Segurança móvel: relatório da McAfee sobre as tendências de consumidores

Transcrição

1 Relatório Segurança móvel: relatório da McAfee sobre as tendências de consumidores Tendências relativas a aplicativos perigosos, comportamento inadequado de dispositivos móveis e programas espiões (spyware)

2 Índice Sobre este relatório 3 Principais conclusões 3 Definição de aplicativos perigosos: malwares e URLs suspeitos 3 Fontes de aplicativos móveis perigosos 4 SEO Black Hat e lojas de aplicativos móveis 5 1/6 dos downloads de aplicativos pode ser perigoso 5 Malware + URLS suspeitos = Golpes sofisticados 6 Definição de malware móvel 7 Diversos comportamentos inadequados 7 Código/bots/redes de bots reutilizáveis 9 Destaques sobre spyware 10 O que virá em seguida? 11 Recursos 11 2

3 Sobre este relatório Como líder em segurança da informação e de produtos de segurança móvel, a McAfee analisa constantemente o abrangente banco de dados do McAfee Global Threat Intelligence (GTI) para orientar os consumidores quanto a defenderem-se contra as ameaças móveis. Este relatório traz informações sobre os modos com os quais os cibercriminosos utilizam código e sites mal-intencionados, tanto de forma separada como em conjunto, para atacar dispositivos de consumidores e obter informações pessoais. O foco deste relatório é os riscos reais. Quais são as chances de um usuário comum de dispositivos móveis se deparar com um malware ou com um site suspeito? Quais são os efeitos dos malwares? Esta análise real compara malwares móveis e de aplicativos no laboratório e no centro de coleta de ameaças da McAfee com dados coletados da base instalada de usuários da solução McAfee Mobile Security. Principais conclusões Ao contrário dos PCs, que normalmente são infectados por s ou sites, o principal meio de distribuição de malware móvel atualmente são aplicativos infectados; 3% dos aplicativos infectados por malware coletados no laboratório de aplicativos móveis da McAfee vieram da loja Google Play; Na comunidade de usuários da McAfee, relativamente conservadora, 75% dos aplicativos infectados por malware foram baixados do Google Play; As lojas de aplicativos consideradas mal-intencionadas utilizam SEO (otimização de mecanismo de pesquisa) black hat; Com base na experiência de usuários da McAfee, os consumidores têm no mínimo 1/6 de chance de baixar aplicativos com malware ou URLs suspeitos; Quase ¼ dos aplicativos perigosos que contém malware também possui URLs suspeitos; 40% das famílias de malware têm um ou mais comportamentos inadequados, o que mostra a sofisticação e determinação dos cibercriminosos; 23% dos spywares (programas espiões) móveis juntam-se a uma rede de bots (robôs) ou abrem uma backdoor, aumentando o risco de perda de dados ou violação do dispositivo. Quando se adquire um smartphone ou tablet, não se deseja abrir mão desse dispositivo. A McAfee visa com este relatório auxiliar o consumidor a compreender onde estão os riscos e evitá-los para aproveitar a vida digital móvel em segurança. Definição de aplicativos perigosos: malwares e URLs suspeitos Os aplicativos perigosos são muito utilizados como ferramentas de cibercrimes. Eles podem portar todos os tipos de códigos mal-intencionados e ferramentas de hackers, além de links para sites controlados por criminosos. Os aplicativos perigosos que contêm malware móvel podem roubar informações pessoais (para invadir a privacidade e roubar a identidade do consumidor), executar fraudes (como um golpe de conteúdo por SMS) ou violar um dispositivo, tornando-o parte de uma rede de bots criminosa. Glossário Aplicativos perigosos Aplicativos móveis que podem ser baixados e contêm qualquer forma de malware ou links para sites suspeitos. URLs suspeitos Localizadores de domínio e endereços Web que contêm malware, explorações de navegador, comportamentos de phishing, formulários de inscrição em spam ou afiliações a outros sites duvidosos. Malware Amostras únicas de código mal-intencionado ou possivelmente indesejado que podem assumir diversas formas, inclusive vírus, cavalos de Troia, worms ou código de explorações. Famílias de malware Grupos relacionados de amostras únicas de malware, que evoluem a partir dos mesmos componentes, como uma árvore genealógica. Eles possuem o mesmo comportamento. Pacotes de malware Implementações separadas de variantes de uma família de malware; às vezes, o mesmo software é recompilado ou manipulado para que não seja reconhecido por softwares de segurança. Laboratório Um conjunto com todas as amostras de algum elemento, como laboratório de aplicativos ou laboratório de malware. Os aplicativos perigosos podem incluir malware e URLs suspeitos em conjunto, de modo a possibilitar esquemas mais complexos (abordados mais adiante neste relatório). É possível também que os aplicativos não contenham malware, mas simplesmente um URL suspeito. Os links suspeitos normalmente ajudam a envolver os dispositivos móveis de clientes em golpes 3

