חברת סימנטק (Symantec) זיהתה לאחרונה סוג חדש של התקפה אשר מחדיר למערכות קוד זדוני הכולל כלי לגישה מרחוק ב-Java (מה שמכונה Remote Access Tool – RAT).
בחברה אומרים, כי כעת מסתבר שפושעי סייבר מכוונים את התקפותיהם להחדרת כלי RAT למערכת ההפעלה אנדרואיד במכשירים ניידים, בהיותה מערכת הפעלה פופולארית מאוד ברחבי העולם.
כבר יותר משנה, מציעים פורומים מחתרתיים באינטרנט בחינם כלי RAT לאנדרואיד, המכונים AndroRAT. כעת, באופן לא מפתיע, כלכלת המחתרת אשר מזינה את צרכי פושעי הסייבר, יצרה את הכלים הראשונים (מה שמכונה Binders) אשר מאפשרים בקלות למשתמשים לארוז מחדש ולהפוך יישומי אנדרואיד לגיטימיים לסוסים טרויאנים בעזרת ה-AndroRAT.
כבר בנובמבר 2012 פורסם כלי לגישה מרחוק בקוד פתוח עבור אנדרואיד אשר כונה AndroRAT, והפך לנגיש לכל דרך האינטרנט. כמו כלי RAT אחרים, הוא מאפשר לתוקף מרחוק לשלוט במכשיר הנגוע באמצעות לוח בקרה ידידותי למשתמש. למשל, כאשר הוא פועל על מכשיר, ה-AndroRAT יכול לנטר ולבצע שיחות טלפון והודעות טקסט, להשיג את קואורדינטות ה-GPS של המכשיר, להפעיל ולהשתמש במצלמה ובמיקרופון, ולגשת לקבצים השמורים על המכשיר.
ה-RAT מגיע בצורה של קובץ APK (חבילת אפליקציית אנדרואיד), שהוא פורמט היישומים הסטנדרטי של אנדרואיד. כאשר משתמשים בה בשילוב עם ה-Binder המכונה AndroRAT APK, היא מאפשרת לתוקף בעל ניסיון מועט, לבצע בקלות אוטומטיזציה של תהליך ההדבקה של יישומי אנדרואיד לגיטימיים עם ה-AndroRAT, ובכך להפכם לסוסים טרויאנים. כאשר הגרסה הטרויאנית של האפליקציה הלגיטימית מותקנת על המכשיר, המשתמש מתקין בלא ידיעתו את ה-AndroRAT יחד עם האפליקציה הלגיטימית אותה התכוון להתקין. כך מתאפשר לתוקף לעקוף אלמנטים של מודל האבטחה של אנדרואיד באמצעות הונאה. עד עתה, סימנטק זיהתה 23 מקרים של אפליקציות פופולאריות ולגיטימיות שהופכות לסוסים טרויאנים ברחבי הרשת, עם ה-AndroRAT.
כתוצאה מכך, סימנטק גם זיהתה כלי לגישה מרחוק עבור JAVA, המכונה Adwind, אשר כבר תומך במספר מערכות הפעלה ונראה כי הינו בתהליך של שילוב מודול לאנדרואיד המבוסס על קוד המקור הפתוח של AndroRAT. שוב, ה-RAT הזה כולל גם מממשק משתמש גרפי המאפשר לתוקפים לנהל ולשלוט ב-RAT מרחוק.
סרטון הדגמה שמראה את Adwind עובד על אנדרואיד מראה גם את נוכחות AndroRAT על הטלפון הנגוע, מה שמראה כי ייתכן שיוצרי Adwind עושים התאמה לכלי ה-AndroRAT כדי לשלב אותו בתוך Adwind. התפתחות זו אינה מפתיעה, שכן טבעו של קוד המקור הפתוח של קוד ה-AndroRAT מוביל לכך שיהיה ניתן להתאימו בקלות אל תוך איומים וכלים חדשים.
נכון לעתה, שיטת הטלמטריה של סימנטק מראה רק על כמה מאות של הדבקות ב-AndroRAT ברחבי העולם, כאשר ארה”ב וטורקיה הן המדינות בהן התמקדו מרבית המתקפות. עם זאת, הטלמטריה מדווחת על עליה בהדבקות לאחרונה, ובסימנטק צופים כי היא תימשך כל עוד הזמינות והתחכום של כלי ה-AndroRAT יתגברו.
האבולוציה של כלי גישה מרחוק שיכוונו לפלטפורמת האנדרואיד הייתה צפויה. בעוד AndroRAT אינה מראה רמה גבוהה של תחכום בשלב זה, עם טבע הקוד הפתוח שלה ועם הפופולאריות הגוברת שלה, יש לה פוטנציאל להתפתח ולצמוח לאיום רציני יותר.
בסימנטק ממליצים להתקין אפליקציית אבטחה, כמו Norton Mobile Security, אשר מזהה את הסיכון הזה ומנטרת אותו.
למידע נוסף על אבטחה לסמארטפונים וטאבלטים ניתן להיכנס לקישור:
http://www.mobilesecurity.com/
