Όλες οι απειλές, οι ιοί και το κακόβουλο λογισμικό malware που είχαμε συναντήσει την τελευταία δεκαετία στους φορητούς και σταθερούς υπολογιστές τους συναντούμε τώρα στις φορητές συσκευές και έχουν στόχο να υποκλέψουν τα προσωπικά δεδομένα.
Το mobile malware, δηλαδή το κακόβουλο λογισμικό που στοχεύει σε φορητές συσκευές όπως κινητά ή tablet, ξεκίνησε την επικίνδυνη πορεία του το 2004. Τότε ονομαζόταν Cabir και μόλυνε συσκευές της Nokia που “έτρεχαν” το λειτουργικό σύστημα Symbian του Φινλανδού κατασκευαστή. Στην πραγματικότητα, ήταν ένα συγκεκριμένο είδος malware, που δεν βλέπουμε και πολύ σήμερα, ένας ιός. Σε σύγκριση με το μοντέρνο malware, οι ιοί αποτελούν διπλό κακό. Όχι μόνο είναι ικανοί να μολύνουν και να πάρουν τον έλεγχο της συσκευή σας, αλλά επιπλέον μπορούν να αυτό-πολλαπλασιάζονται, και να εξαπλώνονται σε άλλες συσκευές, λες και πρόκειται για κάποιο είδος διαβολικού ζωντανού οργανισμού. Όπως λοιπόν είναι κατανοητό, δεν θέλουμε να γιορτάζουμε την συγκεκριμένη επέτειο, το αντίθετο μάλιστα. Παρόλα αυτά, μπορούμε να κοιτάξουμε στο παρελθόν, στην τελευταία 10ετία και να δούμε τι μάθαμε. 10 χρόνια λοιπόν mobile malware.
2004 – Cabir – Symbian
Ο Cabir, αλλιώς γνωστός και ως Caribe, ήταν μία οικογένεια ιών του Symbian που ουσιαστικά ξεκίνησε το πρόβλημα του mobile malware. Περισσότερο λόγω διερευνητικής περιέργειας και όχι όπως θα έκανε ένας επικίνδυνος ιός, ο Cabir εξαπλωνόταν χρησιμοποιώντας την τεχνολογία Bluetooth. Αυτό σημαίνει ότι μεταπηδούσε από το ένα κινητό στο άλλο εφ΄ όσον ήταν ενεργοποιημένη η λειτουργία Bluetooth και βρισκόταν εντός εμβέλειας, δηλαδή σε συγκεκριμένη απόσταση. Ένα χρόνο πριν εμφανιστεί ο Cabir, είχε εμφανιστεί μία τρελή ιδέα με την ονομασία Bluejacking, μέσω της οποίας μπορούσε κάποιος να στείλει απαράγγελτα μηνύματα σε οποιαδήποτε συσκευή Bluetooth που βρισκόταν σε απόσταση εντός 10 μέτρων. Οι τρόποι αντιμετώπισης του Bluejacking ήταν δύο και ιδιαίτερα απλοί: η παραμετροποίηση της συσκευή ως “μη ανακαλύψιμη”, ώστε να μην “ανακοινώνεται” η διαθεσιμότητα της στις συσκευές τριγύρω ή απλώς η απενεργοποίηση της λειτουργίας Bluetooth, εφόσον δεν χρησιμοποιούταν πραγματικά. Ένας λόγος παραπάνω ήταν η αύξηση της αυτονομίας της μπαταρίας. Οι μη ανακαλύψιμες συσκευές είχαν προφανώς ανοσία σε ιούς όπως ο Cabir.
2005 – Drever – Symbian
Ο Drever ήταν το πρώτο ψεύτικο antivirus για φορητές συσκευές. Το συγκεκριμένο malware που είχε την εμφάνιση μίας νόμιμης εφαρμογής ισχυριζόταν ότι ήταν ένα προϊόν προστασίας από ιούς από την Ρωσική εταιρεία anti-malware Dr Web. Κατ’ αυτό τον τρόπο δεν χρειαζόταν να είναι ιός ή worm που θα έπρεπε να βρει τρόπο να εισχωρήσει στο κινητό του χρήστη, αλλά μεταμφιεζόταν σε μία νόμιμη εφαρμογή, τουλάχιστον εμφανισιακά, που ζητούσε από το χρήστη να την εγκαταστήσει στο κινητό του. Ο Drever προσπαθούσε στη συνέχεια να διαγράψει άλλα προγράμματα antivirus, όπως των Kaspersky και Simworks, και έτσι θα μπορούσε να χαρακτηριστεί ώς anti-antivirus.
