2 марта 2020

Кибериммунитет, или как защитить свой смартфон от угроз

Алексей Подболотов

Вирус COVID-19 продолжает шествовать по планете. Вслед за GSMA, отменившей выставку MWC в Барселоне, другие организаторы тоже аннулируют свои мероприятия. Отменен Венецианский фестиваль, а Миланская неделя моды закончилась на несколько дней раньше, Facebook решили не проводить свою конференцию F8, в Женеве не будет крупнейшей ежегодной автовыставки, а игровая конференция GDC перенесена на лето. И вполне вероятно, что это не последние отмены, которые мы увидим в этом году.

При этом в Барселоне, несмотря на отмену непосредственно выставки, отдельные мероприятия все-таки состоялись. Мы уже писали о презентациях Huawei и Honor, однако совершенно неожиданно свою презентацию решила провести и еще одна компания – «Лаборатория Касперского», российский разработчик решений по информационной безопасности. Её представители поведали присутствующим журналистам о вирусах, правда, не реальных, а кибернетических, но оттого не менее опасных.

Смартфоны – источник ценнейшей информации

Количество важной информации, которую мы храним в своих смартфонах, увеличивается с каждым годом. Еще десять лет назад отдельные пользователи могли переживать в основном только за попадание в общий доступ фотографий с «клубничкой», которые они по своей невнимательности хранили на телефонах. Сейчас же речь идет о гораздо более «весомых» вещах: фотографии паспортов и водительских прав, данные банковских карточек, и многое другое. Для многих людей смартфон де-факто стал единым «центром обработки информации» – в нем решаются рабочие вопросы, обсуждаются проблемы дома в общем чате собственников, покупаются и хранятся авиабилеты, а важные дела заносятся в календарь. И если с паспортами и карточками все примерно понятно, то какая может быть ценность для злоумышленников в условном родительском школьном чате? 

На самом деле, все это в совокупности создает так называемый индивидуальный «цифровой след» человека, благодаря которому он становится более легкой жертвой преступников: как кибернетических, так и вполне физических. Допустим, раньше какому-нибудь «домушнику» нужно было вечерами наблюдать за окном нужной квартиры, а потом вскрывать замок отмычкой. Сейчас же ему достаточно купить где-нибудь в даркнете такой вот «цифровой след» интересующего его человека с авиабилетами на конкретную дату и, например, метод открытия «умного» замка, установленного в его двери.

Звучит как не самый распространенный сценарий, однако и отрицать ценность данных, которые хранятся на наших устройствах, нельзя. И с увеличением объема этих данных будет расти и желание киберпреступников завладеть ими. Виктор Чебышев, антивирусный эксперт «Лаборатории Касперского», на презентации в Барселоне рассказал о наиболее значимых тенденциях в области мобильных вредоносных программ и угроз конфиденциальности. Если судить по докладу Чебышева, за последние годы их наметилось три: рекламный и сталкерский софт, а также эксплуатация уязвимостей сервисов специальных возможностей, используемых в смартфонах.

Рекламное ПО (Adware)

Рекламный софт стал одной из самых заметных угроз для мобильных устройств в прошедшем году. «Представители» этой категории заняли четыре строчки в своеобразном «топ-10» обнаруженных угроз для смартфонов за 2019 год. Двое из них (HiddenAd.et и Agent.f) заняли в этом списке третье и четвертое места соответственно. 

Зловредное влияние рекламного ПО проявляется двумя основными путями. Во-первых, оно просто-напросто собирает слишком много данных для вроде бы благих целей – показа таргетированной рекламы. Его интересуют ваше местоположение, контакты, история переписки и посещенных страниц, список установленных приложений и многие другие вещи. Для анализа эти данные, само собой, передаются на удаленные сервера, где и начинается все «веселье». По факту эти данные перестают вам принадлежать, а конфиденциальная информация запросто может попасть на сервера третьих сторон, откуда может быть использована злоумышленниками. Как бы нам ни хотелось верить, что в больших цифровых компаниях вопрос безопасности данных решен на высоком уровне, это не является правдой. Скандалы с утечками пользовательской информации были как у крупных отечественных сервисов (например, Mail.Ru и «Яндекс»), так и у зарубежных техногигантов (вроде Google, Apple и Microsoft). Что уж говорить о небольших сайтах, возможности настройки защиты у которых весьма ограничены.

Ну а во-вторых, рекламный софт порой настолько активно выполняет свою основную функцию – показ рекламы, что устройством становится просто невозможно пользоваться из-за её обилия. Он тормозит работу центрального процессора, заполняет оперативную память, забивает хранилище и ускоряет разряд аккумулятора – в общем, влияет почти на все аспекты работы смартфона. В таких случаях зачастую помогает сброс устройства до заводских установок, но некоторые особо «живучие» виды рекламных программ остаются на нем даже после этой процедуры. К сожалению, количество рекламного софта увеличивается очень быстро – за последний год оно выросло в два раза. Наилучшим выходом из этой ситуации является использование антивирусных решений, предупреждающих и устраняющих подобные приложения еще до того, как они начнут свою работу.

Сталкерское ПО (Stalkerware)

Еще одной популярной угрозой в 2019 году стал специализированный софт для слежки за людьми. Это те приложения и сервисы, которые устанавливают на смартфоны жен и мужей, детей и пожилых родственников, поэтому второе часто используемое название для них – spouseware (от англ. spouse – «супруг(а)»). Но не стоит путать stalkerware с программами для родительского контроля, хоть первые и пытаются всячески мимикрировать под вторых. Отличие софта для слежки в том, что он устанавливается скрытно, работает в фоне, не проявляя себя в системе видимым образом. Зачастую все эти программы лишь условно легальны и не соответствуют политикам магазина Google Play, поэтому туда и не попадают. Пользователи, отслеживающие своих близких, покупают их на официальных сайтах разработчиков, скачивают из сторонних магазинов приложений, на форумах и из других потенциально опасных мест. Мало того, даже сам процесс установки приложений из сторонних источников требует в ОС Android специального разрешения, которое неопытные пользователи включают, а потом забывают выключить.

