Fortinet: rośnie liczba ataków na Androida i aktywność rosyjskich hakerów

14 listopada, 2019
Fortinet: rośnie liczba ataków na urządzenia z Androidem i aktywność rosyjskich hakerów

Specjaliści z FortiGuard Labs firmy Fortinet opublikowali nowy tygodniowy przegląd informacji o cyberzagrożeniach. Analitycy wskazali na dynamiczny wzrost ataków na urządzenia mobilne oraz aktywność cyberprzestępców pochodzących z Rosji.

Uwaga na bezpieczeństwo smartfonów

Rośnie liczba ataków na urządzenia mobilne. Spośród wszystkich wykrytych zagrożeń cybernetycznych 14% dotyczy urządzeń z systemem Android. Może to sprowadzać konsekwencje nie tylko na użytkowników smartfonów czy tabletów.

Jest to również problem dla przedsiębiorstw, ponieważ pracownicy często korzystają z ważnych aplikacji firmowych na osobistych urządzeniach, co sprawia, że wzrasta ryzyko naruszenia bezpieczeństwa.

– mówi Jolanta Malak, dyrektor Fortinet w Polsce.

Analitycy w ostatnim czasie wykryli kilka istotnych kampanii cyberprzestępców związanych z zagrożeniem dla urządzeń mobilnych, w tym z wykorzystaniem trojana o nazwie xHelper. Jest on w stanie nie tylko ponownie zainstalować się na urządzeniach z systemem Android po jego wcześniejszym usunięciu, ale może to zrobić nawet po całkowitym przywróceniu telefonu lub tabletu do ustawień fabrycznych. Po zainfekowaniu urządzenie łączy się z serwerem zarządzającym działaniem szkodliwego kodu (command & control, C&C), z którego pobierane są dodatkowe złośliwe narzędzia, takie jak droppery (służą do pobierania szkodliwych aplikacji, w tym wirusów) czy rootkity, za pomocą których haker może uzyskać np. uprawnienia administratora i dzięki nim włamać się na urządzenie.

Rosyjscy cyberprzestępcy w akcji

Specjaliści Fortinet natrafili ostatnio również na szereg witryn internetowych reklamujących platformy wymiany kryptowalut. Po dalszej analizie okazało się, że były to strony phishingowe, z domenami zarejestrowanymi na rosyjskiej platformie hostingowej. Osoby inwestujące w kryptowaluty powinny więc za każdym razem upewniać się, że korzystają z legalnych platform wymiany danych.

Innym narzędziem, za którym prawdopodobnie stoją cyberprzestępcy z Rosji, jest infostealer pod nazwą Racoon (szop), a więc oprogramowanie służące do kradzieży informacji. Jest ono dostępne na czarnym rynku w modelu usługowym jako MaaS (Malware-as-a-Service, czyli złośliwe oprogramowanie jako usługa). Racoon po raz pierwszy został wykryty w kwietniu tego roku, był dostępny wyłącznie w języku rosyjskim i sprzedawany na tamtejszych forach hakerskich. Teraz autorzy tego malware’u rozszerzyli swoją kampanię o fora anglojęzyczne.

Gdy atak się powiedzie, złośliwe oprogramowanie może wykonać jedno lub wszystkie z następujących czynności: robienie zrzutów ekranu, kradzież informacji o systemie i logów, danych przeglądarki, poświadczeń logowania oraz kradzież z portfela kryptowalut. Po pomyślnym zebraniu danych i wysłaniu ich do centrum command & control, Racoon próbuje usunąć ślady swojej obecności na zainfekowanym urządzeniu.

Kiedy cyberprzestępcy oglądają zbyt wiele anime

Zespół FortiGuard natrafił również na całkiem zabawną historię, w której cyberprzestępcy nazwali swoje narzędzia imionami postaci i przedmiotów pochodzących z popularnych japońskich serii anime. Narzędzia te miały takie nazwy jak Sakabota, Hisoka, Gon i Killua, wywodzące się z serii „Rurouni Kenshin” oraz „Hunter x Hunter”.

Przykładowo: Sakabota jest backdoorem, a więc umyślnie pozostawioną luką w zabezpieczeniach. Łączy się on z serwerami command & control poprzez protokół HTTP i był najbardziej aktywny w kampanii sięgającej drugiej połowy 2018 roku. Stwierdzono, że Sakabota umieszcza na zainfekowanych urządzeniach złośliwe oprogramowanie o nazwie Diezen, które komunikuje się z C&C za pomocą niestandardowego protokołu.

Przedstawione narzędzia dają cyberprzestępcy różne możliwości, w tym między innymi kradzież informacji, zbieranie haseł, robienie zrzutów ekranu zainfekowanego urządzenia lub też keylogging, czyli rejestrowanie klawiszy naciskanych przez użytkownika.

Czy ten artykuł był pomocny?

Oceniono: 0 razy

Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

guest
0 komentarzy
najstarszy
najnowszy oceniany
Inline Feedbacks
View all comments

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]