Det er mere sandsynligt, at du bliver ramt af lyn end inficeret med mobil malware

På RSA 2015-konferencen meddelte forskere fra sikkerhedsfirmaet Damballa, at I USA er det meget mere sandsynligt, at du bliver ramt af lyn end inficeret med mobil malware. Selvom dette understøtter en tidligere undersøgelse foretaget af virksomheden, fandt Damballa, at der var noget meget underligt, der foregik på mobile enheder.

Sporing af ondsindet trafik

Damballas forretning er automatiseret overtrædelsesforsvar baseret på analyse af big data. Mens han arbejdede med en stor amerikansk trådløs transportør, var Damballa i stand til at sammenligne trafikdata med kendte ondsindede webadresser, der blev uddraget fra ca. 70.000 mobile malware-prøver. "Det var lidt af en manuel proces at fjerne de fælles domæner, der sandsynligvis ikke er forbundet med malware, " forklarede seniorforsker Charles Lever. "Det var smertefuldt."

I deres forskning sagde Lever, at Damballa ikke havde adgang til nyttelasten af ​​disse transmissioner, bare URL'erne. Virksomheden gjorde det klart, at det ikke var synligt i kundedata.

Omfanget af Damballas undersøgelse er enormt med fokus på ca. 151 millioner enheder pr. Dag, op fra 25 millioner, da virksomheden gennemførte undersøgelsen i 2012. Virksomheden sagde, at dette udgjorde 50 procent af mobilt datatrafik i USA, men af disse så virksomheden kun ca. 9.688 enheder, der nåede ud til URL'er, der er forbundet med mobil malware.

Det fungerer, at 0, 0064 procent af trafikken er ondsindet. I selskabets pressemeddelelse sagde Damballa, at National Weather Services 'officielle odds for at blive ramt af lyn var væsentligt højere på 1, 3 procent.

Sikker havn

Lever sagde, at undersøgelsens konklusioner støttede forestillingen om, at selvom malware-malware er blevet meget diskuteret i sikkerhedskredse (og af denne forfatter). "Vi finder masser af malware-prøver, men jeg er ikke sikker på, at disse prøver går hen på deres enheder, " sagde Lever.

"Vi har stærke førstepartsmarkeder i USA, " fortsatte Lever med henvisning til Apple App-butikken og Google Play-butikken. Han sagde, at disse butikker har gode sikkerhedsforanstaltninger, der har holdt de værste aktører ude, og inkluderer værktøjer, der giver Apple og Google mulighed for eksternt at deaktivere eller fjerne ondsindede apps, der muligvis finder vej til brugernes enheder.

Naturligvis har Damballas undersøgelse begrænsninger. Det er for eksempel fokuseret på potentielt ondsindet netværkstrafik snarere end faktiske ondsindede installationer på mobile enheder. Det dækker også kun halvdelen af ​​USA, hvilket efterlader store dele af verden uden regnskab. Lever sagde, at det er muligt, at infektioner med mobil malware kan være meget højere uden for USA. "Jeg kunne se, at den var højere, men det kunne jeg ikke sige empirisk, " sagde Lever.

Interessant nok af den ondsindede mobile trafik, som Damballa observerede, ville det meste af det blive karakteriseret som adware.

Shadowy Traffic

Men mens mobil malware ikke gjorde en stor visning i Damballa's undersøgelse, gjorde noget andet. Ud over trafik, der var forbundet med mobil malware, forklarede Lever, at Damballa også spores anmodninger fra mobile enheder til andre typer ondsindet infrastruktur. Dette kan være infrastruktur til desktop-malware, phishing-operationer, botnets osv. Leveringens anmodninger om skyggefulde dele af internettet fra mobile enheder var væsentligt højere end anmodninger om URL'er til malware-malware.

Hvor meget større? Efter flere størrelsesordrer. Damballa rapporterede 100.000 anmodninger forbundet med mobil malware, som det spores til disse 10.000-ulige enheder. Det spores 100 millioner anmodninger til websteder, der syntes at være driveby-downloads, og 1 milliard (med en "b!") Anmodning, der er forbundet med malware, der er målrettet mod skrivebordet. Igen kommer disse anmodninger alle fra mobile enheder.

Lever sagde, at selv om disse lyssky anmodninger fra mobile enheder er "betydeligt større end hvad vi ser for mobil malware", er deres årsag stort set ukendt.

Lever antydede, at noget af trafikken kunne komme fra mobile brugere, der blev offer for phishing-websteder. Andre sikkerhedseksperter har antydet, at phishing muligvis er lettere på mobile enheder, fordi den sammenlignelige lille skærm afbryder mistænkelige URL-adresser, og låseikonet, der er knyttet til en SSL-forbindelse, ikke er synligt.

Under samtalen forblev Lever stort set optimistisk med hensyn til mobilsikkerhed, men da han diskuterede disse usædvanlige fund, tog han en bestemt negativ vending. Han sagde, at selv om uanset hvad der forårsager denne enorme mængde mistænkelig netværkstrafik muligvis ikke er et problem i dag, kunne det være i fremtiden. Eller det kan endda være resultatet af i øjeblikket ukendte ondsindede applikationer.

• Android 4.1.1 stadig sårbar over for Heartbleed Android 4.1.1 stadig sårbar over for Heartbleed
• Ondsindede Android-apps kan hacke Gmail Ondsindede Android-apps kan hacke Gmail
• Mobile Threat Monday: Android Apps Skjul Windows Malware Mobile Threat Monday: Android Apps Skjul Windows Malware

"Det er et stort risikoområde, som ikke studeres lige nu og kunne bruge mere forskning til at finde ud af, hvad dette er, " sagde Lever. "Er det phishing? Er det spam? Hvad er fordelingen? Og hvor meget af det påvirker i øjeblikket mobile enheder, og hvor meget kunne der i fremtiden?"

Forhåbentlig vil fremtidig forskning kunne sammensætte dette puslespil.