Как и рекламный софт, сталкерское ПО отслеживает местоположение, историю смс и сообщений в мессенджерах, имеет доступ к мультимедийным файлам и установленным приложениям, а некоторые и вовсе позволяют записывать звук и вести скрытую съемку. Самые опасные представители и вовсе требуют root-доступа к системе, получение которого создает для них иммунитет от антивирусных решений. И было бы хорошо, если бы подобный софт «честно» передавал информацию только тому, кто за нее платит. Но, как правило, никто не может гарантировать, что вся эта информация, привязанная к определенному человеку и его устройству, не будет передана этим сервисом «налево». А даже если это не сделает он сам, то её запросто могут выкрасть киберпреступники, для которых она – лакомый кусочек. Мы снова возвращаемся к тому, что даже огромные международные сервисы с мощными отделами безопасности иногда позволяют случиться утечкам, что уж говорить про маленькие сервисы с десятком разработчиков и хранением всех пользовательских данных на сторонних облачных серверах. 

И самое обидное, что таким образом «сталкеры» вредят не только объекту своего отслеживания, но и окружающим, и даже себе. Ведь этот софт не будет фокусироваться исключительно на данных необходимого пользователя, он будет изучать и отправлять вообще все данные, что обнаружит. Например, если вы не доверяете своим сотрудникам и установили подобные приложения на корпоративные смартфоны, то в сеть потенциально могут попасть и конфиденциальные документы, которые эти сотрудники скачают на свое устройство. Даниэль Креус, специалист по защите из команды GReAT (Global Research & Analysis Team – «Глобальный центр исследования и анализа угроз»), сравнил установку подобного софта с действиями так называемых «антипрививочников», которые вредят как одному отдельно взятому человеку, так и всей популяции в целом.

В попытках защитить свои программы от обнаружения разработчики сталкерского ПО усложняют архитектуру своих приложений, пытаются сделать их менее уязвимыми перед антивирусным софтом. Однако и разработчики последнего тоже улучшают алгоритмы анализа и предпринимают другие меры для предотвращения скрытой слежки за пользователями. Несколько крупнейших антивирусных компаний объединились в «Коалицию против сталкерского ПО», в рамках которой они обмениваются образцами обнаруженных угроз подобного рода и предают эту проблему широкой огласке. Статистика показывает, что за 2019 год количество «сталкерских» атак увеличилось как минимум вдвое, поэтому дальнейшая совместная работа компаний над защитой от них практически неизбежна.

Специальные возможности

«Специальные возможности» (Accessibility Service) – это API, созданный Google для помощи в использовании устройств на ОС Android людям с ограниченными возможностями. Приложения, которые используют это API, могут взаимодействовать с элементами других приложений на экране: читать текст, анализировать картинки, нажимать кнопки и т.д. 

Киберпреступники используют эти службы для того, чтобы их вредоносный софт мог выполнять некие действия от имени пользователя. Например, трояны могут самостоятельно инициировать транзакции, отправляя деньги на свой счет с карточек, данные которых сохранены в вашем устройстве. А вышеупомянутый сталкерский софт без проблем сможет собирать конфиденциальные данные жертвы: текст, изображения и звук. Некоторые из приложений, использующих эту уязвимость, могут делать все это даже при выключенном экране, создавая таким образом иллюзию того, что с устройством все в порядке. По сути, приложение с доступом к службе специальных возможностей – это еще один пользователь устройства с теми же правами, что есть и у непосредственного владельца устройства.

Единственный способ дать зловредному ПО доступ к этим службам – разрешить его в настройках самостоятельно, и это заметно ограничивает возможность установки его со стороны. Поэтому пользователи должны обращать особо пристальное внимание на каждое приложение, требующее доступа к этим сервисам, особенно если само приложение загружено не из магазина Google Play.

Как оставаться в безопасности

За редким исключением, чтобы заразить ваше устройство на базе Android, вам необходимо установить вредоносное ПО самостоятельно. Пользователи часто попадают в ловушку самоуверенности: мол, меня-то не проведешь, я всякую гадость не устанавливаю. Однако киберпреступники почти никогда не работают «напрямую», они применяют хитроумную социальную инженерию, чтобы заставить пользователей поверить в отсутствие у их софта «плохих намерений». Так или иначе, вы можете принять простые превентивные меры для предотвращения заражения, которые можно назвать «кибериммунитетом». 

• Не устанавливайте приложения из неизвестных источников. Не отключайте соответствующую настройку в ОС Android.
• Проверьте разрешения приложений, которые вы используете. Дважды подумайте, прежде чем давать какое-то разрешение приложению, особенно если речь идет о разрешениях высокого риска (звонки, использование служб специальных возможностей). К примеру, если приложение фонарика требует любое другое разрешение, кроме непосредственно фонарика, то лучше отказаться от его использования.
• Используйте антивирусные решения, которые способны обнаруживать вредоносный софт до того, как он начнёт вредить вашему устройству.

Друзья, а насколько пристально вы следите за безопасностью своего смартфона? Анализируете разрешения, которых требуют установленные приложения, или предоставляете им все, что те просят? Пользуетесь антивирусами или считаете, что это все «развод»? Очень интересно узнать ваше мнение на эту тему.