже установлен троян, доступ к таким тайнам получается автоматически. В нашей практике есть множество случаев, когда у людей за сохранение в тайне подобной информации вымогали крупные суммы денег. К сожалению, в мире полно разного рода извращенцев и они станут целью номер один для подобного рода вымогателей. Как мы уже написали в предыдущих пунктах, злоумышленники уже изучают SMS-сообщения для проведения атак. Соответственно, когда злоумышленники среди сообщений на телефоне найдут что-то указывающее на «нездоровую» активность, они достанут и фотографии, и другую информацию, доказывающую это, и наверняка захотят заработать на ней.
Партнерки и бот-сети для обнала
Всем давно известно, что когда идет речь о хищениях небольших сумм у физических или юридических лиц, то использование для обналичивания мобильных кошельков уже совсем не редкость. Мобильные операторы и платежные системы, такие как QIWI, неплохо борются с мошенничеством и достаточно быстро обнаруживают мошенничество со своими кошельками, в том числе, используемыми для обналичивания, чем значительно усложняют жизнь мошенникам, которые успешно выводят деньги, но не могут их обналичить. Обнаруживать такие кошельки не очень сложно, особое внимание привлекают свежезарегистрированные кошельки, кошельки без нормальной истории транзакций или управляемые с иностранных IP-адресов. Теперь представим ситуацию, когда для обналичивания используются уже имеющие долгую положительную историю кошельки, а управление кошельками осуществляется с мобильного устройства владельца. Где же взять такие кошельки? А теперь представим себе небольшую бот-сеть всего лишь на 10 000 устройств. Это означает, что каждое такое устройство – это, как минимум, один электронный кошелек. Один от мобильного оператора, а второй — подключенный QIWI-кошелек или другой аналог. И вот уже использование подобных кошельков для обналичивания должно значительно повысить эффективность или процент успешного обналичивания денег. При этом, использование большого количества кошельков позволит делать длинные цепочки для обналичивания, что тоже усложнит жизнь как для банков с целью остановить вывод денег, так и для правоохранительных органов при расследовании. Поэтому мобильные бот-сети могут вывести на рынок новую услугу — обналичивание через мобильную бот-сеть. А чтобы снизить издержки на обналичивание и поддержание такой бот-сети, мошенники могут организовать и партнерскую программу для этих целей, по аналогии с партнерскими программами по SMS-подпискам.
Полноценный банковский троян
Сейчас трояны под мобильные платформы имеют богатый функционал, однако, многие из них специфичны именно для мобильных платформ. Но уже сейчас мы замечаем, что некоторые банковские мобильные трояны при открытии банковского сайта с телефона или планшета начали перенаправлять запросы на фишинговые ресурсы, как это уже давно делается на обычных компьютерах. Безусловно, большое проникновение смартфонов и планшетов, а также более активное их использование при работе с банковскими услугами приведет к тому, что скоро на мобильных платформах появятся полноценные банковские трояны, как для ПК. Кроме текущего функционала они будут обладать такими необходимыми функциями, как Form-grabber и Webinject.
Заключение
Если говорить о финансовых учреждениях, то они сильно недооценивают риски, связанные с мобильными бот-сетями. С 2014 года банки обязаны возмещать ущерб клиентам, со счета которых будут похищены денежные средства. Сейчас большинство банков совершенно не готово к угрозам, которые несут мобильные бот-сети. Перспективы использования мобильных бот-сетей будут привлекать все большее количество участников на этот рынок. В последние полгода тенденция такова, что каждые два месяца мы фиксируем появление новой преступной группы с собственной мобильной бот-сетью. Естественно, что таких групп будет все больше, троянские программы будут все совершеннее, а методы и объемы их распространения будут стремится к результатам распространения обычных вредоносных программ.
Авторы статьи: Дмитрий Волков и Николай Шелехов (компания Group-IB)