Ви швидше уражені блискавкою, ніж заражені мобільним шкідливим програмним забезпеченням

На конференції RSA 2015 дослідники охоронної фірми Damballa оголосили, що в США ви, швидше за все, уражені блискавкою, ніж заражені мобільним шкідливим програмним забезпеченням. Хоча це підтримує попереднє дослідження, проведене компанією, Дамбалла виявив щось дуже дивне, що відбувається на мобільних пристроях.

Відстеження шкідливого трафіку

Діяльність Дамбалла - це автоматизована захист від порушення, заснована на аналітиці великих даних. Працюючи з великим бездротовим оператором США, Дамбалла зміг порівняти дані про трафік з відомими шкідливими URL-адресами, вилученими з приблизно 70 000 зразків мобільних зловмисних програм. "Це було трохи ручного процесу для видалення загальних доменів, які, ймовірно, не пов'язані зі шкідливим програмним забезпеченням", - пояснив старший науковий співробітник Чарльз Левер. "Це було боляче".

У своєму дослідженні Левер заявив, що Дамбалла не має доступу до корисних навантажень цих передач, а лише до URL-адрес. Компанія дала зрозуміти, що не бачить даних про клієнтів.

Обсяг дослідження Дамбалла величезний, зосереджуючи увагу на приблизно 151 мільйоні пристроїв на день, що перевищує 25 мільйонів, коли компанія проводила дослідження в 2012 році. Компанія заявила, що це становить 50 відсотків мобільного трафіку даних у США, але вони бачили лише 9 688 пристроїв, які зверталися до URL-адрес, пов’язаних із мобільним шкідливим програмним забезпеченням.

Це спрацьовує, щоб .0064 відсотків трафіку були зловмисними. У прес-релізі компанії Дамбалла заявив, що офіційні шанси Національної служби погоди щодо удару блискавки були значно вищими на 1, 3 відсотка.

Притулок

Левер зазначив, що висновки дослідження підтверджують те, що в той час як мобільні зловмисні програми багато обговорювалися в колах безпеки (і цим автором). "Ми знаходимо безліч зразків шкідливих програм, але я не впевнений, що ці зразки пробиваються на свої пристрої", - сказав Левер.

"У нас є сильні первісні ринки в США", - продовжував Вавер, маючи на увазі магазин Apple App і магазин Google Play. Він зазначив, що в цих магазинах є хороші заходи безпеки, які запобігають дії найгірших учасників, і включають інструменти, які дозволяють Apple і Google віддалено відключати або видаляти шкідливі додатки, які можуть знайти свій шлях на пристрої користувачів.

Звичайно, дослідження Дамбалла має обмеження. Наприклад, він орієнтований на потенційно шкідливий мережевий трафік, а не на фактичні шкідливі установки на мобільних пристроях. Вона також охоплює лише половину США, що залишає без уваги велику частину світу. Левер заявив, що можливо, що мобільні зловмисні програми можуть бути набагато вищими за межами США. "Я міг бачити, що це вище, але я не можу це сказати емпірично", - сказав Левер.

Цікаво, що зловмисний мобільний трафік, який спостерігав Дамбалла, більшість його характеризували б як рекламне програмне забезпечення.

Тіньовий трафік

Але хоча мобільне шкідливе програмне забезпечення не показало великого показника в дослідженні Дамбалла, щось інше зробило. Окрім трафіку, пов’язаного з мобільним шкідливим програмним забезпеченням, Левер пояснив, що Дамбалла також відслідковував запити з мобільних пристроїв на інші типи шкідливої ​​інфраструктури. Це може бути інфраструктура для шкідливих програм для настільних ПК, фішинг-операцій, ботнетів тощо. Ці запити на тіньові частини Інтернету мобільними пристроями були, пояснив Левер, значно вище, ніж запити на URL-адреси зловмисних програм для мобільних пристроїв.

На скільки більше? На кілька порядків. Damballa повідомив про 100 000 запитів, пов’язаних із мобільним шкідливим програмним забезпеченням, яке було відстежено на цих 10 000 непарних пристроях. Він відслідковував 100 мільйонів запитів на сайти, які, як видається, завантажували диск, та 1 мільярд (з "b!") Запитів, пов'язаних зі зловмисним програмним забезпеченням, націленим на робочий стіл. І знову ці запити надходять з мобільних пристроїв.

Левер зазначив, що хоча ці затінені запити від мобільних пристроїв "значно більше, ніж те, що ми бачимо для мобільних зловмисних програм", їхня причина в основному невідома.

Левер припустив, що частина трафіку може надходити від користувачів мобільних пристроїв, які стали жертвою фішинг-сайтів. Інші експерти з безпеки припустили, що фішинг може бути простішим на мобільних пристроях, оскільки порівняно невеликий екран відсікає підозрілі URL-адреси, а піктограма блокування, пов’язана із з'єднанням SSL, не видно.

Протягом усієї розмови Левер залишався в значній мірі оптимістичним щодо безпеки мобільних пристроїв, але, обговорюючи ці незвичайні висновки, він прийняв рішуче негативний поворот. Він зазначив, що хоча все, що спричиняє цю величезну кількість підозрілих мережевих трафіків, сьогодні не може бути проблемою, це може бути в майбутньому. Або навіть це може бути результатом невідомих на сьогодні шкідливих програм.

• Android 4.1.1 все ще вразливий для Heartbleed Android 4.1.1 все ще вразливий для Heartbleed
• Шкідливі програми для Android можуть зламати Gmail, шкідливі програми для Android можуть зламати Gmail
• Мобільна загроза понеділка: Програми для Android приховують зловмисне програмне забезпечення Windows Мобільні загрози понеділка: Програми для Android приховують шкідливі програми для Windows

"Це велика область ризику, яка зараз недостатньо вивчена, і вона може використовувати більше досліджень, щоб дізнатися, що це таке", - сказав Левер. "Це фішинг? Це спам? Що таке поломка? І наскільки це зараз впливає на мобільні пристрої і скільки це може в майбутньому?"

Сподіваємось, майбутні дослідження зможуть скласти цю загадку.