2006 – Xrove – WinCE
Ευτυχώς ο συγκεκριμένος ιός αποτέλεσε μόνο ένα πείραμα λειτουργικότητας (proof of concept) και τίποτα περισσότερο, αλλά μπορούσε να μεταφέρεται από Windows PC σε φορητές συσκευές με Windows CE εφόσον συνδέονταν μεταξύ τους. Η ιδέα της χρήσης ενός σταθερού ή φορητού υπολογιστή ως μέσου μεταφοράς mobile malware, αντί της χρήσης κάποιας δικτυακής σύνδεσης επαναχρησιμοποιήθηκε το 2014 με το APK Downloader Trojan για το λειτουργικό σύστημα Android. Παρόλο που ο προγραμματιστής του Xrove ανέπτυξε τον ιό ως πείραμα, ο Xrove ως διαβολικό αποτέλεσμα διέγραφε όλα τα έγγραφα στον φάκελο My Documents.
2007 – FlexSpy – Symbian
Το FlexSpy για το Symbian ήταν ένα προϊόν που μπορούσε να αγοραστεί. Μάλιστα η εταιρεία που το δημιούργησε υπάρχει ακόμη, συνεχίζοντας την ανοιχτή προώθηση του λογισμικού της παρακινώντας τους χρήστες να “Κατασκοπεύσουν έξυπνα κινητά τηλέφωνα και ταμπλέτες” για να πιάσουν όσους απατούν τους συζύγους του ή για να παρακολουθούν τους υπαλλήλους τους. Η έκδοση Symbian του FlexSpy απέκτησε την φήμη του πρώτου spyware που χρησιμοποιούσε μία εισερχόμενη κλήση από έναν προκαθορισμένο τηλεφωνικό αριθμό ως σήμα για να ενεργοποιηθεί και να ξεκινήσει τις υποκλοπές χωρίς να κινήσει υποψίες. Η εταιρεία πίσω από το λογισμικό θεωρεί ότι οι νομικές προεκτάσεις της αγοράς και της χρήσης του λογισμικού αποτελούν θέμα που πρέπει να απασχολεί μόνο τους πελάτες της. Πράγματι, στην ιστοσελίδα της εταιρείας αναφέρεται: “Αποτελεί ευθύνη του χρήστη του προϊόντος να τηρεί τους ισχύοντες νόμους του κράτους στο οποίο βρίσκεται, σε σχέση με την χρήση του προϊόντος για ύπουλους σκοπούς. Παρακαλούμε διαβάστε την πλήρη νομική αποποίηση ευθυνών”.
2008 – Meiti – WinCE
Οι κυβερνοεγκληματίες ποτέ δεν αποδέχτηκαν θετικά το λειτουργικό σύστημα Windows Mobile. Δυστυχώς για την Microsoft, και οι περισσότεροι από εμάς. Αυτός ήταν πιθανόν και ο λόγος που κράτησε τους εγκληματίες μακριά από την πλατφόρμα αφού δεν υπήρχαν αρκετά πιθανά θύματα. Παρόλα αυτά ορισμένοι κακοποιοί προσπάθησαν ούτως ή άλλως και ο Meiti ήταν ένας ιός που μεταμφιεσμένος ως game pack έκλεβε δεδομένα. Πρόσθετε στον φάκελο games του χρήστη ορισμένα παιχνίδια, οπότε ο χρήστης έπαιρνε κάτι για το τίποτα, αλλά όπως καταλαβαίνετε, έπαιρνε και κάτι. έξτρα.
