Een terugblik op het mobiele threat-landschap van 2016: diversiteit, scale & scope

mobile threatMaar liefst 65 miljoen keer blokkeerde Trend Micro in het afgelopen jaar een mobile threat . Zoveel incidenten hebben we het afgelopen jaar geblokkeerd. In december 2016 lag het totale aantal unieke exemplaren kwaadaardige Android-apps dat we hebben verzameld en geanalyseerd op 19,2 miljoen. Een flinke toename ten opzichte van de 10,7 miljoen exemplaren in 2015. In de aanloop naar Mobile World Congress is het een goed moment eens terug te blikken en in te zoomen op het mobile threat landscape van afgelopen jaar.

Mobiele apparaten zijn niet meer weg te denken voor individuele gebruikers en organisaties, en in combinatie met de technologische voordelen die het biedt, laat dit direct de exponentiële proliferatie, de toenemende complexiteit van een mobile threat zien.  

Hoewel infectieketen en de routines van mobiele bedreigingen bekend terrein zijn, zagen we in 2016 dreigingen met meer diversiteit, grotere omvang en reikwijdte het mobiele landschap binnendringen. Meer organisaties werden de dupe van mobiele malware en ook de populariteit van ransomware zorgde ervoor dat de mobiele gebruiker een belangrijk doelwit van cybercriminelen was. Daarnaast werden er meer kwetsbaarheden ontdekt en gedicht, waardoor kwaadwillenden hun aanvalsvectoren verbreden, malware fine-tunen, distributiemethoden verhogen, en de ommuurde tuinen van iOS binnenvielen..

Exploits en rooting malware kwamen wereldwijd het meeste voor, terwijl mobiele malware het meest vertegenwoordigd was in Japan. In de VS was malware die stiekem informatie verzamelt en lekt, maar ook functies zoals het verzenden en ontvangen van sms-berichten uitvoert, de meest voorkomende.

In deze blog behandelen we een aantal highlights van het mobiele dreigingslandschap van 2016, op basis van feedback van onze Mobile App Reputation Service (MARS) en ons Smart Protection Network™, alsmede extern onderzoek / gegevens van vorig jaar:

Mobiele malware blijft organisaties schaden
De toename van Bring Your Own Device (BYOD) en het gebruik van smartphones op het bedrijfsnetwerk, hadden invloed op de impact van mobiele dreigingen op organisaties. Aan de andere kant hebben we geen malware waargenomen die specifiek gecodeerd was om zich op organisaties te richten. De infecties die we zagen, werden vaak veroorzaakt door het downloaden van kwaadaardige apps – vaak via third party app stores – die werden geïnstalleerd op apparaten die verbinding maken met bedrijfsnetwerken of waarop bedrijfsgegevens werden verwerkt.

Uit de feedback van onze Trend Micro Security for Enterprise, bleek dat organisaties in 2016 het vaakst door potentieel ongewenste applicaties (PUAs) werden getroffen. Denk daarbij aan adware, spyware, en banking-, rooting- en SMS Trojans. Deze werden het meest waargenomen in China, Frankrijk, Brazilië, Duitsland en Polen.

Hoewel een groot aantal geanalyseerde samples werd gedistribueerd door third party app stores, zagen we ook dat kwaadaardige apps hun weg naar legale marktplaatsen wisten te vinden. Van de meer dan 3.220.000 onderzochte Google Play-apps, was 1,02 procent kwaadaardig en PUAs (waarvan hun opkomst proactief door Google werd aangepakt).

Mobile Ransomware maakte een ongekende groei door
Mobiele ransomware was booming in 2016. De samples die we in het vierde kwartaal van 2016 analyseerden, waren driemaal zoveel in vergelijking met dezelfde periode een jaar eerder. Ondanks de groei, had deze malware een gemeenschappelijke modus operandi: misbruik, uitlokken, intimideren en afpersen. De meeste waren screen lockers die Android-functies misbruikten en activiteiten uitvoerden als valse systeemupdates, populaire games en pornografie. Onwetende gebruikers werden ook verleid om beheerdersrechten te geven, waardoor het wachtwoord van de schermvergrendeling eenvoudig veranderd kon worden.

Rooting Malware en Exploits misbruikten meer beveiligingslekken
In 2016 ontdekten we meer dan 30 Android-kwetsbaarheden die we hebben gedeeld met Google en Qualcomm. Deze beveiligingsfouten zaten in het Android framework, in device drivers of de kernel. Vijf daarvan waren vrij kritisch. Meer dan 10 kwetsbaarheden die we ontdekten konden worden gebruikt voor system-privileged processen, of als onderdeel van een exploit-keten om zo de kernel in gevaar te brengen.

