Компания Intel Security выпустила очередной отчет McAfee Labs о угрозах за февраль 2015 года, исследовав в нем спектр угроз, которым подвержены мобильные приложения, а также отметив неспособность разработчиков предоставлять своевременные патчи уязвимостей SSL, потенциально подвергая миллионы пользователей риску. Лаборатория McAfee Labs также раскрыла подробности о популярном эксплойт-паке Angler и предупредила о более агрессивных нежелательных программ, изменяющих системные настройки и собирающие персональную информацию без ведома пользователей.
Исследователи McAfee Labs обнаружили, что разработчики мобильных приложений не спешили предоставлять патч для самой базовой SSL-уязвимости, связанной с ошибкой валидации цифрового сертификата. В сентябре 2014 года Центр реагирования на инциденты (Computer Emergency Response Team, CERT) представил в университете Carnegie Mellon University список мобильных приложений, в которых была обнаружена брешь; среди таковых оказались популярные программы, установленные на миллионах устройств.
В январе в McAfee Labs протестировали 25 самых популярных приложений из списка программ, в которых CERT нашел уязвимость, из-за которой учетные данные отправлялись на сервер по небезопасному соединению. Аналитики McAfee обнаружили, что 18 из них не были исправлены производителями систем, несмотря на то, что информация о бреши была раскрыта, а разработчик уведомлен; кроме того, для некоторых их них было выпущено несколько уведомлений, и ни в одном из них уязвимость закрыта не была. Исследователи из McAfee Labs симулировали MitM-атаку и успешно перехватили информацию, передаваемую по SSL-соединению, на поверку оказавшемуся незащищенным. В ходе атаки были похищены такие типы данных, как пары «логин-пароль», а в некоторых случаях — учетные данные соцсетей и других сервисов.
Хотя сведений об эксплуатации этих приложений нет, совокупное количество их загрузок составляет сотни миллионов. Учитывая такое огромное количество потенциально подверженных атакам устройств, McAfee Labs подчеркивает, что решение разработчиков не закрывать SSL-уязвимости подвергает миллионы пользователей MitM-атакам.
«Мобильные устройства стали незаменимы как для конечных пользователей, так и для сотрудников организаций — невозможно представить себе каждый день без смартфона и планшета и полезных приложений, которыми мы пользуемся постоянно, — пояснил Винсент Вифер (Vincent Weafer), старший вице-президент McAfee Labs (дочерняя структура Intel Security). — Не имея доверия к используемым приложениям, невозможно в полной мере задействовать возможности современных мобильных устройств. Разработчикам мобильного ПО стоит проявлять большую ответственность при обеспечении безопасности создаваемых ими приложений и своевременного предоставлять патчи, иначе о доверии пользователей не может идти речи».
Еще одним трендом четвертого квартала, попавшим в поле зрения McAfee Labs, стало появление эксплойт-пака Angler. Он представляет собой одну из последних новинок отрасли теневых киберуслуг, доступную для покупки и проведения атак. Исследователи утверждают, что киберпреступники начали переходить на использование Angler во второй половине 2014 года, обойдя по популярности Blacole — еще один известный эксплойт-пак. Angler использует ряд техник обхода защиты, в том числе средств защиты антивирусов, «песочницы» и другого ПО для обеспечения безопасности. Он способен изменять поведение, чтобы избегать детектирования некоторыми инструментами безопасности.
Набор вредоносных инструментов включает в себя ряд простых техник и новых функций, в том числе заражение без файла, обход виртуальных машин и ПО для обеспечения безопасности, а также использование разнообразных методов заражения — банкеров, руткитов, блокеров, вымогательского ПО CryptoLocker и бэкдоров.
McAfee Labs отметила, что количество образцов мобильных зловредов выросло на 14% за четвертый квартал 2014 года, причем больше всего этот рост заметен в странах Ахии и Африки. По крайней мере 8% мобильных устройств, мониторинг которых осуществляет McAfee, были заражены в четвертом квартале, главным образом, за счет деятельности вредоносной рекламной сети AirPush.
В четвертом квартале McAfee Labs ежедневно детектировала появление нежелательных программ на 91 млн устройств. McAfee Labs отмечает, что нежелательные программы становятся гораздо более агрессивными, «представляясь» легитимными программами, но при этом выполняя действия без авторизации со стороны пользователя (в том числе, демонстрация нежелательной рекламы, изменение настроек браузера, а также сбор пользовательских и системных данных.
Начиная с третьего квартала зарегистрирован рост количества новых образцов блокеров, впервые после годичного перерыва. В четвертом квартале число новых образцов выросло на 155%.
После небольшого снижения в предыдущие кварталы, количество вредоносных бинарных файлов с цифровой подписью снова выросло на 17%.
McAfee Labs детектирует в среднем 387 новых образцов в минуту, то есть более шести в секунду.