2009 – Ikee – iOS
Το Ikee ήταν το πρώτο ιογενές κακόβουλο λογισμικό (malware) για συσκευές iOS της Apple. Οι μολυσμένες συσκευές γινόντουσαν “Rickrolled”, αφού άλλαζε η ταπετσαρία τους (wallpaper) σε μία φωτογραφία του τραγουδιστή της δεκαετίας του ’80, Rick Astley. Το Ikee δημιουργήθηκε “για πλάκα” από ένα νεαρό Αυστραλό και η αστυνομία δεν προχώρησε στην σύλληψη του αφού δεν ήθελε να δώσει επιπλέον έκταση στο θέμα. Παρόλα αυτά ο νεαρός βρήκε δουλειά ως developer εφαρμογών της Apple. Το κακόβουλο λογισμικό μόλυνε μόνο τις συσκευές iOS που ήταν “σπασμένες” (jailbroken) δηλαδή μόνο αυτές στις οποίες τα συστήματα ασφαλείας της Apple είχαν παρακαμφθεί σκοπίμως.
2010 – Android Wallpapers – Android
Με βάση ορισμένες έρευνες και μετρήσεις, τέτοιου είδους εφαρμογές δεν αποτελούν malware. Αλλά κάποιοι ερευνητές στο συνέδριο BlackHat που πραγματοποιήθηκε στο Λας Βέγκας το 2010 αναγνώρισαν αναρίθμητες εφαρμογές αυτού του τύπου που είχαν “κατέβει” από περισσότερους από 1 εκατομμύριο χρήστες, και λειτουργούσαν με τρόπο πιο κοντά σε αυτόν που λειτουργεί το malware από όσο θα θέλαμε. Κατά την εγκατάσταση, οι εφαρμογές έκαναν άνω, κάτω το κινητό χωρίς να ρωτήσουν, εξήγαγαν προσωπικά δεδομένα όπως τον σειριακό αριθμό SIM, το ID του συνδρομητή και όλα αυτά τα δεδομένα τα έστελναν σε developers στην Κίνα. Αυτός ο υπερβάλλων ζήλος στην συλλογή δεδομένων από τις συσκευές ήταν ένα προμήνυμα για όσα θα ακολουθούσαν στο περιβάλλον Android και iOS, ακόμα και από εφαρμογές που ο χρήστης μπορούσε να κατεβάσει νόμιμα από τα τα επίσημα online καταστήματα (online app store) των Google και Apple. Πολλές εταιρείες αντιμετώπισαν πολλά προβλήματα και κριτικές είτε από την κοινότητα των προγραμματιστών είτε από την ίδια την Ομοσπονδιακή Επιτροπή Εμπορίου των Ηνωμένων Πολιτειών για αυτή την συμπεριφορά τους. Οι εφαρμογές Path και Hipster αντέγραφαν την λίστα των επαφών των χρηστών χωρίς να ρωτήσουν, η εφαρμογή Brightest Flashlight που υποτίθεται ότι ήταν ένας απλός φακός έστελνε χωρίς να ρωτήσει τον χρήστη δεδομένα τοποθεσίας και τα πουλούσε σε διαφημιστικές εταιρείες. Το Snapchat ζητούσε τον τηλεφωνικό αριθμό του χρήστη, και στη συνέχεια θεωρούσε αυτό ως πρόσκληση για να έχει πρόσβαση σε όλη την λίστα των τηλεφωνικών αριθμών του. Πολλές εφαρμογές έχουν ακόμη τέτοια συμπεριφορά και συλλέγουν δεδομένα τα οποία τα “ανεβάζουν” σε διακομιστές χωρίς κρυπτογράφηση, με αποτέλεσμα οι πληροφορίες κάποιες φορές να πέφτουν στα χέρια κάποιων που δεν θα έπρεπε.
