Af Lars Bennetzen, Alt om Data
Denne artikel er oprindeligt bragt på Alt om Data. Computerworld overtog i november 2022 Alt om Data. Du kan læse mere om overtagelsen her.
I takt med at flere og flere af os anskaffer os smartphones og tablets, bliver det stadig mere interessant at udvikle malware, i den bredeste forstand, til disse enheder. Indtil videre har vi ikke set så meget, men der har dog været et par koncepttrusler, specielt til Android-platformen.
Stadig har den største trussel dog været, at folk har direkte adgang til deres virksomhed i en eller andet form fra deres smartphone eller tablet, og at tabe sådan en enhed kan derved betyde, at firmaer kan blive kompromitteret.
Men nu ser det ud til at tingene desværre er ved at ændre sig markant. Tilbage i april i år skrev F-Secure på sin blog, at man havde fundet en variant af SpyEye kaldet for SpitMo, som angreb Android-enheder. Dengang blev den ikke taget så seriøst, for selvom den angreb banker og deres kunder, så krævede den et ret stort stykke arbejde, før der var noget som helst kompromitteret. En proces, som blev estimeret at kunne tage op til tre dage pr. succesfuld inficering.
Amit Klein, chief technology officer hos Trusteer, fortæller, at man var sikker på, at ingen svindlere ville bruge så meget energi, bare for at få fat i et par sms’er, og det skulle snart vise sig at være korrekt.
»Vores Intelligence Center har opdaget en langt mere intuitiv, og moderne, angrebsmetode for SpitMo til Android-platformen, og den er aktiv ”in the wild”,« fortæller Amit Klein.
Spitmo går efter Android
Ifølge Amit Klien rammer Spitmo bankkunderne ved først at vise en besked, der præsenterer brugeren for en ”ny” obligatorisk sikkerhedsbesked, som banken kræver, for at du kan bruge dens online bankforretning. Initiativet foregiver at være en Android-applikation, der beskytter telefonens sms-beskeder fra at blive opsnappet, og derved beskytte brugeren mod svindel.
»Er det ikke bare ironisk,« siger Amit Klien.
Når brugeren så klikker på ’Set the application’, får man yderligere instruktioner, der guider en igennem download og installation af applikationen.
Brugeren får herefter besked på at ringe til et nummer. I det tilfælde som Trusteer kender, er nummeret ”325000”, men kan naturligvis skifte, i takt med at SpitMo kommer til de forskellige lande.
Opkaldet bliver fanget af malwaren på Android-telefonen, og en såkaldt aktiveringskode bliver vist, som så skal sendes videre til ”bankens” hjemmeside. Ud over at skjule applikationens sande natur tjener denne ”aktiveringskode” intet andet formål.
Når trojaneren er blevet installeret, bliver alle indkomne sms-beskeder opfanget og sendt videre til angriberens command and control-server (også kaldet for C&C). En stump kode bliver så kørt, når en sms bliver opfanget, og den information, der er opsamlet, bliver derefter sendt til angriberens drop-zone.
»Der bliver brugt forskellige drop-zones, som domænet hopper rundt mellem, så det er svært at fange. SpitMo mangler stadig at få moment, men det er kun et spørgsmål om tid.
Dette er en meget tidlig advarsel, og jeg er sikker på, at det kun er begyndelsen. Jeg er helt fristet til at sige ”fortsættelse følger …”,« siger Amit Klein.
Smartphones mangler beskyttelse
Hvor vi er vant til, at vores computere skal beskyttes, så er vi ikke kommet helt så langt, når det handler om sikkerhed til vores tablets.
»Hvilket kun gør ting som SpitMo endnu mere skræmmende. For SpitMo er nemlig ikke engang synlig på enhedens dashboard, hvilket gør, at den faktisk er uopdagelig, hvis den først er kommet ind på enheden. Og hvordan skal de så komme af med den?« spørger Amit Klein.
»Organisationer og individer må og skal handle nu og beskytte sig selv, da denne variant har potentiale til at blive en meget seriøs trussel. Mit råd er, at der installeres desktop-browser-sikkerhedssoftware som en del af en flerlags-sikkerhedspolitik,« slutter Amit Klein.
