Руслан Рахметов, Security Vision
Смартфон есть более чем у половины жителей Земли. Сотовые сети и мобильные станции - кнопочные телефоны, смартфоны и иные абонентские устройства - прошли этапы эволюции от аналоговых систем (AMPS, TACS, NMT-450/900) первого поколения через цифровые стандарты (D-AMPS, GSM, GPRS, EDGE, UMTS, HSPA) к уже привычным сетям 4G (LTE) и 5G. Скорость передачи мобильных данных росла с каждым новым этапом развития, и сегодня она может достигать 20 ГБит/с. Одновременно росли вычислительные мощности, совершенствовались технологии хранения информации и создания экранов, разрабатывались специализированные операционные системы, повышались удобство и простота использования абонентские устройства - в итоге, сегодня мы имеем возможность пользоваться привычными всем нам смартфонами.
Еще в 2016 году мировое число пользователей мобильного интернета превысило количество пользователей стационарного доступа к сети - для большинства людей возможностей смартфона хватает для решения насущных задач, тем более что со временем большинство бизнесов адаптировали свои сайты и сервисы для мобильных устройств. Соответственно, злоумышленники стали всё чаще нацеливать свои атаки именно на смартфоны и планшеты, которые используются и для управления банковскими счетами, и для ведения соцсетей, и для деловой переписки в почтовых клиентах и мессенджерах. Об актуальных мобильных угрозах, способах их выявления, предотвращения и удаления поговорим в данной статье.
Итак, начнем с краткого описания эволюции устройств и мобильных угроз. Некоторые продвинутые телефоны 2000-х годов функционировали под управлением полноценных мобильных операционных систем и поддерживали работу виртуальной машины Java для запуска программ, включая самописные. Яркими примерами могут послужить «прообразы» современных смартфонов: Ericsson R380 (выпущен в 1999 году, мобильная ОС EPOC, сенсорный экран, встроенный почтовый клиент), Nokia 9210 (выпущен в 2000 году, полноценная мобильная ОС Symbian, веб-браузер, цветной сенсорный экран), Siemens SL45i (выпущен в 2001 году, поддержка запуска Java-приложений, карт памяти, встроенный MP3-плеер). Кроме того, коммуникаторы и карманные персональные компьютеры (КПК, англ. PDA), популярные в 2000-х, работали под управлением ОС Windows CE/Windows Mobile, Symbian, Palm OS, BlackBerry OS и ряда других. Первые атаки на кнопочные мобильные телефоны были весьма безобидными и заключались, например, в переполнении памяти аппаратов после получения специально созданного SMS-сообщения. С ростом функционала мобильных устройств постепенно появлялись и более продвинутые угрозы: в июне 2004 года был обнаружен первый вирус Cabir для мобильной ОС Symbian с самораспространением через Bluetooth, а в 2005 году вирус Commwarrior для этой же ОС уже получал доступ к контактам и самораспространялся через MMS-сообщения. В июле 2004 года был выявлен первый вирус Duts для КПК под управлением ОС Windows CE/Windows Mobile, а уже в августе того же года исследователи обнаружили первый опасный вирус-бэкдор Brador для этой ОС, который позволял атакующим удаленно управлять зараженным устройством. Первые Java-вирусы для мобильных телефонов появились именно в России: так, в 2006 году был обнаружен троян Redbrowser, который распространялся под видом Java-приложения якобы для бесплатного WAP-браузинга, а после установки рассылал SMS-сообщения на короткий (платный) номер, владелец которого, возможно, был связан с автором вируса.
