W 2015 r. w rankingu 10 najpopularniejszych rodzin szkodliwego oprogramowania finansowego pojawiły się dwie rodziny trojanów bankowości mobilnej (Faketoken i Marcher). Szkodniki z rodziny Marcher kradną dane dotyczące płatności z urządzeń z Androidem.
Przedstawiciele rodziny Faketoken współdziałają z trojanami komputerowymi. Użytkownik jest podstępnie nakłaniany do zainstalowania na swoim smartfonie aplikacji, która w rzeczywistości jest trojanem przechwytującym jednorazowe kody potwierdzające transakcje bankowe. Po zainfekowaniu urządzenia trojany z rodziny Marcher śledzą uruchomienie jedynie dwóch programów – aplikacji bankowości mobilnej jednego z europejskich banków oraz Google Play. Jeśli użytkownik uruchomi Google Play, Marcher wyświetla fałszywe okno żądające podania danych dotyczących karty kredytowej, które zostają następnie przekazane oszustom. Ta sama metoda jest wykorzystywana przez trojana, jeśli użytkownik uruchomi aplikacje bankową.
“W tym roku cyberprzestępcy poświęcili swój czas i zasoby na rozwijanie zagrożeń dla urządzeń mobilnych. Nie powinno to dziwić, ponieważ miliony osób na całym świecie wykorzystuje teraz swoje smartfony do płacenia za usługi i towary. Na podstawie aktualnych trendów można założyć, że w przyszłym roku udział szkodliwego oprogramowania bankowości mobilnej będzie jeszcze większy” – powiedział Jurij Namiestnikow, starszy badacz ds. bezpieczeństwa IT, Globalny Zespół ds. Badań i Analiz, Kaspersky Lab.
Jednak “tradycyjna” cyberprzestępczość finansowa nie zmniejszyła się: w 2015 r. rozwiązania firmy Kaspersky Lab zablokowały na komputerach użytkowników łącznie niemal dwa miliony (1 966 324) prób uruchomienia szkodliwego oprogramowania potrafiącego kraść pieniądze za pośrednictwem bankowości online, co stanowi wzrost o 2,8% w stosunku do 2014 r. (1 910 520 prób infekcji).
Inne główne trendy w działalności cyberprzestępczej w 2015 r.
- Cyberprzestępcy dążący do zminimalizowania ryzyka zostania celem organów ścigania zrezygnowali z ataków przy użyciu szkodliwego oprogramowania na rzecz agresywnego rozprzestrzeniania oprogramowania reklamowego (adware). W 2015 r. oprogramowanie adware stanowiło 12 na 20 zagrożeń atakujących online. Programy wyświetlające reklamy zostały zidentyfikowane na 26,1% komputerów użytkowników.
- Kaspersky Lab zaobserwował również stosowanie nowych technik maskowania szkodliwego kodu stosowane przez cyberprzestępców w celu utrudnienia wykrycia infekcji oraz analizy zagrożeń.
- Cyberprzestępcy aktywnie korzystali z anonimowości oferowanej przez sieć Tor w celu ukrycia serwerów kontroli oraz bitcoiny do przeprowadzania transakcji finansowych.
Ransomware – globalny koszmar
W 2015 r. oprogramowanie blokujące dostęp do danych (np. poprzez szyfrowanie) i żądające zapłacenia okupu zwiększyło swoją obecność na nowych platformach. Jeden na sześć (17%) ataków ransomware dotyczy obecnie urządzenia z systemem Android – zaledwie rok od pierwszego ataku na tę platformę. Eksperci z Kaspersky Lab zidentyfikowali dwa istotne trendy dotyczące oprogramowania ransomware w 2015 r. Po pierwsze, łączna liczba użytkowników zaatakowanych przez to zagrożenie zwiększyła się do około 180 000 – to o 48,3% więcej niż w 2014 r. Po drugie, w wielu przypadkach programy szyfrujące dane użytkowników posiadają wiele modułów i poza blokowaniem dostępu potrafią także np. kraść informacje ofiar.
Najważniejsze dane liczbowe z 2015 r.
- Rozwiązania Kaspersky Lab zablokowały próby uruchomienia szkodliwego oprogramowania potrafiącego kraść pieniądze za pośrednictwem bankowości online na niemal dwóch milionach komputerów na całym świecie, co stanowi wzrost o 2,8% w stosunku do 2014 r.
- Wykryto cztery miliony unikatowych szkodliwych i potencjalnie niechcianych obiektów (zagrożeń lokalnych). W 2014 r. liczba ta wynosiła 1,84 mln.
- Wykryto 1,2 miliarda unikatowych szkodliwych obiektów: skryptów, exploitów, plików wykonywalnych itd. – co stanowi spadek o 1,4% w porównaniu z 2014 r.
Rozkład geograficzny ataków online
80% powiadomień o atakach zablokowanych przez komponenty oprogramowania antywirusowego pochodziło z zasobów online zlokalizowanych w 10 krajach. Trzy państwa, w których zasoby online zawierały najwięcej szkodliwego oprogramowania, nie zmieniły się w stosunku do ubiegłego roku: Stany Zjednoczone (24,2%), Niemcy (13%) oraz Holandia (10,7%). Ranking ten pokazuje, że cyberprzestępcy wolą działać i wykorzystywać usługi hostingowe w państwach, w których istnieje dobrze rozwinięty rynek hostingu.
Pełny raport Kaspersky Security Bulletin ze statystykami dla 2015 r. jest dostępny na stronie http://r.kaspersky.pl/icnTK. Statystyki dla 2014 r. są dostępne na stronie http://r.kaspersky.pl/TWNgs.