Pravděpodobně vás blesk zasáhne, než nakazí mobilní malware

Na konferenci RSA 2015 vědci z bezpečnostní firmy Damballa oznámili, že ve Spojených státech je mnohem pravděpodobnější, že vás blesk zasáhne, než nakazí mobilní malware. I když to podporuje předchozí studii provedenou společností, Damballa našla na mobilních zařízeních něco velmi zvláštního.

Sledování škodlivého provozu

Podnikem Dambally je automatická obrana při porušení předpisů na základě analýzy velkých dat. Při práci s významným bezdrátovým operátorem v USA byl Damballa schopen porovnat provozní data se známými škodlivými adresami URL získanými z přibližně 70 000 vzorků mobilního malware. „Bylo to trochu ruční postup, jak odstranit běžné domény, které pravděpodobně nejsou spojeny s malwarem, “ vysvětlil vedoucí vědecký pracovník Charles Lever. "Bylo to bolestivé."

Ve svém výzkumu Lever uvedl, že Damballa nemá přístup k užitečnému zatížení těchto přenosů, pouze k adresám URL. Společnost dala najevo, že nemá žádné údaje o zákaznících.

Rozsah studie společnosti Damballa je obrovský, zaměřuje se na asi 151 milionů zařízení denně, z 25 milionů, když společnost provedla studii v roce 2012. Společnost uvedla, že to v USA představuje 50 procent mobilního datového přenosu, ale tato společnost viděla pouze 9 688 zařízení oslovujících adresy URL přidružené k mobilnímu malwaru.

To funguje na 0, 0064 procent provozu, který je škodlivý. V tiskové zprávě společnosti Damballa uvedla, že oficiální šance National Weather Services na zásah bleskem byly výrazně vyšší na 1, 3 procenta.

Bezpečné útočiště

Lever uvedl, že závěry studie podporují názor, že zatímco mobilní malware byl hodně diskutován v bezpečnostních kruzích (a tímto autorem). "Zjišťujeme spoustu vzorků malwaru, ale nejsem si jistý, zda se tyto vzorky dostávají na jejich zařízení, " řekl Lever.

„V USA máme silné trhy první strany, “ pokračoval Lever s odkazem na obchod Apple App Store a Google Play. Řekl, že tyto obchody mají dobrá bezpečnostní opatření, která vyhýbají nejhorším aktérům, a zahrnují nástroje, které umožňují Apple a Google vzdáleně deaktivovat nebo odebrat škodlivé aplikace, které by mohly najít cestu na zařízení uživatelů.

Damballova studie samozřejmě má svá omezení. Je například zaměřen spíše na potenciálně škodlivý síťový provoz než na skutečné škodlivé instalace na mobilních zařízeních. Vztahuje se také pouze na polovinu USA, což většinu světa nezajímá. Lever uvedl, že je možné, že infekce malwaru v mobilních zařízeních by mohly být mnohem vyšší mimo USA „Viděl jsem, že je vyšší, ale nemohl jsem to říci empiricky, “ řekl Lever.

Je zajímavé, že škodlivého mobilního provozu, který Damballa pozoroval, by většina byla charakterizována jako adware.

Stínový provoz

Ale zatímco mobilní malware neproběhl ve Damballově studiu velké představení, něco jiného udělal. Kromě provozu spojeného s mobilním malwarem Lever vysvětlil, že Damballa také sledoval požadavky z mobilních zařízení na jiné typy škodlivé infrastruktury. Může se jednat o infrastrukturu pro malware ve stolním počítači, phishingové operace, botnety atd. Tyto žádosti o stinné části internetu pomocí mobilních zařízení byly, jak vysvětlil Lever, výrazně vyšší než požadavky na adresy URL škodlivého softwaru pro mobilní zařízení.

Kolik je větší? O několik řádů. Damballa ohlásila 100 000 žádostí souvisejících s mobilním malwarem, které vysledovala k těmto 10 000 lichým zařízením. Sledoval 100 milionů požadavků na weby, které se zdály být stahováním z disku a 1 miliardu (s „b!“) Požadavky spojenými s malwarem, který cílí na plochu. Tyto požadavky opět přicházejí z mobilních zařízení.

Lever uvedl, že ačkoli jsou tyto stinné požadavky z mobilních zařízení „podstatně větší než to, co vidíme pro mobilní malware“, jejich příčina je do značné míry neznámá.

Lever navrhl, že část provozu by mohla pocházet od mobilních uživatelů, kteří se stali oběťmi phishingových webů. Další odborníci na bezpečnost navrhli, že phishing může být na mobilních zařízeních snazší, protože srovnatelně malá obrazovka odřízne podezřelé adresy URL a ikona zámku spojená s připojením SSL není viditelná.

Po celou dobu konverzace zůstal Lever do značné míry optimistický ohledně zabezpečení mobilních telefonů, ale když diskutoval o těchto neobvyklých nálezech, rozhodl se negativně. Řekl, že zatímco to, co způsobovalo toto obrovské množství podezřelého síťového provozu, dnes nemusí být problémem, mohlo by to být v budoucnosti. Nebo to může být dokonce výsledek dosud neznámých škodlivých aplikací.

• Android 4.1.1 Stále zranitelný pro Heartbleed Android 4.1.1 Stále zranitelný pro Heartbleed
• Škodlivé aplikace pro Android mohou zaseknout Gmail Škodlivé aplikace pro Android mohou zaseknout Gmail
• Mobilní hrozba pondělí: Aplikace pro Android Skrýt malwaru Windows Mobilní hrozba pondělí: Aplikace pro Android Skrýt malwaru Windows

"Je to velká oblast rizika, která není právě prozkoumána a mohla by použít další výzkum, aby zjistila, o co jde, " řekl Lever. "Je to phishing? Je to spam? Jaké je rozdělení? A kolik z toho v současné době ovlivňuje mobilní zařízení a kolik by mohlo v budoucnu?"

Doufejme, že budoucí výzkum bude schopen tuto hádanku dát dohromady.