65 milhões: o número de vezes que bloqueamos ameaças móveis em 2016. Até dezembro de 2016, o número total de amostras originais de aplicativos maliciosos no sistema Android coletado e analisado por nós, bateu a marca de 19,2 milhões – uma enorme diferença das 10,7 milhões amostras coletadas em 2015.
Na verdade, a ubiquidade dos dispositivos móveis entre os usuários individuais e as organizações, juntamente com os avanços das tecnologias que alimentam esses dispositivos, refletem a proliferação exponencial, o aumento da complexidade e a expansão das capacidades das ameaças móveis.
Apesar das cadeias de rotinas e de infecção das ameaças móveis serem algo familiar, o ano de 2016 trouxe ameaças com uma maior diversidade, escala e escopo para o cenário de dispositivos móveis. Mais empresas tiveram de enfrentar os malwares móveis, tais como BYOD, e os dispositivos de propriedade da empresa se tornaram mais comuns. Já o ransomware teve um crescimento desenfreado, tendo em vista que os usuários móveis continuaram se tornando alvos viáveis para os cibercriminosos. Mais vulnerabilidades também foram descobertas e divulgadas, permitindo que os bandidos ampliassem seus vetores de ataque, ajustassem seus malwares, aumentassem seus métodos de distribuição e, em particular, invadissem os jardins murados do iOS.
Globalmente, os malwares de exploits e de rooting foram os mais prevalentes, enquanto o ransomware móvel foi o mais difundido no Japão. Nos Estados Unidos, malwares que coletam e vazam informações sem serem percebidos, e que também executam funções como envio e recebimento de mensagens de texto, foram os mais generalizados.
Malwares Móveis Continuam a Afetar as Empresas
A crescente tendência de programas do tipo Bring Your Own Device – BYOD (Traga Seu Próprio Dispositivo) e o uso de smartphones para acessar redes, serviços e bens da empresa continuaram a afetar o impacto das ameaças móveis nas empresas. Por outro lado, não observamos malwares codificados especificamente voltados para empresas. As infecções que vimos geralmente eram desencadeadas pelo download de aplicativos — muitas vezes a partir de lojas mal-intencionadas de aplicativos de terceiros — e pela instalação desses aplicativos em dispositivos que se conectam a redes corporativas e lidam com os arquivos da empresa. O QVOD, por exemplo, se disfarça de um player de vídeo. Ele inscreve os usuários em um serviço de SMS sem que eles percebam, o que pode aumentar consideravelmente o valor das contas de celulares. O malware de roubo de informações conhecido como DressCode se disfarçou como ferramentas de otimização para o telefone e como aplicativos recreacionais. Já o spyware Jopsik se apresentou como uma atualização do sistema operacional Android ou como um aplicativo de jogos.
Com base no feedback da nossa solução Trend Micro™ Mobile Security for Enterprise, as ameaças que mais afetaram as empresas em 2016 foram aplicativos possivelmente indesejados (PUAs), tais como adware, assim como spyware, e banking, rooting e Trojans de SMS. O número de detecções foi maior na China, França, Brasil, Alemanha e Polônia.
Apesar de um número considerável de amostras que analisamos terem sido distribuídas através de lojas de aplicativos de terceiros, também vimos aplicativos maliciosos em lojas legítimas. Dos mais de 3,22 milhões de aplicativos do Google Play que obtivemos e analisamos, 1,02% deles eram maliciosos e PUAs (sendo que seu surgimento na plataforma foi corrigido pela Google de forma proativa), incluindo DressCode e Jopsik. O número de detecções para o Dresscode foi o mais alto entre as organizações norte-americanas, franceses, israelenses e ucranianas.
O Ransomware Móvel Registrou um Crescimento Sem Precedentes
O ransomware móvel bombou em 2016. As amostras analisadas no quarto trimestre de 2016, por exemplo, eram três vezes maiores em comparação com o mesmo período em 2015. Apesar do crescimento, estes malwares tem um modus operandi em comum: explorar, jogar a isca, intimidar, extorquir. A maioria destes eram bloqueadores de tela que exploravam recursos do sistema operacional Android e usavam iscas sociais, tais como atualizações falsas de sistema, jogos populares e pornografia. Usuários involuntários também foram enganados para que fornecessem a eles privilégios de administrador, o que lhes permite alterar a senha da tela de bloqueio do aparelho e garantir que não fossem desinstalados.