2011 – DroidDream – Android
Στις αρχές του 2011, μία ολόκληρη σειρά από παραβιασμένες εφαρμογές (hacked), όπως λόγου χάρη ένα παιχνίδι bowling που έδειχνε αθώο και ήταν ιδιαίτερα διασκεδαστικό, εισήλθαν στο Google Play store, με την έγκριση της Google ουσιαστικά. Στη πραγματικότητα όμως αυτές οι εφαρμογές ήταν μολυσμένες με ένα trojan που έστελνε ευαίσθητα προσωπικά δεδομένα σε κυβερνοκακοποιούς μεταξύ των οποίων τους αριθμούς IMSI και IMEI που ουσιαστικά προσδιόριζαν τόσο τον χρήστη όσο και την συσκευή του. Το malware DroidDream επίσης δημιουργούσε εσκεμμένα μία σειρά από προβλήματα στο λογισμικό (exploits) που ουσιαστικά αφορούσαν διάφορα προνόμια χρήσης για προετοιμασία της συσκευής για μελλοντική της κατάχρησή. Οι επιτιθέμενοι εκμεταλλευόμενοι τις “πόρτες που άφηνε ανοιχτές” το DroidDream μπορούσαν να έχουν πρόσβαση στο κινητό σε επίπεδο “root” αποκτώντας κατά αυτό τον τρόπο τον πλήρη έλεγχο της συσκευής. Όπως είναι προφανές, ήταν μία ιδιαίτερα κακή και ντροπιαστική εικόνα για την Google που είχε δώσει την έγκριση της για να εισέλθει ουσιαστικά το malware στο Google Play store. Η εταιρεία αναγκάστηκε να ενεργοποιήσει ένα μηχανισμό «kill switch» στο online κατάστημα τον οποίο ονόμασε Android Market Security Tool. Χάρη σε αυτό το εργαλείο η Google μπορούσε να αποσύρει αναδρομικά την έγκριση από εφαρμογές του Play store, ακόμα δηλαδή και αν αυτές είχαν κατεβεί και εγκατασταθεί σε συσκευές χρηστών.
2012 – KongFu – Android
Η ιστορία με τα παραβιασμένα παιχνίδια (hacked) που ήταν γεμάτα malware συνεχίστηκε και το 2012, με τους κακοποιούς να εκμεταλλεύονται την δημοτικότητα του παιχνιδιού Angry Birds και της έκδοσης Angry Birds Space που διατέθηκε τον Μάρτιο του 2012. To malware ουσιαστικά ήταν μία λειτουργική αντιγραφή του παιχνιδιού, την οποία επιτήδειοι είχαν παραβιάσει με παρόμοιο τρόπο με το DroidDream, ώστε να ανοίγει πολλές «πόρτες» ασφάλειας (exploits) προσφέροντας δικαιώματα σε επίπεδο “root” στους επιτιθέμενους ώστε οι τελευταίοι να εγκαταστήσουν στην συσκευή ό,τι malware είχαν στο μυαλό τους στη συνέχεια. Για να ξεγελάσουν το λογισμικό ασφαλείας, το συγκεκριμένο malware περιλάμβανε μία μορφή στεγανογραφίας, όπου ένα αρχείο είναι κρυμμένο μέσα σε ένα άλλο αρχείο εντελώς διαφορετικού τύπου. Το KongFu malware έκρυβε δύο εκτελέσιμα προγράμματα γνωστά ως αρχεία ELF τα οποία βρίσκονταν μέσα σε ένα αρχείο τύπου JPEG.
2013 – MasterKey – Android
To 2013 ήταν μία κακή χρονιά για τους προγραμματιστές της Google, αφού αποδείχτηκε ότι είχαν κάνει προχειροδουλειές και είχαν αφήσει ένα σωρό ευπάθειες και κενά ασφαλείας στο στοιχείο επαλήθευσης κώδικα του Android. Αυτό είναι ένα πολύ σημαντικό και πολυδιαφημισμένο στοιχείο του λειτουργικού συστήματος που ελέγχει την ψηφιακή υπογραφή της εφαρμογής και επιβεβαιώνει ότι η εφαρμογή δεν είχε πέσει θύμα παραβίασης (hacking). Τα κενά ασφαλείας προκλήθηκαν από: α) λάθος χειρισμό των διπλότυπων ονομασιών (duplicate filenames) στα αρχεία εφαρμογών APK. β) Υπερχείλιση ακέραιου στον χειρισμό του μήκους των ονομασιών στα αρχεία APK, αντιμετωπίζοντας το πρόβλημα ο ακέραιος προς αποθήκευση να είναι μεγαλύτερος από το μέγιστο και γ) την εσφαλμένη επεξεργασία των κατεστραμμένων πληροφοριών καταλόγου στα αρχεία APK. Χωρίς την επαλήθευση του κώδικα, ο οποιοσδήποτε μπορούσε να πάρει μία αρκετά γνωστή και έμπιστη εφαρμογή από το Play Store, να την παραβιάσει και στην συνέχεια να την ξαναστείλει πίσω με την κρυπτογραφημένη αποδοχή του ίδιου του Android μάλιστα. Τέτοια κενά ασφαλείας στον κώδικα του επαληθευτή της Google επέτρεψε σε malware όπως το MasterKey να κάνει ακριβώς αυτό το πράγμα, κλέβοντας ουσιαστικά την ταυτότητα νόμιμων προγραμμάτων ώστε το φταίξιμο να πέφτει άδικα σε αυτούς που νομίμως την κατασκεύασαν χωρίς αυτοί να έχουν ιδέα.
