Новостной радар Anti-Malware.ru: июнь 2013

Подведем новостные итоги июня. Можно смело сказать, что месяц выдался богатым на разнообразные события, непосредственно связанные с защитой информации; для обзора мы отобрали, как обычно, наиболее интересные и популярные новости, каждая из которых представляет одну из четырех недель. Все подробности - далее.

Карта Новостного радара

Просмотреть Новостной радар - Выпуск 13 2013 на карте большего размера

НеХром

Британский специалист по информационной безопасности продвинул вперед технологии фишинга. Вместо того, чтобы создавать поддельные сайты, он построил целый фальшивый браузер, который в качестве демонстрации своих возможностей перенаправляет пользователей с сайта почты Google на страницу-заглушку с надписью "не Gmail, не от Google". В адресной строке при этом довольно уверенно демонстрируется корректный адрес ресурса - gmail.com. Имей эксперт темные намерения, "премьера" его изобретения, пожалуй, смогла бы собрать немало учетных данных от почтовых ящиков.

Впрочем, строго говоря, это не полноценный браузер, а просто фасад, имитация интерфейса Google Chrome для операционной системы Mac OS, созданная при помощи языка гипертекстовой разметки и сопутствующих технологий. Тем не менее, подделка смотрится довольно правдоподобно и вполне может обмануть пользователя. Представленная исследователем демонстрация имеет только один вид, описанный выше, однако, как справедливо заметил сам специалист, ничто не мешает потенциальным злоумышленникам разработать несколько вариантов такой имитации и выдавать конкретные окна в зависимости от того, какую версию и разновидность операционной системы использует жертва и каким обозревателем она просматривает страницы Интернета.

Можно сказать, что киберпреступники ныне научились довольно точно изображать интерфейсы популярных сайтов, порой добиваясь практически полного сходства с оригиналом, и потому одним из основных способов определения поддельного ресурса в этих условиях становится проверка его адреса. Разработанный экспертом вариант атаки лишает пользователя и этой возможности: поскольку отображаемое окно, в сущности, не является окном браузера, то в "адресной строке" можно написать все, что угодно, и создать тем самым иллюзию достоверности. Остается уповать разве что на фильтры фишинга, которые должны блокировать опасное содержимое вне зависимости от того, в каком окне и каким методом оно отображается пользователю.

Крепкий орешек

"Лаборатория Касперского" оповестила сетевую общественность об обнаружении особо сложного троянского коня для операционной системы Android. Все, что называется, по-взрослому, как у "большого брата" (т.е. Windows): использование уязвимостей для распространения, кража информации, удаленное управление, загрузка новых компонентов из сети, а также применение криптозащиты и других методов противодействия антивирусному анализу. Задачу в компании, конечно, решили, но усилий затратили поболее, чем обычно.

Сообщается, что вирусописатели нашли и вполне успешно проэксплуатировали несколько изъянов в системе безопасности Android. C одной стороны, это позволило им усложнить процесс обратного анализа программы, а с другой стороны, обеспечило инфекции кое-какие расширенные права, в результате чего пользователь, к примеру, не мог самостоятельно удалить вредоносное приложение. Кроме того, продукт вирусописательской деятельности не имеет видимого интерфейса и работает в фоновом режиме, что, опять-таки, сближает его с традиционными инфекциями для Windows.

Стоит, впрочем, заметить, что троянский слон пока не слишком распространен: сервис глобальной статистики "Лаборатории Касперского" сообщил о его присутствии лишь на 0,15% от общего количества зараженных устройств. С чем это связано, сказать сложно: то ли пик его активности еще впереди, то ли злоумышленники просто не предпринимали усилий по его масштабному распространению.

"Мы являемся свидетелями начала четвертого этапа эволюции вредоносного ПО для мобильных платформ: первый этап (2004-2008 годы) был пробой пера, на втором (2008-2011) началась коммерциализация вредоносного ПО, третий (2011-2012) ознаменовался бурным ростом так, что общее число инфицированных пакетов достигло 5 миллионов", - говорит эксперт Anti-Malware.ru Виктор Яблоков. - "С 2012 года начался новый этап, когда вредоносное программное обеспечение для мобильных платформ стало расти не только количественно, но и качественно. Backdoor.AndroidOS.Obad.a является на данный момент одним из самых комплексных мобильных зловредов и, пожалуй, самым сложным под платформу Андройд. До текущего момента ни один мобильный вредонос не эксплуатировал такого количества неизвестных уязвимостей и не применял столь современные техники защиты. Его появление лежит в одном ряду с такими знаковым для мобильной вирусологии событиями как появление первого мобильного зловреда SymbOS.Cabir или обнаружение первого полиморфного червя Worm.WinCE.PMCryptic".

Backdoor.Win32.WindowsOS.a

Есть среди специалистов по безопасности, особо склонных к параноидальному восприятию действительности, мнение, согласно которому операционная система Windows - это один большой бэкдор. Сейчас, после того, как Эдвард Сноуден раскрыл некоторые секреты американских спецслужб, мнение это стало казаться вовсе не таким далеким от действительности: журналисты и прочие заинтересованные личности раскопали кое-какие данные о взаимодействии Microsoft с Агентством национальной безопасности США.

