Ještě před deseti roky se mobilní malware považoval za novou a nepříliš významnou hrozbu. Většina uživatelů mobilních zařízení věřila, že jim nic takového jako malware v mobilu ani nehrozí.
Když se však přesuneme v čase do roku 2017, objevíme 1,5 milionu nových případů mobilního malwaru, které například detekovala firma McAfee Labs, a to jen za první čtvrtletí roku; celkově jde o více než 15 milionů případů malwarem infikovaných mobilních zařízení.
Smartphony jsou terčem stále častěji a zcela imunní vůči nim není žádné zařízení. Pětina společností zkoumaných firmou Check Point Software hlásilo překonání zabezpečení svých mobilních zařízení.
Čtvrtina respondentů navíc nevěděla, zda nebyla jejich zařízení vystavená útoku. Téměř všichni respondenti (94 %) přitom očekávají nárůst útoků na mobilní zařízení a 79 % přiznalo, že je stále těžší mobily zabezpečovat.
„Začínají si uvědomovat možné dopady,“ říká Daniel Padon, analytik mobilních hrozeb v Check Pointu.
„Jde o reálný malware státního kalibru se schopností proniknout do firemní sítě, nemluvě o specificky mířených kampaních schopných infikovat miliony zařízení – přitom to je jen špička ledovce,“ dodává Padon.
Ač se Apple i Android aktivně snaží o vytvoření bezpečnějších a robustnějších operačních systémů, tvůrci malwaru pokračují ve vypouštění nových, subtilnějších a potenciálně nebezpečnějších druhů útoků.
Bezpečnost navíc není hlavní prioritou ve vývoji aplikací a některé aplikace třetích stran ukládají přihlašovací údaje uživatelů nezabezpečeným způsobem – nebo s pouze velmi slabým šifrováním.
„To stále pokračuje, ač by nemělo,“ podotýká John Shier, bezpečnostní poradce ve firmě Sophos.
Zkombinujte slabiny mobilních zařízení s jejich všudypřítomností na pracovištích a šířením tendence nákupu vlastního zařízení zaměstnancem, nikoli zaměstnavatelem, a vzniká perfektní recept pro mobilní útoky nejen ve firemním prostředí.
Téměř polovina pracovníků v informačních technologiích dnes používá vlastní laptop, 68 % vlastní chytrý telefon a 69 % vlastní tablet.
Podle každoročního bezpečnostního průzkumu analytické firmy Forrester jsou „rizika zjevně vysoká, obzvláště pokud se zaměříte na všechna firemní data uložená v zařízeních, jako jsou informace o zákaznících, duševní vlastnictví, smlouvy, data o hospodaření firmy nebo faktury, nemluvě o možnosti přístupu do samotných firemních sítí,“ vysvětluje Chris Sherman, analytik firmy.
Výzkumníci mobilních hrozeb identifikovali pět nejnovějších druhů útoků, které mohou nebezpečně ohrozit podnikání firem.
1. Odolný spyware
Zaměstnanci jsou zvyklí mobilní zařízení využívat prakticky neustále a mají je téměř vždy u sebe. Vzhledem k blízkosti k firemní síti, hlasové aktivaci a aktivní GPS jsou tato zařízení lákavým cílem pro spyware nejen jednotlivců, ale i státu. Tato taktika funguje jak u iOS, tak Androidu.
Kupříkladu spyware Pegasus z loňského srpna byl schopný hacknout jakýkoli iPad nebo iPhone, sesbírat z něj data a svou oběť sledovat.
Výzkumníci rovněž objevili tři zranitelnosti nultého dne u iOS, které při zneužití vytvoří řetězec útoků, jež pokoří i silné bezpečnostní prostředí Applu. Apple všechny tři zranitelnosti rychle opravil v aktualizaci 9.3.5.
V dubnu 2017 udeřili tvůrci malwaru znovu, a to opětovně spywarem Pegasus, ale tentokrát mířeným na Android. Tváří se jako běžné stažení aplikace, zatímco program tajně získá přístup k jádru a umožňuje sledovat zařízení uživatele.
Od té doby Google své zabezpečení vylepšil, a to včetně ochrany Play Protect pro zlepšení bezpečnosti Play Storu.
„Pokud jednáte ve státním zájmu a chcete odposlouchávat nějakou firmu či jinou organizaci, jednou z cest, jak na to, je proniknout do mobilního zařízení, o kterém víte, že se bude v dané firmě nacházet,“ popisuje Shier.
„Stále ještě máme společnosti, které umožňují mnoha různým mobilním zařízení fungovat na stejné podnikové síti spolu s dalšími zařízeními vyšší hodnoty,“ dodává Shier.
2. Mobilní botnety
Nový malware může rychle přetvořit legii mobilních zařízení v botnet kontrolovaný hackery fungující bez vědomí majitelů zařízení.
