29 Мая, 2019

Security Week 22: статистика угроз, банковские трояны и популярные эксплойты

Лаборатория Касперского
На прошлой неделе «Лаборатория Касперского» опубликовала отчет об эволюции киберугроз в первом квартале 2019 года. Краткий обзор можно прочитать в этой новости, а в посте мы подробнее рассмотрим две темы: банковские трояны для Android и Windows, а также наиболее часто эксплуатируемые злоумышленниками уязвимости в Windows и популярном софте.


Начнем с уязвимостей. Чаще всего реальные атаки с использованием уязвимостей нацелены на Microsoft Office — доля эксплойтов для этого офисного пакета составила 69%. Четыре самые популярные уязвимости были обнаружены и закрыты в 2017 году. Чаще всего используется вот эта уязвимость в компоненте Equation Editor. Она затрагивает все версии Office, начиная с 2007 и заканчивая 2016, включая Office 365. Несмотря на выпуск патча еще в ноябре 2017 года, киберпреступникам, судя по всему, удается находить достаточно жертв со старыми версиями ПО. Интересно, как меняются приоритеты атакующих в зависимости от популярности того или иного софта, и тут есть смысл посмотреть на аналогичные сводки прошлых лет. Начнем издалека — с 2012 года.


В отчете за 2012 год наблюдается совсем иная картина: у пользователей массово установлены компоненты Oracle Java и уязвимые версии Adobe Reader и Adobe Flash. На эту троицу приходится 80% всех активно используемых эксплойтов. В 2014 году Java атакуется часто, но на второе место выходят уязвимости в браузерах.

В статистике за 2016 год доля Java и Adobe Reader все еще значительная, но самые популярные эксплойты нацелены на браузеры и офисное ПО. Как оценивать такие изменения? Прежде всего, в такой статистике оцениваются широкомасштабные атаки. В таргетированных атаках могут использоваться совсем другие уязвимости, например этот баг в самой Windows, обнаруженный недавно. Популярные эксплойты выбираются киберпреступниками по возможности поставить взлом компьютеров (а с некоторых пор — и мобильных устройств на Android) на поток. Хотя не стоит забывать о новых серьезных уязвимостях, в настоящий момент полностью пропатченный и обновленный офисный пакет и браузер — это то, чем нужно озаботиться в первую очередь.

Каждый месяц продукты «Лаборатории Касперского» блокируют десятки тысяч вредоносных атак на Android-устройства, целью которых является кража денег со счетов пользователей. Относительно общего количества атак это на самом деле немного: в Австралии за первый квартал было атаковано 0,81% всех пользователей, и это самый высокий показатель. В России банковские трояны были заблокированы у 0,64% пользователей. Банковские трояны на десктопах встречаются чаще — детектируются у 1–3% пользователей в зависимости от страны. Как обычно, внимание к таким вредоносным программам обусловлено немедленными и чувствительными финансовыми потерями, в случае успешного заражения. Посмотрим на список самых популярных зловредов для кражи денег на Android:

Как вообще выглядят мобильные трояны? Начнем с верхних строчек рейтинга. Семейство Asacub подробно описано в этой прошлогодней статье. Известные с 2015 года трояны распространяются через SMS- и MMS-сообщения, со ссылкой на страницу, предлагающую посмотреть фото. Вместо фото скачивается установочный файл.

При установке программа запрашивает права администратора устройства либо доступ к службе специальных возможностей (Accessibility Service, из-за регулярного ее использования не по назначению, приложения, ее использующие, были забанены в Google Play в 2017 году).

После установки троян получает команды с управляющего сервера. Так как он становится приложением для отправки и получения SMS по умолчанию, он может переводить деньги со счета жертвы и получать коды подтверждения от банков по SMS, незаметно для пользователя. Он также способен блокировать запуск банковских клиентов на смартфоне, чтобы не было возможности проверить баланс. По данным на август 2018 года, 98% всех атак Asacub приходились на Россию. В общей статистике за 2018 год на Asacub приходится 58% атак. На втором и третьем местах — семейства банковских троянов Trojan-Banker.AndroidOS.Agent и Svpeng.

Семейство Svpeng существует еще дольше — первые упоминания относятся к 2013 году . В отличие от Asacub, эта вредоносная программа таргетирует пользователей по всему миру. На скриншоте выше — результат действия трояна: при открытии магазина приложений Google его окно перекрывается запросом на ввод данных кредитной карты. Помимо кражи денег непосредственно со счетов жертв, некоторые версии вредоноса также вымогают средства у пользователя.

Владельцы традиционных ПК и ноутбуков сталкиваются с финансовыми зловредами чаще, чем пользователи мобильных устройств. На десктопе наблюдается большее разнообразие вредоносных программ, и потери в ряде случаев могут быть выше. Например, банковский троян RTM, занявший первую строчку рейтинга в своей категории, нацелен на систему Дистанционного Банковского Обслуживания на предприятиях. В случае Android-троянов важную роль играет готовность пользователя распознать угрозу: для работы такие зловреды часто требуют несколько разрешений на получение расширенных прав от владельца. Возможности отличить такие запросы от легитимных (которые тоже часто «всплывают») у технически неподкованных владельцев смартфонов нет. Отсюда и последствия: по данным Центробанка РФ за 2017 год, со счетов граждан было украдено около миллиарда рублей. В половине случаев, правда, используются не технические средства, а банальная социальная инженерия. Будьте бдительны!

Disclaimer: Мнения, изложенные в этом дайджесте, могут не всегда совпадать с официальной позицией «Лаборатории Касперского». Дорогая редакция вообще рекомендует относиться к любым мнениям со здоровым скептицизмом.