4 O jogo dos números Como comparar os dados da McAfee com os dos relatórios de outros fornecedores? Os dados de cada relatório podem variar, pois cada fornecedor toma decisões diferentes a respeito da classificação, contagem e divulgação das informações sobre ameaças. Eles podem optar por divulgar famílias únicas de malware, pacotes únicos dessas famílias ou todas as instâncias únicas de malware possíveis que portam essas ameaças. Normalmente, os fornecedores que divulgam instâncias únicas de malware possuem mais dados sobre elas do que aqueles que divulgam apenas famílias ou pacotes de malware. Por exemplo, os cibercriminosos criaram mais de 100 pacotes diferentes para a família de malware Skulls. Esses pacotes são reorganizados, recompilados e implantados em muitas instâncias de aplicativos distintos. No núcleo disso, a mesma família de malware Skulls é portadora das mesmas ameaças. lucrativos (para o fraudador). Esses URLs executam fraude de cliques, extraem informações pessoais por meio de phishing, anunciam conteúdo duvidoso ou instigam interações incômodas, como spam. A maioria dos proprietários de dispositivos prefere evitar todas essas atividades, utilizando seus dispositivos, tempo e planos de dados em ações escolhidas de forma consciente. Até o momento, poucos aplicativos com URLs suspeitos levam a sites com downloads de passagem. A maioria dos malwares em uma página da Web ainda precisa ser aceita pelo usuário, o que dá aos consumidores uma chance de voltar atrás. Porém, observamos os primeiros downloads de passagem móveis em 2012, e a tendência é que o número aumente em Fontes de aplicativos móveis perigosos O banco de dados de pesquisa e amostras da McAfee inclui um enorme conjunto de aplicativos móveis, tanto inofensivos quanto perigosos. Como o laboratório da McAfee persegue os elementos mal-intencionados (buscando e pesquisando proativamente as amostras intrigantes), uma grande porcentagem de seu banco de dados de aplicativos é composta por aplicativos perigosos. Aplicativos Download Análise Malware URL suspeito Uso de permissões não aprovado Compartilhamento de dados não aprovado Limpo Perigoso Figura 1. O software da McAfee analisa todos os aplicativos baixados em busca de elementos perigosos ou de condições que possam constituir abuso de confiança e privacidade. Com tantos dados diferentes circulando e gerando confusão, a McAfee optou por se concentrar principalmente em proporções e tendências. Este relatório reflete a análise da McAfee relativa a amostras de malware únicas encontradas em aplicativos e pacotes de malware distintos. Embora as conclusões relacionadas às fontes de aplicativos sejam baseadas em todas as instâncias únicas de malware, a McAfee não fornece dados gerais das instâncias para evitar percepções exageradas do risco observado. No relatório trimestral completo da McAfee sobre ameaças está indicado o número de pacotes de malware únicos registrado até o momento, para melhor apresentar a rápida expansão na diversidade dos malwares. Este cenário impróprio não reflete o ambiente comum do usuário de dispositivos móveis, mas fornece informações interessantes sobre redes criminosas. Por exemplo, a equipe da McAfee observou primeiro as lojas em que o software automatizado de coleta de ameaças do GTI encontrou aplicativos infectados por malware 2. Os sensores do GTI descobriram que 57% de todos os aplicativos infectados por malware do conjunto vieram de apenas três lojas de aplicativos, todas na Rússia. Essa concentração indica que os criminosos organizados provavelmente administram lojas de aplicativos. Para fins de comparação, apenas 3% de aplicativos infectados do centro de coleta da McAfee veio da loja Google Play. Ela foi classificada como a nona maior fonte de aplicativos infectados por malware na amostra. Em seguida, foram observadas as fontes de aplicativos infectados por malware baixados da base instalada de usuários do McAfee Mobile Security. Os números foram muito diferentes. Como o Google Play é a principal fonte de aplicativos dos usuários de Android, não houve surpresa com relação ao dado de que 75% dos aplicativos infectados por malware baixados pela base de usuários vieram do Google Play. Nenhuma outra loja comercial ou de operadora apareceu em alguma das listas de fontes de aplicativos infectados por malware. A conclusão da McAfee é que, embora o Google Play seja mais seguro do que muitas lojas de aplicativos, os usuários devem continuar a ter cuidado com todos os aplicativos. Deve-se prestar atenção às permissões solicitadas pelo aplicativo. Examinar todos os aplicativos para ver se estes contêm malware. E, ainda, acompanhar as faturas mensais para detectar rapidamente as fraudes de conteúdo pago. 4

