Rośnie liczba ataków na urządzenia mobilne i aktywność cyberprzestępców z Rosji

Specjaliści z FortiGuard Labs firmy Fortinet opublikowali nowy tygodniowy przegląd informacji o cyberzagrożeniach. Analitycy wskazali na dynamiczny wzrost ataków na urządzenia mobilne oraz aktywność cyberprzestępców pochodzących z Rosji.

Rośnie liczba ataków na urządzenia mobilne

Spośród wszystkich wykrytych zagrożeń cybernetycznych 14 proc. dotyczy urządzeń z systemem Android. Może to sprowadzać konsekwencje nie tylko na użytkowników smartfonów czy tabletów.

- Jest to też problem dla przedsiębiorstw, gdyż pracownicy często korzystają z ważnych aplikacji firmowych na osobistych urządzeniach, co sprawia, że wzrasta ryzyko naruszenia bezpieczeństwa – mówi Jolanta Malak, dyrektor Fortinet w Polsce.

Analitycy Fortinet w ostatnim czasie wykryli kilka istotnych kampanii cyberprzestępców związanych z zagrożeniem dla urządzeń mobilnych, w tym z wykorzystaniem trojana o nazwie xHelper. Jest on w stanie nie tylko ponownie zainstalować się na urządzeniach z systemem Android po jego wcześniejszym usunięciu, ale może to zrobić nawet po całkowitym przywróceniu telefonu lub tabletu do ustawień fabrycznych. Po zainfekowaniu urządzenie łączy się z serwerem zarządzającym działaniem szkodliwego kodu (command & control, C&C), z którego pobierane są dodatkowe złośliwe narzędzia, takie jak droppery (służą do pobierania szkodliwych aplikacji, w tym wirusów) czy rootkity, za pomocą których haker może uzyskać np. uprawnienia administratora i dzięki nim włamać się na urządzenie.

Specjaliści Fortinet natrafili ostatnio także na szereg witryn internetowych reklamujących platformy wymiany kryptowalut. Po dalszej analizie okazało się, że były to strony phishingowe, z domenami zarejestrowanymi na rosyjskiej platformie hostingowej. Osoby inwestujące w kryptowaluty powinny więc za każdym razem upewniać się, że korzystają z legalnych platform wymiany danych - radzą eksperci.

Innym narzędziem, za którym prawdopodobnie stoją cyberprzestępcy z Rosji, jest infostealer pod nazwą Racoon (szop), a więc oprogramowanie służące do kradzieży informacji. Jest on dostępny na czarnym rynku w modelu usługowym jako MaaS (Malware-as-a-Service, czyli złośliwe oprogramowanie jako usługa). Racoon po raz pierwszy został wykryty w kwietniu tego roku, był dostępny wyłącznie w języku rosyjskim i sprzedawany na tamtejszych forach hakerskich. Teraz autorzy tego malware’u rozszerzyli swoją kampanię o fora anglojęzyczne.

Dlaczego Racoon jest niebezpieczny

Gdy atak się powiedzie, złośliwe oprogramowanie może wykonać jedno lub wszystkie z następujących czynności: robienie zrzutów ekranu, kradzież informacji o systemie i logów, danych przeglądarki, poświadczeń logowania oraz kradzież z portfela kryptowalut. Po pomyślnym zebraniu danych i wysłaniu ich do centrum command & control, Racoon próbuje usunąć ślady swojej obecności na zainfekowanym urządzeniu.

Cyberprzestępcy są też fanami anime

I ciekawostka... Zespół FortiGuard natrafił również na całkiem zabawną historię, w której cyberprzestępcy nazwali swoje narzędzia imionami postaci i przedmiotów pochodzących z popularnych japońskich serii anime. Narzędzia te miały takie nazwy jak Sakabota, Hisoka, Gon i Killua, wywodzące się z serii „Rurouni Kenshin” oraz „Hunter x Hunter”.

Narzędzia te dają cyberprzestępcy różne możliwości, w tym np. kradzież informacji, zbieranie haseł, robienie zrzutów ekranu zainfekowanego urządzenia lub też keylogging, czyli rejestrowanie klawiszy naciskanych przez użytkownika.