O SLocker e o Koler são conhecidos por fingirem ser da polícia, acusando as vítimas de crimes para coagi-las a pagar um resgate. O SMSLocker (uma iteração do SLocker) e o Svpeng também atuam como Trojans bancários; bloqueiam o dispositivo e exigem um resgate através dos comandos do comando e controle (C&C). O Flocker virou notícia no final do primeiro trimestre de 2016, quando se transformou e infectou smart TVs. Ele se manteve como uma ameaça predominante no Japão em 2016, considerando que nossas detecções do Flocker no país chegaram a 32.000 em abril.
As detecções de ransomware móvel tiveram um crescimento entre agosto e setembro de 2016, devido ao aumento da atividade na Indonésia e Rússia. Em agosto de 2016, uma variante do SLocker se espalhou pela Indonésia, quando aplicativos falsos de música e de vídeo tiveram um crescimento no país durante este período. Em setembro, uma versão do Svpeng foi vista sendo amplamente distribuída na Rússia. Na verdade, a Indonésia e Rússia estão entre os países com o maior número de detecções e infecções de ransomwares móveis em 2016, junto com a Índia e o Japão.
Malwares de Rooting e Exploits Exploraram Mais Vulnerabilidades
Em 2016, descobrimos mais de 30 vulnerabilidades no Android e divulgamos estas para a Google e a Qualcomm. Estes falhas de segurança estavam na estrutura do Android, nos drivers do dispositivo e no kernel. Cinco delas eram críticas; quando exploradas, possibilitava que os atacantes realizassem a elevação do privilégio local (root) e a execução de um código remoto. Mais de 10 vulnerabilidades descobertas por nós podiam ser exploradas para comprometer os processos privilegiados do sistema ou como parte de uma cadeia de exploit para comprometer o kernel. Dentre estas havia uma falha crítica no mecanismo de criptografia do kernel, o que podia permitir que os atacantes realizassem a execução de um código remoto. Também denunciamos diversas vulnerabilidades críticas em módulos do sistema de desempenho do Android, que poderiam comprometer o kernel se fossem exploradas. Nossa coordenação com a Google evoluiu para possibilitar mecanismos adicionais de segurança para o Android.
Trojans Bancários Roubou Mais do que Apenas as Credenciais da Conta
Em 2016, a maioria dos Trojans bancários móveis que vimos direcionaram os ataques contra usuários móveis na Rússia; na verdade, eles foram responsáveis por 74% de nossas detecções globais. China, Austrália, Japão, Romênia, Alemanha, Ucrânia e Taiwan foram os países mais afetados por estes malware. Com base nas amostras que identificamos e analisamos, sua distribuição foi mais ativa durante o último trimestre.
Maior Esforço para Invadir os Jardins Murados da Apple
Em 2016, os ataques contra os dispositivos da Apple focaram em buscar modos de reduzir o rigoroso controle da Apple sobre o seu ecossistema com o objetivo de distribuir malwares. A exploração do certificado de empresa da Apple foi uma técnica comum usada para passar o conteúdo malicioso para dispositivos iOS não-liberados. Mais vulnerabilidades também foram exploradas — um reflexo de que é provável que mais falhas de software em produtos da Apple sejam divulgadas, tendo em vista a expansão de sua participação no mercado.
Navegando na Plataforma Móvel em 2017 e Além
O cenário de ameaças móveis em 2016 foi marcado pelo impacto disruptivo do malware móvel nas empresas, seus diversos vetores de ataque, e também o dimensionamento e o escopo de sua distribuição. Os incidentes notáveis do ano passado também refletiram mais vulnerabilidades sendo exploradas para fazer esses dispositivos de refém e extorquir seus proprietários. Os aplicativos falsos lucraram com a popularidade de seus equivalentes legítimos — Pokémon Go, Mario Super Run e QQ (um popular aplicativo de mensagens instantâneas na China), para citar alguns — para distribuir conteúdo malicioso. No caso do QQ, um byte order mark UTF-8 (BOM) foi adicionado ao rótulo do aplicativo para falsificar o aplicativo verdadeiro. PUAs, tais como adware, também foram uma constante ameaça, expondo os usuários à malwares que limpam as contas bancárias e roubam informações.
