A Intel Security lançou seu “Relatório de ameaças McAfee Labs: junho de 2016”, que explica a dinâmica de conluio entre aplicativos de dispositivos móveis, em que os criminosos cibernéticos manipulam dois ou mais aplicativos para orquestrar ataques a proprietários de smartphones. A McAfee Labs observou esse comportamento em mais de 5056 versões de 21 aplicativos desenvolvidos para oferecer serviços úteis aos usuários, como streaming de vídeo, monitoramento de saúde e planejamento de viagens. Infelizmente, o fato de os usuários não realizarem regularmente as atualizações de software essenciais a esses 21 aplicativos aumenta a possibilidade de versões antigas serem apropriadas para atividades maliciosas.
Amplamente considerada como uma ameaça teórica por muitos anos, os conluios de aplicativos (app collusion) realizam atividades nocivas em equipe, aproveitando os recursos comuns de comunicação entre aplicativos de sistemas operacionais de dispositivos móveis. Esses sistemas operacionais incorporam muitas técnicas para isolar aplicativos em áreas restritas, restringir seus recursos e controlar quais permissões possuem, em um nível bastante detalhado. Infelizmente, as plataformas móveis também incluem formas totalmente documentadas de aplicativos se comunicarem uns com os outros entre os limites de área restrita. Trabalhando juntos, os aplicativos podem aproveitar esses recursos de comunicação entre aplicativos para fins maliciosos.
A McAfee Labs identificou três tipos de ameaça que podem ser resultantes do conluio entre aplicativos de dispositivos móveis:
• Roubo de informações: Um aplicativo com acesso a informações sensíveis ou confidenciais colabora voluntária ou involuntariamente com um ou mais aplicativos, para enviar informações fora dos limites do dispositivo.
• Roubo financeiro: Um aplicativo envia informações para outro aplicativo, o qual pode executar transações financeiras ou fazer chamadas de API financeiro para alcançar objetivos similares.
• Abuso de serviços: Um aplicativo controla um serviço do sistema e recebe informações ou comandos de um ou mais aplicativos para orquestrar uma variedade de atividades maliciosas.
A conspiração ou conluio entre aplicativos de dispositivos móveis exige pelo menos um aplicativo com permissão para acessar o serviço ou as informações restritas; um aplicativo sem essa permissão, mas com acesso fora do dispositivo e a capacidade de comunicação entre si. Um dos aplicativos pode estar colaborando intencional ou não intencionalmente, devido ao vazamento de dados acidental, ou inclusão de uma biblioteca maliciosa, ou kit de desenvolvimento de software malicioso. Esses aplicativos podem utilizar um espaço compartilhado (arquivos que podem ser lidos por todos) para trocar informações sobre privilégios concedidos e para determinar qual deles está posicionado de forma ideal para servir de ponto de entrada para comandos remotos.
“A detecção aprimorada requer maiores esforços para a fraude”, disse Vincent Weafer, VP do McAfee Labs da Intel Security. “Não é nenhuma surpresa que os adversários reagiram aos esforços na segurança de dispositivos móveis, com novas ameaças que tentam se esconder em plena vista. Nosso objetivo é dificultar cada vez mais a conquista inicial dos aplicativos maliciosos em nossos dispositivos pessoais, desenvolvendo ferramentas e técnicas mais inteligentes para detectar aplicativos conspiradores”.
O relatório da McAfee Labs discute uma pesquisa prospectiva para desenvolver ferramentas utilizadas inicialmente por pesquisadores de ameaças de forma manual, mas que no futuro serão automatizadas, para detectar aplicativos conspiradores. Uma vez identificados, os aplicativos podem ser bloqueados utilizando tecnologia de segurança de dispositivos móveis. O relatório sugere uma variedade de abordagens para minimizar o conluio entre aplicativos de dispositivos móveis, incluindo baixar aplicativos apenas de fontes confiáveis, evitar aplicativos com propaganda integrada, não fazer “jailbreak” em dispositivos móveis e o mais importante, sempre manter o sistema operacional e os aplicativos atualizados.
O relatório deste trimestre também documenta o retorno do Cavalo de Troia W32/Pinkslipbot (também conhecido como Qakbot, Akbot, QBot). Esse Cavalo de Troia de backdoor, com recursos tipo worm lançado inicialmente em 2007, obteve rapidamente a reputação de ser de uma família de malwares danosos e de alto impacto, capazes de roubar credenciais bancárias, senhas de e-mail e certificados digitais. O malware Pinkslipbot ressurgiu no final de 2015 com recursos melhorados, como criptografia em múltiplas camadas e antianálise, para frustrar os esforços dos pesquisadores de malwares de dissecar e fazer engenharia reversa nele. O relatório também dá detalhes sobre o mecanismo de autoatualização e exfiltração de dados do Cavalo de Troia e sobre o esforço da McAfee Labs de monitorar infecções e roubo de credenciais pelo Pinkslipbot em tempo real.
Por fim, a McAfee Labs avalia o estado das funções de hashing convencionais e insiste que as organizações mantenham os seus sistemas atualizados com os padrões de hashing mais recentes e mais fortes.
Estatísticas de ameaças do 1º trimestre de 2016
• Ransomware. Novas amostras de ransomware aumentaram 24% neste trimestre, devido à entrada contínua de criminosos relativamente pouco qualificados na comunidade de crimes cibernéticos por ransomware. Essa tendência é o resultado da adoção generalizada de kits de exploração para distribuir o malware.
• Dispositivos móveis. Novas amostras de malwares de dispositivos móveis cresceram 17% no 1º trimestre de 2016 em relação ao trimestre anterior. O total de amostras de malwares de dispositivos móveis cresceu 23% em relação ao último trimestre e 113% nos últimos quatro trimestres.
• Malwares de Mac OS. Malwares de Mac OS cresceram rapidamente no 1º trimestre devido principalmente a um aumento no adware VSearch. Embora o número absoluto de amostras de Mac OS ainda seja baixo, o número total de amostras aumentou 68% em relação ao último trimestre e 559% nos últimos quatro trimestres.
• Malware de macro. O malware de macro continua na trajetória de crescimento iniciada em 2015, com um aumento de 42% em relação ao último trimestre, apresentando novas amostras. A nova geração de malwares de macro continua a atacar redes corporativas principalmente por meio de campanhas de spam sofisticadas, que aproveitam as informações coletadas por meio de engenharia social para aparentar legitimidade.
• Rede de bots Gamut. A rede de bots Gamut se tornou a rede de bots de spam mais produtiva no 1º trimestre, aumentando o seu volume em quase 50%. As campanhas de spam predominantes oferecem esquema de enriquecimento e suprimentos farmacêuticos falsos. Kelihos, a rede de bots de spam mais prolífica durante o 4º trimestre de 2015 e um distribuidor de malwares generalizado, caiu para a quarta posição.