Na semana passada, a Kaspersky Lab publicou um
relatório sobre a evolução das ameaças cibernéticas no primeiro trimestre de 2019. Uma breve visão geral pode ser lida
nesta notícia e, em um post, examinaremos mais de perto dois tópicos: Trojans bancários para Android e Windows, bem como as vulnerabilidades mais exploradas no Windows e softwares populares.
Vamos começar com as vulnerabilidades. Na maioria das vezes, ataques reais usando vulnerabilidades são direcionados ao Microsoft Office - o compartilhamento de explorações para esse pacote de escritórios foi de 69%. As quatro vulnerabilidades mais populares foram descobertas e fechadas em 2017. Essa
vulnerabilidade é mais frequentemente usada no componente Editor de Equações. Ela afeta todas as versões do Office, começando em 2007 e terminando em 2016, incluindo o Office 365. Apesar do lançamento do patch em novembro de 2017, os cibercriminosos parecem ser capazes de encontrar vítimas suficientes com versões mais antigas do software. É interessante como as prioridades dos invasores mudam dependendo da popularidade de um ou outro software e faz sentido olhar para relatórios semelhantes dos últimos anos. Vamos começar de longe - em 2012.
O relatório de 2012 mostra uma imagem completamente diferente: os usuários instalaram maciçamente componentes Oracle Java e versões vulneráveis do Adobe Reader e Adobe Flash. Essa trindade é responsável por 80% de todas as explorações usadas ativamente. Em
2014, o Java é frequentemente atacado, mas as vulnerabilidades do navegador ficam em segundo lugar.
Nas
estatísticas de 2016, o compartilhamento de Java e Adobe Reader ainda é significativo, mas as explorações mais populares são direcionadas a navegadores e software de escritório. Como avaliar essas mudanças? Primeiro, essas estatísticas avaliam ataques em larga escala. Em ataques direcionados, vulnerabilidades completamente diferentes podem ser usadas, por exemplo,
esse bug no próprio Windows, descoberto recentemente. Explorações populares são escolhidas pelos cibercriminosos sempre que possível para colocar computadores piratas (e por algum tempo - e dispositivos móveis no Android) no fluxo. Embora você não deva esquecer as novas vulnerabilidades sérias, no momento, é necessário cuidar de um pacote e navegador de escritório totalmente corrigido e atualizado.
Todo mês, os produtos da Kaspersky Lab bloqueiam dezenas de milhares de ataques maliciosos em dispositivos Android, cujo objetivo é roubar dinheiro de contas de usuário. Com relação ao número total de ataques, isso não é suficiente: na Austrália, 0,81% de todos os usuários foram atacados no primeiro trimestre, e esse é o número mais alto. Na Rússia, os cavalos de Troia bancários foram bloqueados por 0,64% dos usuários. Os cavalos de Troia de desktop são mais comuns em desktops - eles são detectados por 1-3% dos usuários, dependendo do país. Como de costume, a atenção a esses programas maliciosos é causada por perdas financeiras imediatas e sensíveis no caso de uma infecção bem-sucedida. Vejamos a lista dos malwares mais populares para roubar dinheiro no Android:
Como são os cavalos de Troia móveis? Vamos começar com as principais linhas da classificação. A família Asacub é detalhada no artigo
deste ano passado. Conhecidos desde 2015, os cavalos de Troia são distribuídos por meio de mensagens SMS e MMS, com um link para uma página que permite ver uma foto. Em vez de uma foto, o arquivo de instalação é baixado.
Durante a instalação, o programa solicita direitos de administrador do dispositivo ou acesso ao serviço de acessibilidade (Serviço de Acessibilidade, devido ao seu uso regular para outros fins, aplicativos que o utilizam foram
banidos do Google Play em 2017).
Após a instalação, o trojan recebe comandos do servidor de controle. Como ele se torna o aplicativo padrão para enviar e receber SMS, ele pode transferir dinheiro da conta da vítima e receber códigos de confirmação dos bancos via SMS, invisivelmente para o usuário. Também é capaz de bloquear o lançamento de clientes bancários em um smartphone, para que não seja possível verificar o saldo. Em agosto de 2018, 98% de todos os ataques do Asacub estavam na Rússia. Nas
estatísticas gerais de 2018, o Asacub responde por 58% dos ataques. Em segundo e terceiro lugares estão a família dos Trojans bancários Trojan-Banker.AndroidOS.Agent e Svpeng.
A família Svpeng já existe há mais tempo - a primeira menção remonta a
2013 . Ao contrário do Asacub, esse malware tem como alvo usuários em todo o mundo. Na captura de tela acima, o resultado da ação do cavalo de Troia: quando você abre a loja de aplicativos do Google, sua janela é bloqueada por uma solicitação de inserção de informações de cartão de crédito. Além de roubar dinheiro diretamente das contas das vítimas, algumas versões do malware também extorquem dinheiro do usuário.
Os proprietários de PCs e laptops tradicionais têm mais chances de encontrar malware financeiro do que os usuários de dispositivos móveis. Há uma variedade maior de malware na área de trabalho e, em alguns casos, as perdas podem ser maiores. Por exemplo, o trojan bancário RTM, classificado em primeiro lugar em sua categoria,
é voltado para o Sistema Bancário Remoto nas empresas. No caso de trojans do Android, a disposição do usuário em reconhecer a ameaça desempenha um papel importante: esse malware geralmente requer várias permissões para obter direitos estendidos do proprietário para o trabalho. Proprietários tecnicamente não enviados de smartphones não têm a capacidade de distinguir essas solicitações das legítimas (que também costumam aparecer). Daí as consequências: segundo
o Banco Central da Federação da Rússia para 2017, cerca de um bilhão de rublos foram roubados das contas dos cidadãos. Na metade dos casos, no entanto, não são utilizados meios técnicos, mas engenharia social banal. Seja vigilante!
Isenção de responsabilidade: as opiniões expressas neste resumo nem sempre coincidem com a posição oficial da Kaspersky Lab. Caros editores, geralmente recomendam tratar qualquer opinião com ceticismo saudável.