5 Fonte Laboratório completo de aplicativos infectados por malware (extraído das fontes) Classificação da fonte Laboratório de aplicativos Classificação da infectados por malware da fonte base instalada do McAfee Mobile Security (extraído das fontes) Fonte 1 (Rússia) 26% 1 3% 4 Fonte 2 (Rússia) 22% 2 1% 10 Fonte 3 (Rússia) 9% 3 0% 21 Google Play 3% 9 75% 1 SEO Black Hat e lojas de aplicativos móveis Muitos usuários desejam conteúdo como jogos em seu idioma nativo ou utilitários indisponíveis em lojas de aplicativos comerciais. Quando eles utilizam lojas alternativas, o risco aumenta. Em 2012, por exemplo, o Google e a Adobe interromperam a distribuição do Flash Player para Android 3. Todas as pessoas que desejavam visitar sites com conteúdo em Flash precisavam de um aplicativo com o Player, e muitas utilizaram mecanismos de pesquisa para encontrar um. Os proprietários de lojas de aplicativos duvidosos aproveitaram a oportunidade. A McAfee detectou cinco lojas de aplicativos com nomes baseados em variações das palavras Android Flash Player. Os pesquisadores chamam essa técnica de SEO black hat. Os criminosos pensam em modos por meio dos quais uma possível vítima procuraria conteúdo e utilizam essas palavras-chave em URLs, páginas da Web e tags da página. A intenção deles é aparecer nos primeiros resultados da página do mecanismo de pesquisa, acima de conteúdo legítimo, para que sejam clicados. Para aumentar o tráfego, os fraudadores podem utilizar phishing ou spam (links distribuídos em s tradicionais, mídia social ou mensagens SMS) para atrair vítimas ao site. O cibercriminoso lucra quando o usuário baixa o aplicativo mal-intencionado. Ele pode revirar o dispositivo da vítima em busca de dados ou utilizá-lo inadequadamente, de uma das muitas maneiras abordadas neste relatório. De modo semelhante, quatro outras lojas de aplicativos utilizaram as palavras cut the rope ( cortar as cordas, nome de um jogo), supostamente para atrair pessoas (especialmente crianças) interessadas em baixar o jogo do monstro comedor de doce. Uma pessoa que analisou esse jogo declarou: Tem todas as qualidades viciantes de Angry Birds 4. O sucesso gera golpes. O SEO black hat funciona particularmente bem no ambiente móvel, pois é mais difícil que os usuários conheçam o URL real que estão visitando. Por padrão, um navegador móvel pode não apresentar o URL na janela visualizada. Quando o URL não fica completamente visível, o atacante pode utilizar typosquatting (apresentar o nome de um site quase igual ao do legítimo) ou URLs especiais para induzir os usuários a pensarem que estão no site desejado, como amazon.com. Além disso, os desenvolvedores que criam conteúdo com HTML5 podem fazer com que um site pareça um aplicativo móvel nativo, sem URL ou barra de endereços visível. O usuário precisa mover ou puxar uma página para baixo a fim de ver a barra de endereços. Mesmo assim, na tela de um dispositivo móvel, é possível que o usuário não possa ver todo o URL 5. Quatro lojas de aplicativos malintencionados atraíam gamers usando as palavras cut the rope (Imagem: cortesia da Amazon.com) Fontes de dados reais Os usuários do McAfee Mobile Security baixaram mais de aplicativos. Esse número reflete todas as versões de um aplicativo. Por exemplo, há 50 versões diferentes do aplicativo do Facebook. Quando um usuário baixa um aplicativo, o software da McAfee analisa diversos fatores, inclusive As permissões solicitadas pelo aplicativo Se o aplicativo compartilha dados A presença de malware A reputação dos URLs do aplicativo O McAfee Mobile Security apresenta uma avaliação do risco, e o usuário pode excluir o aplicativo com facilidade. 1/6 dos downloads de aplicativos pode ser perigoso A seguir, os detalhes sobre a natureza dos aplicativos perigosos baixados pela comunidade de usuários. Qual é o nível e tipo de riscos que os usuários realmente enfrentam? Maior do que o imaginado. Dos aplicativos baixados pelos usuários entre abril e dezembro de 2012, os testes da McAfee mostraram que 16% (1/6 dos aplicativos) estão infectados por malware ou contêm links para URLs perigosos. 5