První mobilní botnet mířený na Android zvaný Viking Horde se objevil před rokem. V rámci Viking Horde se vytvořil botnet prostřednictvím jakéhokoliv mobilního zařízení, přičemž se využily IP adresy přes proxy k utajení kliknutí na reklamy, které generovaly příjem pro útočníka.
Od té doby výzkumníci odhalili kolem dvanácti dalších mobilních botnetů včetně Hummingbad, který infikoval přes dest milionů zařízení s operačním systémem Android.
Informace uživatelů se prodávaly a jejich zařízení klikala na reklamy bez vědomí majitelů, což opět generovalo zisk tvůrci botnetu.
„Na počátku se botnety využívaly pro generování zisku z reklam,“ říká Padon. „Nyní pronikají do milionů zařízení, aby otevíraly zadní vrátka na infikovaných zařízeních a umožnily například krádež citlivých dat.“
Ačkoli mobilní zařízení nemají takový výpočetní výkon a dosah jako desktopové počítače, botnet nevyžaduje příliš mnoho výpočetní síly pro fungování.
Co je horší, mobilní zařízení často běží neustále, což dává majiteli botnetu prakticky trvalý přístup k armádě potenciálních „zombie přístrojů“.
3. Reklamní podvody
Reklamní malware je stále větším problémem, připouštíejí výzkumníci. „Kompromitace mobilního zařízení pomocí malwaru útočícího z reklam dává kriminálníkům možnost snadného přístupu do interní sítě podniku, například zasláním phishing SMS nebo přinucením uživatele kliknout na odkaz s nakaženou aplikací,“ popisuje dále Shier.
Podle něj po ovládnutí zařízení mohou zločinci mobil využít k ukradení údajů uživatele a získání přístupu k interní síti firmy.
Ta děsivá část spočívá v tom, že zločinné programy mohou začít jako klasický adware, ale pak se mohou hackeři rozhodnout rozšířit spyware na celý botnet.
„Pak máte deset milionů zařízení, které sledují každý pohyb svých majitelů. Devastující potenciál jediného kliknutí,“ vysvětluje Padon.
4. Internet věcí
Ačkoli malware specificky mířený na internet věcí je stále teprve v zárodku, již se aktivně projevuje, říká Irfan Asrar, manažer výzkumu mobilního malwaru v McAfee.
Množství rodin malwaru pro internet věcí, ze kterého programy vycházíej, je jen deset a většina z nich navíc stejně pochází z jediného základního kódu, ale již vidíme náznaky v internetovém podsvětí, že se zločinci přesunují do lukrativní oblasti internetu věcí.
Mnoho zařízení internetu věcí se připojuje a nastavuje skrze chytré telefony a další zařízení; to platí třeba i u přístupových bodů firemní budovy.
„S mířeným útokem by zločinci mohli proniknout na chráněné místo,“ tvrdí Asrar.
„Nezajímá je, jakým způsobem to udělají, zkrátka využijí cestu nejmenšího odporu – a to je momentálně internet věcí se svým chabým zabezpečením a téměř neexistujícími standardy, které až nyní teprve vznikají,“ dodává Asrar.
5. Mrtvé aplikace
Zaměstnanci musejí pravidelně kontrolovat stav svých mobilních zařízení a následně je aktualizovat, případně nejsou-li již podporované Googlem nebo v Apple Storu, je smazat, zdůrazňuje Asrar.
Bezpečnostní týmy obou operačních systémů tiše mažou stále rostoucí množství aplikací ze svých obchodů, ale neodhalily seznam odstraněných aplikací ani důvod jejich odstranění.
Ten důvod se může lišit – od porušování autorských práv až právě po malware. Nedostatečná transparentnost při vysvětlování důvodů mazání aplikací však může vést k narušení bezpečnosti firem a jejich citlivých dat, případně i proniknutí do firemních sítí.
„Obzvláště máte-li zařízení s Androidem, je pravděpodobné, že máte na mobilu několik aplikací již odstraněných z obchodu, které však ve vašem přístroji nadále setrvávají,“ říká Asrar. „Raději byste se jich však měli zbavit.“
Co dělat?
„Je těžké chránit celou mobilní síť kvůli jejímu rozsahu a fragmentovanosti,“ říká Padon. Doporučuje, aby byl na každém mobilní zařízení instalovaný bezpečnostní software.
„Je jedna věc, pokud si Candy Crush stáhne jednoduchou aktualizaci, ale úplně jiná, pokud stáhne aktualizaci a pak spustí malware. Toto však Google ani Apple neovládají, nemají to ve svých rukách, a to je problém,“ dodává Padon.
Důležitost školení zaměstnanců v oblasti bezpečného využívání mobilního telefonování by se podle výzkumníků mělo postupem času zvyšovat spolu s vývojem mobilních hrozeb.
„Jde o snižování rizika,“ vysvětluje Shier a dodává, že velmi důležitá jsou šifrování a viditelnost všech zařízení s přístupem na síť.
Tento příspěvek vyšel v Securityworldu 3/2017. Časopis (starší čísla i předplatné těch nadcházejících) si můžete objednat na adrese našeho vydavatelství.