Video: How the Play Store put malware on 500,000 Android smartphones (Oktober 2024)
Mobilsikkerhedsfirma Lookout udsendte en rapport i dag på DefCon, der afslører den fantastiske størrelse, omfang og kompleksitet af Android-malware-operationer i Rusland. Rapporten fandt, at hovedparten af denne russiske malware ikke stammede fra enlige individer i kældre, men velolierede malwareproducerende maskiner.
I en tale med SecurityWatch forklarede seniorforsker og reaktionsingeniør Ryan Smith, at Lookouts interesse var veltet, da de bemærkede, at malware-SMS-svig fra Rusland udgjorde hele 30 procent af al malware, som virksomheden opdagede. I løbet af et halvt år afslørede virksomheden en hyttebranche, der var vokset op omkring produktion og distribution af Android malware.
Scam
Udkig opdagede, at 10 organisationer er ansvarlige for omkring 60 procent af den russiske SMS-malware derude. Disse var centreret omkring "Malware HQs", som faktisk producerer de ondsindede apps. Når de er downloadet, bruger disse apps SMS-kortkoder, der fakturerer ofre via deres trådløse operatør. I USA ser vi ofte disse knyttet til velgørende organisationer som Røde Kors.
Sådan fungerer svindel: Malware HQ opretter ondsindede applikationer, der kan konfigureres til at ligne næsten alt. De registrerer og vedligeholder også kortnumrene hos trådløse luftfartsselskaber. Selskaber eller personer, der arbejder på Malware HQ's vegne, tilpasser malware og markedsfører den via deres websteder og sociale medier.
Ofre finder tilknyttet websted eller spam i sociale medier og downloader de ondsindede applikationer. Når ofret er kommet på offerets Android-enhed, sender malware en eller flere premium-SMS-beskeder - normalt koster offeret mellem $ 3 og $ 20 USD.
Da Malware HQ ejer kortnumrene, får de pengene fra offerets transportør. De tager et snit og giver resten til de tilknyttede virksomheder, der tilsyneladende bliver betalt som normale medarbejdere baseret på deres præstationer. Smith siger, at Lookout observerede nogle tilknyttede virksomheder, der tjente $ 12.000 USD pr. Måned i over fem måneder, hvilket antyder, at dette er en lukrativ og stabil "forretning."
Kæmpe i skala og kompleksitet
Det er en ret ligetil svindel, og sandsynligvis den mest direkte måde at tjene penge med Android malware. Det, der gør Lookouts opdagelse bemærkelsesværdig, er operationernes størrelse og underlige virksomhedsart.
F.eks. Malware HQ har gjort det forbavsende let at tilknyttede virksomheder at tilpasse malware. Smith sagde, at Malware HQ producerede flere temaer for at gøre det nemt for tilknyttede virksomheder at tilpasse malware. "De kan få det til at ligne Skype, Google Play, hvad som helst for at lokke en bruger til at downloade det og tro på, at det er ægte, " sagde Smith.
Smith sagde, at malware-HQ-organisationerne også skubber opdateringer og ny kode hver uge til to uger "som enhver anden smidig opstart." Mange af disse opdateringer blev specifikt designet til at undgå sikkerhedsfirmaer og endda gå så langt som at "kryptere dele af programmet, der er dekrypteret, før de bruges."
På den anden side af operationen er tilknyttede virksomheder meget engagerede i deres arbejde, men også vanskelige. Der er, sagde Smith, fora og websteder, hvor tilknyttede virksomheder sammenligner driften af forskellige Malware HQ'er. Selvom regelmæssig betaling var et stort problem, var kundeservice - dybest set affilieret teknisk support - kritisk. Hvis tilknyttede virksomheder er utilfredse med en bestemt Malware-hovedkvarter, flytter de til en anden.
Malware HQ'erne går også ud af deres måde at gøre deres tilknyttede virksomheder vellykkede. Smith siger, at ringlederne ville motivere de tilknyttede virksomheder med kontante præmier for høj ydeevne - nogle så store som $ 300.000 USD. De oprettede endda reklameplatforme for tilknyttede virksomheder for at give bedre information om, hvilke svindel, der havde bedre resultater i hvilke regioner.
Sølvforingen
Selvom det er skræmmende at se kriminalitet udført i så stor skala, og med alt det fængslende med normalitet, er der nogle gode nyheder her. Læsere i USA kan hvile let, da de fleste af disse svindel bruger specifikke korte koder, der ikke fungerer uden for Rusland og de omkringliggende lande.
Endnu vigtigere er, at Smith forklarede, at de kan give bedre beskyttelse ved at afsløre det fulde omfang af denne fidus. ”Vi er nu i stand til at binde os tilbage til deres distribution, ” sagde Smith. Virksomheden kan nu tilsyneladende blokere mere end blot koden - der ofte ændres - men også udskærme servere, IP-adresser og andre markører.
Dette stopper ikke svindlerne direkte. Når alt kommer til alt, hvis de er smarte nok til at ændre deres kode, er de smarte nok til at vide, at sikkerhedsfirmaerne er på dem. Alligevel siger Smith, at dette kunne være en sejr i det lange løb: "For at foretage de ændringer, de har brug for, vil det være dyrt for dem."
Og vi ved, at det at gå efter tegnebogen er en fantastisk måde at bekæmpe malware.
Klik for at se det fulde billede