Со временем разработка мобильных устройств вышла на новый уровень, и сейчас смартфоны по техническим характеристикам и функционалу ОС могут соответствовать или даже превосходить уровень стационарных ПК. Соответственно, стали появляться и более опасные угрозы для мобильных устройств: статистика говорит о распространенности нежелательных приложений (Riskware), приложений с навязчивой рекламой (Adware), мобильных банковских троянов и вирусов-вымогателей. При этом цели, которые преследуют авторы мобильного ВПО, как правило, следующие:
1. Скрытная отправка сообщений или звонки на платные номера для несанкционированного списания денег со счета, подписка на платные услуги в приложениях;
2. Хищение денежных средств путем несанкционированного доступа к банковским приложениям - это может быть реализовано как за счет легальных программ удаленного управления мобильным устройством, так и быть частью функционала ВПО;
3. Включение зараженного мобильного устройства в ботнет для скрытного использования при проведении кибератак, включая DDoS-атаки;
4. Шпионаж - доступ к контактам, сообщениям, файлам, данным геолокации, камере и микрофону устройства;
5. Кража чувствительной информации (контакты, сообщения, документы, фотографии), включая кражу "цифровой личности" пользователя за счет доступа к хранящимся на устройстве документам (персональным данным, удостоверениям личности), входящим SMS и биометрическим данным функции распознавания лица пользователя устройства.
О заражении устройства вредоносным ПО можно судить по следующим признакам:
1. Неожиданное появление всплывающих окон, баннеров, надписей. Стоит также учесть, что некоторые сайты могут некорректно использовать функционал отправки оповещений через мобильный браузер, поэтому важно периодически закрывать открытые вкладки и очищать кеш браузера.
2. Быстрая разрядка аккумулятора, медленная работа, сильный нагрев устройства - однако эти же явления могут быть связаны с аппаратными проблемами, проблемной прошивкой или со сбоями установленных легитимных приложений.
3. Неожиданные списания со счета мобильного телефона за платные услуги (SMS, звонки) или списания с банковской карты, используемой в мобильных приложениях.
4. Появление неизвестных приложений на устройстве, внезапные включения экрана, неожиданное отображение индикатора активности службы геолокации, микрофона, камеры.
5. Самопроизвольное обращение смартфона к веб-ресурсам, сканирование сети, отправка больших объемов данных на неизвестные интернет-сервисы - такое поведение можно выявить путем использования техник захвата сетевого трафика.
Приведем описание некоторых угроз для основных популярных мобильных ОС - для iOS (разработка Apple) и для Android (разработка Google).
Для iOS характерны следующие специфические угрозы:
1. Схема вымогательства за разблокировку устройства: атакующие с помощью методов социальной инженерии просят жертву залогиниться на устройстве Apple под учетной записью Apple ID, логин и пароль к которой предоставляют сами мошенники. После входа на устройство с чужим Apple ID злоумышленники полностью контролируют устройство, переводят его в "режим пропажи" и требуют от пользователя выкуп. Методом защиты должен быть отказ от входа под чужим Apple ID на своё устройство и следование рекомендациям по безопасности Apple.
2. Несанкционированный доступ к Apple ID: злоумышленники взламывают почтовый ящик, который использовался при создании Apple ID (особенно если использовался email-адрес не из Apple-доменов @icloud.com, @me.com или @mac.com), затем получают доступ к учетной записи Apple ID, блокируют устройство и размещают на экране блокировки свои требования выкупа. Успешность атаки и вероятность получения выкупа повышается за счет доступа к данным iCloud жертвы с помощью скомпрометированной Apple ID. Методом защиты должны быть правила базовой кибергигены: использование мультифакторной аутентификации для электронной почты, привязанной к Apple ID, использование сложного пароля, бдительность при переходе по веб-ссылкам и при вводе учетных данных на сайтах.
3. Использование злоумышленниками штатного функционала MDM (Mobile Device Management, система управления мобильными устройствами), встроенного в экосистему Apple: атакующие могут обманом заставить пользователя установить профили конфигураций (configuration profile) или профили регистрации (enrollment profiles) - после этого устройство будет находится под полным контролем хакеров, включая установку любых приложений, доступ к данным геолокации, удаленное стирание всей информации на устройстве. Методом защиты будет бдительность при переходе по ссылкам и при получении запросов на установку новых профилей конфигураций или регистрации, а также включение на устройстве режима Lockdown.