2014 – Kohler – Android
Το τελευταίο σε αυτή την ιστορική λίστα είναι το Kohler, το πιο πρόσφατο παράδειγμα mobile malware το οποίο έχει αντιγράψει γνωστές τεχνικές που συνηθίζονται σε επιτραπέζιους και φορητούς υπολογιστές. Το Kohler είναι γνωστό και ως “Policeware” ή “Police Locker” και ουσιαστικά καταλαμβάνει την συσκευή Android, με μία προειδοποίηση που ισχυρίζεται ότι ο χρήστης βρίσκεται υπό παρακολούθηση από σώματα επιβολής του νόμου για υποτιθέμενη εγκληματική δραστηριότητα. Το malware απαιτούσε στη συνέχεια το ποσό των 300 δολαρίων μέσω της υπηρεσίας MoneyPak για να ξεκλειδώσει τη συσκευή του χρήστη. Λογικά θα πρέπει κάπου να έχετε ακούσει ή διαβάσει για κάτι παρόμοιο όπως το Reveton malware που είχε εξαπλωθεί σε υπολογιστές με Windows το 2012. Όπως αποδείχτηκε οι δύο αυτοί τύποι malware είχαν τελικά δημιουργηθεί από τους ίδιους κυβερνοεγκληματίες.
Στα παραπάνω συμπεριλαμβάνονται έντεκα διαφορετικοί τύποι malware σε τέσσερις διαφορετικές φορητές πλατφόρμες και από ότι φαίνεται όλα τα κόλπα και οι τεχνικές που χρησιμοποιούνται από τους κυβερνοεγκληματίες στους υπολογιστές Windows εφαρμόζονται με παρόμοιο τρόπο και στον κόσμο των φορητών συσκευών. Όλες οι απειλές, οι ιοί και το κακόβουλο λογισμικό malware που είχαμε συναντήσει την τελευταία δεκαετία στους φορητούς και σταθερούς υπολογιστές τους συναντούμε τώρα στις φορητές συσκευές και έχουν στόχο να υποκλέψουν τα προσωπικά δεδομένα για βιομηχανική ή κρατική κατασκοπεία, να υποκλέψουν τα στοιχεία πιστωτικών καρτών ή κωδικούς και ονόματα για υπηρεσίες πληρωμής, να κάνουν άνω κάτω το κινητό σας ή ακόμα και να το κρυπτογραφήσουν για να ζητήσουν λύτρα ώστε να το αποκρυπτογραφήσουν ενώ τελευταία έχουμε να αντιμετωπίσουμε και απειλές που έχουν στόχο να υποκλέψουν την τοποθεσία σας για να γνωρίζουν που βρίσκεστε ανά πάσα στιγμή, να υποκλέψουν μηνύματα SMS που αφορούν στην ταυτοποίηση δύο παραγόντων αλλά και να υποκλέψουν εξερχόμενες ή εισερχόμενες κλήσεις. Αν θέλετε να μάθετε περισσότερα μπορείτε να ρίξετε μία ματιά στην ιστοσελίδα της Sophos στη διεύθυνση http://www.sophos.com/mobile όπου μπορείτε να προστατευτείτε άμεσα από τους κινδύνους που απειλούν τις φορητές συσκευές κάθε κατασκευαστή.
Γιώργος Καπανίρης
Διευθυντής Στρατηγικής Ανάπτυξης, NSS
* το άρθρο βασίζεται σε σχετική έρευνα της Sophos