Andere opvallende Android-kwetsbaarheden en -exploits die in 2016 bekend werden gemaakt, waren onder meer Dirty COW (CVE-2016-5195), Rowhammer (CVE-2016-6728), Drammer en Quadrooter. Deze aanvallen waren als mobile threat allemaal in staat om aanvallers root-toegang te verlenen tot het apparaat.

Banking Trojans stolen meer dan alleen accountgegevens
In 2016 was het grootste deel van de mobiele banking Trojans die we hebben gezien gericht op mobiele gebruikers in Rusland. Dat was goed voor zo’n 74 procent van alle wereldwijde detecties. China, Australië, Japan, Roemenië, Duitsland, Oekraïne en Taiwan werden het meest getroffen door deze malware. Uit de samples die we hebben ontdekt en geanalyseerd, was deze vorm het meest actief in het laatste kwartaal van het jaar.

Meer inspanning om de ommuurde tuin van Apple te misbruiken
In 2016 waren de aanval op Apple-apparaten met name gericht op het zoeken naar manieren om de strenge controle van Apple over zijn ecosysteem te omzeilen en malware te verspreiden. Het misbruiken van Apple’s enterprise certificaat was een voorname techniek om kwaadaardige content op niet-jailbroken iOS-apparaten te krijgen.

Het merendeel van de PUAs en malware die we in 2016 zagen, pasten hun gedrag en routines aan op basis van de locatie van het apparaat. Daarnaast varieerden de aanvalsvectoren voor iOS. Verschillende kwaadaardige apps die we hebben geanalyseerd, doopte hun dynamische bibliotheken (dylib) om tot postfix.PND om het zo door te laten gaan als een goedaardig Portable Network Graphics (PNG) -bestand. Verder maakten we een aantal kwetsbaarheden in Apple-apparaten bekend.

Het mobiele platform in 2017
Mobiele bedreigingen werden afgelopen jaar gekenmerkt door de ontwrichtende gevolgen van mobiele malware op ondernemingen, hun uiteenlopende aanvalsvectoren, evenals de omvang en de reikwijdte van hun distributie. De meest opvallende incidenten van vorig jaar laten zien dat steeds meer kwetsbaarheden werden uitgebuit om apparaten te gijzelen en hun eigenaars af te persen. Fake apps profiteerden van de populariteit van zijn legitieme tegenhangers, zoals Pokemon Go, Mario Super Run en QQ (een populaire IM-app in China).

In 2015 waren de kwetsbaarheden die werden onthuld veelal gerelateerd aan Android, met name het mediaserver proces. In 2016 vonden we echter meer kernel-kwetsbaarheden, waarvan de meesten kernel drivers in Qualcomm, MEDIATECH en Nvidia zijn- producenten van systems on a chip (SOCs) die gebruikt worden in Android-apparaten. Daarnaast zagen we meer bugs in upstream Linux-kernels, zowel gebruikt door Android als de traditionele Linux-systemen.

Voor mobile threats geldt dat de verzadiging in het dreigingslandschap ervoor kan zorgen dat de groei van dergelijke aanvallen een plateau bereikt in 2017. Hoewel Android-OS normaal gesproken voorkomt dat third party apps carte blanche hebben als het gaat om de data van het apparaat, heeft de verdere uitrol van Android Nougat voor meer beveiliging gezorgd van een aantal application program interfaces (APIs) die vaak door mobiele ransomware werden misbruikt. Zo kunnen wachtwoorden alleen worden gewijzigd als er nog geen wachtwoord is ingesteld.

Conclusie
De vooruitzichten voor het mobiele landschap gaan dus inderdaad beide kanten op. Naarmate het een grotere rol speelt in ons dagelijks leven en de productiviteit van het bedrijfsleven, zal dat in de ogen van de bad guys ook het geval zijn voor malware en kwetsbaarheden. Tegelijkertijd is er scherper toezicht op de veiligheid van mobiele apparaten om malware-infecties en misbruik van persoonlijke en corporate data.

App-ontwikkelaars hebben de positie om privacy en veiligheid in hun producten / toepassingen te versterken en zo de kans op een mobile threat te verminderen. Ook organisaties en individuele eindgebruikers moeten hun beveiligingsstatus versterken om deze bedreigingen het hoofd te bieden. Wees bedacht op verdachte app marktplaatsen, zorg ervoor dat het besturingssysteem van het apparaat up-to-date is, en zorg voor goede beveiliging gewoonten. Organisaties die een BYOD-beleid implementeren moeten een balans zoeken tussen de behoefte aan mobiliteit en productiviteit, en het belang van privacy en zekerheid.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met *