Открытым текстом пишется в профильных изданиях и о том, что в ряд версий Windows встраивались средства удаленного доступа для представителей спецслужб, и о том, что в купленный компанией голосовой сервис обмена сообщениями Skype были встроены механизмы подслушивания (и даже запатентованы), а теперь - еще и о том, что редмондская корпорация заблаговременно, за несколько дней до опубликования официальных заплаток, передавала "компетентным органам" информацию об уязвимостях, в том числе и критических.

Компания, естественно, не интересовалась, зачем спецслужбам эти сведения - да ей бы и не сказали, возникни вдруг у нее соответствующее желание. Данные об изъянах представляют собой обоюдоострое оружие: с их помощью можно как обеспечивать защиту, так и осуществлять нападения, и вполне вероятно, что первым сценарием особисты не ограничивались. Война с терроризмом, как-никак.

"Да, когда находится подтверждение тому, что крупные корпорации сотрудничают со странами, резидентами которых являются, это несколько шокирует обывателей. Но давайте посмотрим на это с точки зрения национальной безопасности и современного уровня развития коммуникаций", - предлагает эксперт Anti-Malware.ru Валерий Ледовской. - "Не оправдывая действия Microsoft и других компаний (известно порядком случаев об аппаратных закладках в процессорах и другом железе), можно сказать, что у спецслужб нет другого выхода, кроме как различными способами (силовыми или законодательными) выходить на тесное сотрудничество с наиболее технологически развитыми компаниями и прослушивать всё, что технически возможно прослушивать. В условиях, когда любой пользователь может использовать свободно распространяющиеся нетрендовые инструменты для передачи зашифрованной информации (думаю, что не всегда их можно прослушать так же легко, как Skype) даже прослушивания всего трафика, до которого можно дотянуться, может оказаться недостаточно для предотвращения национальной угрозы. Приходится выбирать между защитой частной и коммерческой тайн и защитой от угрозы терактов и тому подобных угроз. Даже с учётом вероятности того, что сотрудники спецслужб иногда используют полученные данные в преступной деятельности".
"Позиции Microsoft сейчас могут, конечно, несколько пошатнуться, но я не думаю, что доля рынка для Microsoft существенно изменится", - продолжает эксперт. - "Всё больше интернет-пользователей понимают, что давно уже никакой анонимности в Интернете нет (если предположить, что она когда-то и была). Альтернатива в виде MacOS многим пользователям может оказаться не по карману. Альтернатива в виде свободного ПО может располагать не всей необходимой функциональностью и эргономичностью, которая нужна пользователю. Поэтому Microsoft всегда найдётся место. Хотя при этом получить в очередной раз подтверждение постоянно высказывавшихся ранее предположений - всё равно неприятно и показывает, насколько декларируемое устройство государств по букве их конституций находится далеко от реального положения дел".

Фальшивый защитник

Symantec сообщила о появлении лжеантивируса для операционной системы Android, которому присвоила наименование Fakedefender. Образ действий вредоносной программы традиционен для вымогателей этого типа: "сканирование системы", обнаружение некоторого количества "критически опасных угроз" и предложение пользователю избавиться от несуществующих проблем путем оплаты определенной суммы.

Есть, впрочем, и некоторая специфика: "защитник" блокирует устройство и не дает запускать другие приложения, что обычно для лжеантивирусов в принципе не свойственно. В итоге пользователю становится затруднительно не только удалить приложение, но и вообще каким-либо образом работать с телефоном - а это в современных условиях, когда мобильное устройство активно используется для решения множества деловых задач, может причинить немало беспокойства. По имеющимся данным, даже программный сброс устройства не всегда позволяет избавиться от лжеантивируса, так что его приходится вычищать едва ли не вручную.

В отличие от Windows, для Android фальшивые антивирусы - это явление относительно новое. Впрочем, специалистов уже не удивляет тот факт, что операционная система от Google проходит все те же этапы развития вирусных угроз, что и продукт Microsoft, только гораздо быстрее и с поправкой на реалии сегодняшнего дня. Поэтому успешные разновидности вредоносных программ будут и дальше постепенно осваивать новую для себя среду, тем более что Google пока не особо стремится им в этом помешать.

"В последнее время наблюдается тенденция к появлению все более сложных вредоносных программ под операционную систему Android, на первый план выходит не количество (им уже никого не удивишь), а качество (комплексность и сложность) зловредов. Интересной особенностью Trojan-FakeAV.AndroidOS.Andef.a является функция противодействия обнаружению, он блокирует устройство и не дает пользователю запускать программы, в том числе и антивирусные, поэтому антивирусы, не имеющие функцию постоянной защиты и не обладающие возможность обновления баз по расписанию могут оказаться бессильны против него", - подытожил Виктор Яблоков.