4. Использование злоумышленниками особенностей платформы бета-тестирования Apple: платформа Apple TestFlight предназначена для проведения бета-тестирования приложений без их размещения в App Store, а доступ к таким бета-приложениям предоставляется за счет отправки участникам тестирования ссылки вида https://testflight.apple.com/join/[случайно сгенерированный идентификатор приложения]. Атака эффективна за счет использования легитимного функционала (включая оригинальный домен apple.com), отсутствия должной проверки бета-приложений на безопасность со стороны Apple и легкости реализации атаки для злоумышленников (им требуется всего лишь завести учетную запись разработчика софта под Apple). Методом защиты будет бдительность при переходе по ссылкам и при получении запросов на установку новых приложений, а также включение на устройстве режима Lockdown.
5. Использование .ipa-файлов: в экосистеме iOS файл .ipa (сокращение от iOS AppStore Package) - это архив с содержимым приложения, который может быть экспортирован и импортирован с/на мобильные устройства Apple. Атакующий может самостоятельно разработать вредоносное приложение под iOS, подписать .ipa-файл сертификатом разработчика Apple, обманом вынудить пользователя добавить этот сертификат в «доверенные» на устройстве и затем заставить вручную установить приложение из пересланного ему .ipa-файла. Методом защиты будет бдительность при скачивании файлов и при получении запросов на установку новых приложений, а также включение на устройстве режима Lockdown.
Для Android характерны следующие специфические угрозы:
1. Сложность централизованного управления обновлениями ОС со стороны Google (компания-разработчик Android): разнообразие производителей и моделей смартфонов/планшетов и открытость платформы Android приводят к тому, что "чистая" ОС Android установлена лишь на ограниченном наборе мобильных устройств (например, на смартфонах серии Google Pixel), а многие вендоры и энтузиасты самостоятельно дорабатывают и кастомизируют оригинальную ОС. В результате, значительно усложняется процесс распространения обновлений безопасности для ОС Android, в которой регулярно находят опасные уязвимости, а некоторые производители вообще не утруждают себя разработкой патчей. В качестве меры защиты можно порекомендовать рассматривать к приобретению устройства только известных компаний, которые регулярно выпускают обновления и патчи для ОС.
2. Альтернативные магазины приложений: многие производители предлагают для своих смартфонов и планшетов собственные магазины приложений, в которых контроль за безопасностью и надежностью размещаемого софта осуществляется слабее, чем в Google Play. Как итог, в магазинах приложений могут встречаться некоторые типы нежелательного ПО, отличающиеся навязчивой рекламой, баннерами, запросами на платные подписки и т.д. В качестве меры защиты можно порекомендовать использовать только официальный магазин приложений Google Play для установки софта, однако даже в нём регулярно обнаруживаются вредоносные приложения. Кроме того, учетная запись разработчика в системе Google Play может быть взломана, и в очередное обновление приложения злоумышленниками могут быть встроены вредоносные компоненты.
3. Легкость кастомизации и перепрошивки Android-устройств: для множества устройств энтузиасты выпускают кастомизированные сборки ОС, которые могут содержать уязвимости или вредоносное ПО, добавленные намеренно, по ошибке или в результате атаки на энтузиаста-разработчика. Кроме того, на Android-устройства продвинутые пользователи могут установить LineageOS, которая позиционируется создателями данного проекта как более кастомизируемая и безопасная альтернатива ОС Android, ориентированная на приватность. В качестве меры защиты можно порекомендовать отказ от установки модифицированных версий ОС или, в случае сомнений в безопасности официальной прошивки (например, если был приобретен смартфон от малоизвестного производителя), - установку LineageOS.
4. Легкость получения root-прав: получение прав root (суперпользователя) на многих Android-устройствах, в особенности не самых новых, может быть достаточно тривиальной задачей, а некоторые производители даже открыто публикуют инструкции по рутированию своих моделей. Работа с правами суперпользователя негативно сказывается на безопасности ОС, поскольку нарушается работа заложенной Google защитной архитектуры, перестает работать механизм получения и установки обновлений безопасности. Кроме того, в большинстве случаев получение root связано с предварительной разблокировкой загрузчика ОС (bootloader), что также существенно снижает безопасность устройства.