6 Aplicativos inofensivos Aplicativos infectados por malware Aplicativos com URL vermelho Apps with Yellow URL Malware + URL vermelho Malware + URL amarelo Apenas infectado por malware Figura 2. 1/6 dos usuários da McAfee baixou aplicativos perigosos. Dos 8% de aplicativos baixados pelos usuários que continham malware, 23% também continham URLs suspeitos. Os usuários do McAfee Mobile Security são nitidamente avessos a riscos: eles adquiriram um produto de segurança móvel. Além disso, eles veem um aviso quando tentam visitar sites classificados como perigosos. Assim, eles têm a chance de parar antes de se depararem com um aplicativo perigoso. Por esses motivos, acreditamos que 1/6 representa uma fração bastante conservadora do espectro de riscos de aplicativos. Assim como uma criança sem vacina, qualquer pessoa sem segurança móvel corre maior risco de infecção. Malware + URLS suspeitos = Golpes sofisticados Em seguida, a McAfee examina os 8% de aplicativos perigosos que continham malwares. Destes, alguns eram complexos. Cerca de 23% continham malware e URLs suspeitos (vermelhos ou amarelos). Um aplicativo com malware e URL suspeito pode estar auxiliando um programa de SEO black hat que alavanca impressões e cliques de anúncios. Para isso, o código mal-intencionado pode adicionar indicadores ao navegador ou instalar um aplicativo que abra um site de destino ou o URL do anúncio. Os malwares mais avançados tentarão induzir cliques ao anúncio ou enviar usuários a um fórum ou site que paga o criminoso com base no tráfego. 6

7 Definição de malware móvel Dizemos que um aplicativo contém malware quando o mesmo realiza uma ou mais das seguintes ações: Envia informações pessoais ou do dispositivo do usuário para outra pessoa sem sua permissão; Investiga e registra suas atividades (histórico de navegação, mensagens, vídeos reproduzidos); Envia mensagens SMS pagas para a venda de toques, downloads ou serviços de dados por assinatura; Executa fraude de cliques; Explora uma vulnerabilidade ou um problema de software no dispositivo do consumidor para fazer com que o mesmo realize uma ação inesperada (às vezes, baixando outro malware); Acessa a raiz do dispositivo para permitir que o atacante o controle; Instala uma backdoor ou transforma o dispositivo em um cliente bot (robô), que pode coletar informações pessoais; Instala uma ferramenta hacker que permite que o atacante controle o dispositivo; Baixa um código mal-intencionado secundário de um site; É nocivo ao dispositivo ou aos seus dados; Envia spams por SMS a partir de seu dispositivo. Diversos comportamentos inadequados A McAfee analisou famílias de malwares no Android 6, identificadas de 2007 a Foi descoberto que o envio de informações do dispositivo e a espionagem representam cerca de metade dos comportamentos mal-intencionados nas famílias. Envio de informações do dispositivo Spyware Adware Envio de SMS pago Fraude Exploração Malware de rooting Backdoor/rede de bots Ferramenta hacker Downloader/instalador Destrutivo Spam por SMS Figura 3. Os malwares móveis apresentam uma ampla gama de comportamentos mal-intencionados ou possivelmente indesejados. A McAfee observou também que 40% das famílias de malware apresentavam mais de um comportamento inadequado. Essa complexidade ajuda os cibercriminosos a atingirem o sucesso de duas maneiras. Primeiramente, o atacante pode personalizar cada ataque de acordo com as tecnologias e vulnerabilidades do dispositivo. Em segundo lugar, com as combinações, fica mais difícil para os usuários (ou softwares de segurança) reconhecer o comportamento incomum ou mal-intencionado, o que permite que o ataque prossiga sem ser detectado. 7