Em 2015, as vulnerabilidades divulgadas foram consideravelmente relacionadas com estruturas do Android, especialmente com o processo do MediaServer. No entanto, em 2016, observamos várias divulgações de informações sobre as vulnerabilidades do kernel, sendo que maior parte são os drivers do kernel da Qualcomm, MediaTech e Nvidia — fabricantes de sistemas em um chip (SOCs) usados em dispositivos Android. Em geral, vimos também mais bugs no kernel do Linux, ambos utilizados por sistemas tradicionais de Linux e Android. Tendo em vista que o Android também utiliza drivers específicos do kernel e estruturas de nível superior, os componentes adicionados e a sua suscetibilidade aos bugs podem expor a plataforma a mais a riscos de segurança do que os sistemas tradicionais do Linux.
Com os Programas de Recompensa para Vulnerabilidades da Google e da Qualcomm, provavelmente veremos mais vulnerabilidades sendo descobertas este ano, especialmente nos drivers do dispositivo. Com as falhas de segurança do kernel sendo mais proeminentes em 2016, também é possível prever que veremos mais vulnerabilidades multiplataforma (com o kernel Linux) divulgadas ou até mesmo exploradas.
Para o ransomware móvel, a sua saturação no cenário de ameaças pode fazer com que seu crescimento estacione em 2017. Além disso, apesar do SO Android nativamente impedir que aplicativos de terceiros tenham carta branca sobre os dados do dispositivo, a implantação do Android Nougat assegurou ainda mais algumas das interfaces de programação de aplicativos (APIs), muitas vezes exploradas por ransomwares móveis. As senhas, por exemplo, agora só podem ser alteradas se não houver um conjunto de senha existente;
Na verdade, as perspectivas para o cenário móvel podem seguir por dois caminhos diferentes. Conforme a plataforma desempenha um papel cada vez mais vital na vida cotidiana e na produtividade da empresa, os malwares e as vulnerabilidades faram o mesmo, considerando que os bandidos estão à procura de uma fonte lucrativa de vítimas. Ao mesmo tempo, porém, isso gera um controle mais aguçado com relação à segurança de dispositivos móveis para prevenir a infecção de malware e o uso indevido de dados pessoais e corporativos — como ecoado por nossas contínuas iniciativas em pesquisa de vulnerabilidades móvel, por exemplo. Para cumprir com os requisitos legais e regulamentares, o Deutsche Bank AG recentemente proibiu o uso de aplicativos de mensagens de texto e de comunicação não aprovados em dispositivos móveis da empresa.
Os desenvolvedores de aplicativos, assim como os fabricantes de equipamentos e design originais, estão bem posicionados para enfatizar a privacidade e a segurança em seus produtos/aplicativos. Organizações e usuários finais individuais também devem reforçar a sua postura de segurança para atenuar essas ameaças. Seus riscos servem como um lembrete para tomar cuidado com lojas suspeitos de aplicativos, a manter o sistema operacional do dispositivo atualizado e a praticar bons hábitos de segurança. As organizações que implementaram políticas de BYOD devem encontrar um equilíbrio entre sua necessidade de mobilidade e de produtividade e a importância da privacidade e da segurança.
Os usuários finais e empresas também podem se beneficiar de soluções de segurança móvel de multicamadas, como o Trend Micro™ Mobile Security for Android™ (disponível no Google Play), e o Trend Micro™ Mobile Security for Apple (disponível na App Store). O Trend Micro™ Mobile Security for Enterprise possibilita a administração de aplicativos, de conformidade e do dispositivo, a proteção de dados e o provisionamento de configuração, além disso a solução protege os dispositivos contra ataques que potencializam as vulnerabilidades, impedindo o acesso não autorizado aos aplicativos, e detectando e bloqueando malware e sites fraudulentos.
