Usuários de smartphones com Android continuam a ser um alvo lucrativo. A plataforma atualmente tem 59 por cento do mercado global e está a caminho de ser o sistema operacional mais enviados para dispositivos móvel até 2016, de acordo com a AVG.
Grande parte deste novo malware também foi identificada como sendo originário da China e direcionada aos usuários de lá e para mercados vizinhos, refletindo o fato de que este é agora o mercado top do mundo do smartphone com mais de um milhão de usuários web em dispositivos móvel.
Conexão com a China
Neste trimestre, presenciamos a introdução do bootkit primeiro Android “, DKFbootkit ‘, que se disfarça como uma versão falsa de um aplicativo legítimo e causa danos no código do smartphone “kernel do Linux”, substituindo-o com código malicioso. Os usuários são induzidos a clicar em ‘OK’ para as notificações que o malware oferece, dando-lhe permissão para adicionar-se na inicialização do boot, logo que o dispositivo for ativado.
No root do dispositivo, este ataque transforma o smartphone em um zumbi que está totalmente sob o controle do crime cibernético, o que torna uma séria ameaça para os usuários do Android. Este ataque é espalhado sobre o mercado de aplicações não oficiais e não para o oficial Google Play na China.
Os autores de malware também mandam e-mails para China, Japão, Coreia do Sul, Taiwan e Estados Unidos com mensagens de Trojan-infectados relacionadas com questões políticas a respeito do Tibete. Estes foram liberados para driblar um boletim de segurança. Os autores apressam-se para aproveitar uma janela de oportunidade, lapso de tempo entre o lançamento do patch e quando os usuários foram capazes de implementá-lo. O anexo de e-mail contém um arquivo executável, incorporado e criptografado que coleta informações confidenciais do usuário, como senhas, e é capaz de baixar outros malwares para instalação de keyloggers ou para obter uma configuração de novo trojan.
Yuval Ben-Itzhak, CTO da AVG, disse: “Em nossa experiência, um sistema operacional atrai a atenção de criminosos, uma vez que assegura cinco por cento do mercado, uma vez que atinge 10 por cento, será ativamente atacados. Não é nenhuma surpresa, portanto, que nossas investigações revelaram um aumento maior no volume de malware visando smartphones Android, dada a sua popularidade sustentada, com novos ataques focados no enraizamento dos dispositivos para dar aos cibercriminosos controle total, sobre o dispositivo. O que há de novo neste trimestre é o aumento significativo destas ameaças provenientes da China. “
O fim do antivírus?
Para todo o sensacionalismo em torno da descoberta de Stuxnet em 2010 e 2012 seu equivalente, Flame, o consumidor médio nunca foi realmente um alvo para qualquer malware. Enquanto rumores de ciber-ataques foram distribuídos a cerca de ambos, Flame não era realmente um patch da sofisticação do Stuxnet em termos de criação de malwares e, em particular, as técnicas utilizadas na carga de ataque não foram muito impressionantes. A indústria de segurança já está adaptada à natureza inesperada de ameaças com detecção de assinatura tradicional que é apenas uma camada dentro de uma solução de segurança multi-facetada.
Golpes de consumo
A versão mais recente do ataque de massa de SQL injection – LizaMoon, neste trimestre engana os usuários a baixar um cavalo de Tróia ou qualquer software não autorizado através da exploração de interesse humano e escondendo dentro inexistentes vídeos de celebridades do sexo ou sites de antivírus falsos. Injetar códigos maliciosos em sites legítimos, mas vulnerável, este ataque dirigido ao Mozilla Firefox e navegador Internet Explorer da Microsoft com dois vetores de ataque.
No Firefox, os usuários são atraídos pela raunchy vídeos da socialite Paris Hilton, onde a atriz Emma Watson pediu para atualizar sua instalação de Flash, a fim de exibi-los. Os usuários nunca chegar a ver o vídeo com o malware instalado, um Trojan disfarçado como uma atualização do Flash.
No Internet Explorer, os usuários recebem um aviso, aparentemente de um site de antivírus que afirmam ter encontrado um malware no seu computador. Eles são incentivados a fazer o download do malware e, uma vez instalado, para “comprá-lo”, que seria então simplesmente remover o malware em troca de pagamento.
Se a vítima decidir não adquirir, nas telas irá aparecer o aviso até problema for removido da máquina. Na versão mais recente, o malware foi atualizado para ativar a opção ‘drive-by downloads’, onde as vítimas precisam apenas visitar o site para ser infectado e já não é suficiente para fechar a página web para estar seguro.
Rovio´s aplicação “Angry Birds Space” também foi primeira linha para golpes de consumo neste trimestre. Usando os mesmos gráficos da versão legítima, uma versão totalmente funcional com Trojan-infectado foi enviados para lojas de aplicativos não oficiais do Android. Ele usa o GingerBreak para explorar o root do dispositivo, ganhando funcionalidade, comando e controle e se comunica com o servidor remoto para baixar e instalar um malware adicional, com funcionalidade de botnet, para permitir a modificação de arquivos e aberturas de URLs.
Link: http://www.net-security.org/malware_news.php?id=2199
