Vjerojatnije je da će vas udariti grom, nego zaraženi mobilnim malwareom

Na konferenciji RSA 2015, istraživači sigurnosne tvrtke Damballa objavili su da je u Sjedinjenim Državama mnogo vjerojatnije da će vas udariti grom, nego zaraženi mobilnim malwareom. Iako to podržava prijašnje istraživanje koje je provela tvrtka, Damballa je otkrio da se na mobilnim uređajima događa nešto vrlo neobično.

Praćenje zlonamjernog prometa

Damballin posao je automatizirana obrana od kršenja koja se temelji na velikim analitičkim podacima. Radeći s glavnim američkim bežičnim mobilnim operatorom, Damballa je uspjela usporediti podatke o prometu s poznatim zlonamjernim URL-ovima izvađenim iz oko 70 000 uzoraka zlonamjernog softvera. "Bilo je pomalo ručni postupak uklanjanja uobičajenih domena koje vjerojatno nisu povezane sa zlonamjernim softverom", objasnio je viši znanstveni istraživač Charles Lever. "Bilo je bolno."

Lever je u svom istraživanju rekao da Damballa nema pristup opterećenjima tih prijenosa, već samo URL-ovima. Tvrtka je jasno stavila do znanja da nema vidljivosti u podacima o klijentima.

Opseg Damballa studije je ogroman, usredotočujući se na oko 151 milijun uređaja dnevno, što je više od 25 milijuna kada je tvrtka provela studiju 2012. godine. Kompanija je navela da je to 50 posto mobilnog podatkovnog prometa u SAD-u. ove su tvrtke vidjele samo nekih 9.688 uređaja koji dosežu do URL-ova povezanih sa zlonamjernim softverom za mobilne uređaje.

To otkriva da je 0, 064 posto prometa zlonamjerno. U priopćenju tvrtke Damballa je rekao da su službene šanse da ih udari munja bile znatno veće od 1, 3 posto.

Sigurno utočište

Lever je rekao da zaključci studije podupiru tvrdnju da se o mobilnom zlonamjernom softveru mnogo raspravljalo u sigurnosnim krugovima (i ovog autora). "Pronalazimo puno uzoraka zlonamjernog softvera, ali nisam siguran da se ti uzorci probijaju na svoje uređaje", rekao je Lever.

"U SAD-u imamo snažna tržišta", nastavio je Lever, odnoseći se na Apple App Store i Google Play trgovinu. Rekao je da te trgovine imaju dobre sigurnosne mjere koje su spriječile najgore aktere i uključuju alate koji omogućuju Appleu i Googleu da na daljinu onemoguće ili uklone zlonamjerne aplikacije koje mogu pronaći svoj put na uređaje korisnika.

Naravno, Damballaina studija ima ograničenja. Na primjer, fokusiran je na potencijalno zlonamjerni mrežni promet, a ne na stvarne zlonamjerne instalacije na mobilnim uređajima. Obuhvaća i samo polovicu SAD-a, što veliki dio svijeta ostavlja neiskvarenim. Lever je rekao da je moguće da bi mobilne infekcije zlonamjernim softverom bile puno veće izvan SAD-a. "Vidio sam da je viši, ali ne bih to mogao empirijski reći", rekao je Lever.

Zanimljivo je da će se od zlonamjernog mobilnog prometa koji je Damballa uočio, većina toga okarakterizirati kao adware.

Sjenivi promet

No, iako mobilni zlonamjerni softver nije napravio veliku izložbu u studiji Damballa, nešto drugo se dogodilo. Uz promet koji je povezan s mobilnim zlonamjernim softverom, Lever je objasnio da je Damballa pratio zahtjeve s mobilnih uređaja i na druge vrste zloćudne infrastrukture. Ovo bi mogla biti infrastruktura za desktop zlonamjerni softver, lažne radnje, botnete itd. Ovi zahtjevi za sjenovitim dijelovima Interneta putem mobilnih uređaja bili su, objasnio je Lever, znatno veći od zahtjeva za URL-ove zlonamjernog softvera za mobilne uređaje.

Koliko veći? Za nekoliko redova veličine. Damballa je izvijestio o 100.000 zahtjeva povezanih s mobilnim zlonamjernim softverom koji je pronašao u tim 10.000 neobičnim uređajima. Pratio je 100 milijuna zahtjeva na web mjesta koja su, čini se, bila preuzimanja putem pogona, i 1 milijarda (s "b!") Zahtjevima povezanim sa zlonamjernim softverom koji cilja na radnu površinu. Opet, svi ovi zahtjevi dolaze s mobilnih uređaja.

Lever je rekao da su, iako su ovi sjenoviti zahtjevi mobilnih uređaja "znatno veći od onoga što vidimo za mobilni zlonamjerni softver", njihov uzrok uglavnom nepoznat.

Lever je sugerirao da bi neki promet mogao doći od korisnika mobilnih uređaja koji su žrtve žrtve krađe identiteta. Drugi sigurnosni stručnjaci sugerirali su da bi lažno predstavljanje moglo biti lakše na mobilnim uređajima jer razmjerno mali zaslon odsiječe URL-ove sumnjivog izgleda, a ikona zaključavanja povezana sa SSL vezom nije vidljiva.

Tijekom čitavog razgovora, Lever je ostao u velikoj mjeri optimističan u pogledu sigurnosti mobilnih uređaja, ali kada je raspravljao o ovim neobičnim nalazima, krenuo je izrazito negativno. Rekao je da, iako sve što uzrokuje ovu ogromnu količinu sumnjivog mrežnog prometa danas ne bi moglo predstavljati problem, to bi moglo biti u budućnosti. Ili je možda čak rezultat trenutno nepoznatih zlonamjernih aplikacija.

• Android 4.1.1 Još je ranjiv na Heartbleed Android 4.1.1 Još je ranjiv na Heartbleed
• Zlonamjerne Android aplikacije mogu hakirati Gmail Zlonamjerne Android aplikacije mogu hakirati Gmail
• Mobilna prijetnja ponedjeljak: Android aplikacije sakriju zlonamjerni softver Windows Mobile Threat Monday: Android Apps sakriju zlonamjerni softver Windows

"To je veliko područje rizika koje se trenutno ne proučava dobro i moglo bi koristiti više istraživanja kako bi saznalo što je to", rekao je Lever. "Je li to krađa identiteta? Je li to neželjena pošta? Što je kvar? I koliko toga trenutno utječe na mobilne uređaje i koliko bi to moglo u budućnosti?"

Nadamo se da će buduća istraživanja moći sastaviti ovu slagalicu.