5. Легкость обхода встроенных защитных ограничений: штатными средствами ОС Android можно разрешить установку непроверенных и потенциально вредоносных приложений, распространяемых в виде .apk-файлов (метод называется sideloading), а также отладку по USB с помощью инструмента Android Debug Bridge (adb), позволяющего в том числе выполнить sideloading или удалить любое приложение. Кроме того, в ОС Android есть встроенная привилегия под названием "служба специальных возможностей" (англ. AccessibilityService), предназначенная для помощи в работе с устройством людям с ограниченными возможностями - она дает крайне обширные права (включая возможность управлять устройством голосом, получать доступ к отображаемому на экране содержимому), поэтому важно контролировать приложения, которые запрашивают это разрешение.
Кроме того, существует ряд угроз, характерных и для iOS, и для Android:
1. Вредоносные QR-коды: атаки методом quishing (QR phishing) предполагают рассылку фишинговых сообщений с QR-кодами, ведущими на мошеннические или вредоносные сайты. Кроме того, размещение или переклейка QR-кодов в общественных местах или на интернет-ресурсах также может применяться атакующими для направления пользователей на мошеннические ресурсы или для реализации атак типа QRLJacking. Важно сохранять бдительность при сканировании QR-кодов и при дальнейшем переходе на веб-страницы, а также при сканировании QR-кодов в банковских приложениях и мессенджерах.
2. Подмена приложений, удаленных из официальных магазинов приложений Apple и Google: на волне новостей о массовом санкционном удалении банковских приложений из магазинов Apple и Google, мошенники начали размещать в интернете ссылки на якобы обновленные банковские приложения, а также стали публиковать в некоторых альтернативных магазинах вредоносные приложения якобы от имени известных банков, попавших под санкции. При необходимости установки приложения санкционного банка следует или выполнить инструкцию по установке с официальной веб-страницы банка, или посетить офис.
3. Джейлбрейк, рутирование: получение и работа с правами суперпользователя и на iOS, и на Android чревато существенным снижением уровня безопасности ОС и некорректной работой защитных механизмов.
4. Физический доступ к разблокированному устройству: несанкционированное копирование информации и незаметная установка вредоносного ПО возможны при физическом доступе атакующего к разблокированному устройству и при подключении разблокированного устройства к ПК атакующего, поэтому не рекомендуется подключать свой смартфон к неизвестным зарядным устройствам (включая зарядные устройства в общественных местах).
5. Сложное шпионское ВПО: ряд компаний выпускает мобильные приложения (например, Pegasus от NSO Group, Hermit от RCS Lab, Predator от Cytrox и некоторые другие), которые используются для кибершпионажа через мобильные устройства на iOS и Android. Такое ВПО обладает широким функционалом, его крайне сложно обнаружить и удалить. Если угроза подобного уровня актуальна для пользователя, то на iOS-устройстве может помочь сброс устройства до заводских настроек и последующее включение режима Lockdown, а на Android - установка LineageOS с дальнейшим глубоким тюнингом функций безопасности, включая блокировку загрузчика ОС и настройку SELinux.
В заключение отметим, что актуальные версии современных мобильных ОС обладают достаточно высоким уровнем защищенности «из коробки», а встроенные механизмы безопасности (например, сканирование Google Play Protect и правила магазина Apple App Store) обеспечивают защиту от большинства вредоносных приложений. Антивирусы для мобильных ОС, кроме сканирования приложений, обеспечивают безопасность интернет-доступа, анализ QR-кодов, функции антиспама и антифишинга. С учетом этого, для обеспечения достаточного уровня кибербезопасности пользователям важно соблюдать несколько базовых правил:
1. Не устанавливать приложения из неизвестных источников, не переходить по ссылкам от неизвестных отправителей.
2. При установке новых приложений из официальных магазинов оценивать рейтинг, дату первого выпуска, количество установок приложения, просматривать список запрашиваемых разрешений.
3. Не делать джейлбрейк или рутирование устройства.
4. Регулярно устанавливать обновления ОС, включая обновления безопасности.
5. Не подключать устройства к неизвестным зарядным станциям, не давать разблокированные устройства в руки незнакомцам.