Video: Venäjän Karjalassa (Lokakuu 2024)
Mobiiliturvayhtiö Lookout julkaisi tänään DefConissa raportin, joka paljastaa Android-haittaohjelmien hämmästyttävän koon, laajuuden ja monimutkaisuuden Venäjällä. Raportissa todettiin, että suurin osa tästä venäläisestä haittaohjelmasta ei ollut peräisin kellareissa olevista yksinäisistä henkilöistä, vaan hyvin öljytetyistä haittaohjelmia tuottavista koneista.
Vieraillessaan SecurityWatchin kanssa vanhempi tutkija ja vastausinsinööri Ryan Smith selitti, että Lookoutin kiinnostus oli pikemminkin, kun he huomasivat, että Venäjältä tulevat SMS-petokset muodostavat 30 prosenttia kaikista yrityksen havaitsemista haittaohjelmista. Kuuden kuukauden kuluessa yritys löysi mökkiteollisuuden, joka oli kasvanut Android-haittaohjelmien tuotannon ja jakelun ympärillä.
Huijaus
Lookout havaitsi, että kymmenen organisaation vastuulla on noin 60 prosenttia Venäjän tekstiviestien haittaohjelmista. Ne keskitettiin "Haittaohjelmien pääkonttorien" ympärille, joka tosiasiallisesti tuottaa haittaohjelmia. Ladattuaan nämä sovellukset käyttävät tekstiviestien lyhytkoodeja, jotka laskuttavat uhreja langattoman operaattorinsa kautta. Yhdysvalloissa näemme nämä liittyvän usein hyväntekeväisyysjärjestöihin, kuten Punaiseen Ristiin.
Näin huijaus toimii: Malware HQ luo haitallisia sovelluksia, jotka voidaan määrittää näyttämään miltä tahansa. He myös rekisteröivät ja ylläpitävät lyhyitä koodeja langattomilla kantoaalloilla. Tytäryhtiöt tai ihmiset, jotka työskentelevät Malware HQ: n puolesta, räätälöivät haittaohjelman ja markkinoivat sitä verkkosivuillaan ja sosiaalisessa mediassa.
Uhrit löytävät tytäryhtiöiden verkkosivuston tai sosiaalisen median roskapostin ja lataavat haitalliset sovellukset. Kun uhri on Android-laitteessa, haittaohjelma lähettää yhden tai useamman premium-tekstiviestin, joka yleensä maksaa uhrille 3–20 dollaria.
Koska Malware HQ omistaa lyhyet koodit, he saavat rahaa uhrin kantajalta. He tekevät leikkauksen ja antavat loput tytäryhtiöille, joille maksetaan ilmeisesti normaalin työntekijän tavoin suorituksen perusteella. Smith sanoo, että Lookout havaitsi joidenkin tytäryhtiöiden tekevän 12 000 dollaria dollaria kuukaudessa yli viiden kuukauden ajan, mikä viittaa siihen, että tämä on tuottoisaa ja vakaata "liiketoimintaa".
Valtava mittakaava ja monimutkaisuus
Se on melko suoraviivainen huijaus, ja luultavasti suorin tapa ansaita rahaa Android-haittaohjelmilla. Lookoutin löytö tekee huomattavan toiminnan koon ja omituisen yritysluonteen.
Esimerkiksi Malware HQ on tehnyt tytäryhtiöille hämmästyttävän helpon mukauttaa haittaohjelmia. Smith sanoi, että Malware HQ tuotti useita teemoja, jotta tytäryhtiöiden olisi helppo mukauttaa haittaohjelmia. "Ne voivat tehdä siitä, että se näyttää Skypeltä, Google Playlta, mikä houkuttelee käyttäjän lataamaan sen ja uskovan, että se on totta", sanoi Smith.
Smith sanoi, että haittaohjelmien pääkonttorit myös ajavat päivityksiä ja uutta koodia joka toinen viikko "kuten mikä tahansa ketterä käynnistys". Monet näistä päivityksistä on suunniteltu erityisesti välttämään turvallisuusyrityksiä, jopa menemään niin pitkälle, että "salataan ohjelman osia, jotka salataan ennen niiden käyttöä".
Operaation toisella puolella tytäryhtiöt ovat erittäin kiinnostuneita työstään, mutta myös hankalia. Smithin mukaan on foorumeita ja verkkosivustoja, joissa tytäryritykset vertailevat eri haittaohjelmien pääkonttorien toimintaa. Maksun säännöllisyys oli tärkeä huolenaihe, mutta asiakaspalvelu - lähinnä tytäryhtiötekninen tuki - oli kriittinen. Jos tytäryhtiöt ovat tyytymättömiä tiettyyn haittaohjelmakeskukseen, he siirtyvät toiseen.
Haittaohjelmien pääkonttorit menettävät myös tytäryhtiönsä menestymisen. Smith sanoo, että kehäjohtajat motivoivat tytäryhtiöitä rahapalkinnoilla korkeasta suorituksesta - jotkut jopa 300 000 dollaria. He jopa loivat tytäryhtiöille mainosalustat saadakseen parempaa tietoa siitä, mitkä huijaukset toimivat paremmin millä alueilla.
Hopeavuori
Vaikka on kauhistuttavaa nähdä rikollisuutta niin suuressa mittakaavassa, ja kaikilla normaalisuuden loukutuksilla, täällä on hyviä uutisia. Yhdysvaltain lukijat voivat levätä helposti, koska suurin osa näistä huijauksista käyttää erityisiä lyhyitä koodeja, jotka eivät toimi Venäjän ja ympäröivien maiden ulkopuolella.
Vielä tärkeämpää on, että Smith selitti, että selvittämällä huijauksen koko laajuuden, ne voivat tarjota paremman suojan. "Pystymme nyt sitoutumaan heidän jakeluunsa", Smith sanoi. Yhtiö voi nyt ilmeisesti estää muutakin kuin koodin muuttamisen, jota usein muutetaan, mutta myös suojata palvelimet, IP-osoitteet ja muut merkinnät.
Tämä ei estä huijareita suoraan. Loppujen lopuksi, jos he ovat riittävän älykkäitä muokkaamaan koodiaan, he ovat riittävän fiksuja tietämään, että turvallisuusyritykset ovat heidän päällään. Smith sanoo kuitenkin, että tämä voi olla voitto pitkällä tähtäimellä: "Jotta he voisivat tehdä tarvittavat muutokset, se on heille kallista."
Ja tiedämme, että lompakon jälkeinen käyttäminen on hieno tapa torjua haittaohjelmia.
Napsauta nähdäksesi koko kuvan