8 70% Famílias de malware 60% 50% 40% 30% 20% 10% 0% Figura 4. 40% das famílias de malware incluem mais de um comportamento suspeito. Nas famílias que incluem quatro ou mais comportamentos inadequados, foram detectados alguns fatores comuns: 100% enviam informações pessoais do dispositivo 100% instalam uma backdoor ou rede de bots no dispositivo 75% incluem um downloader ou instalador 62% atuam como spyware 50% possuem malwares de rooting Entre esses ataques cuidadosamente projetados, há alguns cujos nomes sejam conhecidos: DroidDream RootSmart, Stiniter 7, DroidKungFu 8, Geinimi e DroidDreamLite. Algumas dessas famílias têm características em comum: O DroidKungFu.A possui alguns aspectos de outras famílias complexas de malware para Android, como Geinimi e Android/DrdDream. Seu código está incluído em diversos aplicativos, inclusive alguns jogos. Assim como o DrdDream, o DroidKungFu.A também utiliza um par de explorações da raiz para reduzir a segurança do sistema e se manter no dispositivo. McAfee Security Journal, 3º trimestre de 2011 A coincidência dos 100% entre o envio de informações do dispositivo e a instalação de uma backdoor ou rede de bots faz todo o sentido. Vamos supor que um hacker deseja tornar o dispositivo do 8

9 consumidor parte de uma rede de bots ou coletar detalhes a respeito de suas ações. Para se comunicar com o dispositivo, o criminoso precisa saber o número de identificação. Por isso, a primeira tarefa após a instalação do malware é enviar informações do dispositivo. A McAfee descobriu que 75% das famílias mais complexas de ameaças vão mais além. Elas aproveitam malwares ou softwares de controle adicionais para proporcionar mais ferramentas ao atacante, como spywares ou malwares de rooting. Assim como realizar rooting ou jailbreak de um iphone, os malwares de rooting permitem que os atacantes ultrapassem os controles internos e dominem o dispositivo. Código/bots/redes de bots reutilizáveis Os clientes de rede de bots, downloaders e rootkits são softwares genéricos e úteis, vendidos no mercado negro como parte de kits de ferramentas de software. Com esses kits de ferramentas predefinidos, os cibercriminosos não precisam fazer muito esforço nem ter conhecimento técnico aprofundado para criar um pacote adequado a cada finalidade. Basta selecionar algumas opções e regras, e voilà: fraude de cliques e SMS pago, distribuição de spams, roubo de dados ou fraudes bancárias são realizadas. Os criminosos comerciais reutilizam e recombinam esses componentes quando desenvolvem esquemas diferentes. Caso um gerenciador da rede de bots, ou bot herder, descubra outro criminoso disposto a alugar a rede de bots, esse herder pode carregar os novos comandos do locador no código. Esse é um modo inteligente, porém ilegal, de usar a nuvem. Nele, o mesmo sistema básico de rede de bots oferece suporte a diferentes crimes. Por exemplo, em Segurança móvel: relatório de tendências de consumidores da McAfee descreve-se a versatilidade de dois ataques, Android/Funsbot.A e Android/ Backscript.A: O Android/Funsbot.A é um cliente de rede de bots que fazia parte de uma campanha maior de ameaça avançada persistente. Ele captura os comandos que enviam e baixam arquivos do servidor do atacante. O cliente também pode pesquisar os diretórios de um dispositivo Android infectado. Isso permite que um atacante tanto colete informações sobre um alvo específico como mantenha e aumente o controle sobre esse alvo. O Android/Backscript.A é outro avanço na área de malware para Android. Esse cliente de rede de bots recebe atualizações de novos comandos e novas funções do servidor de controle do atacante. Em vez de baixar executáveis originais, ele usa uma forma de JavaScript que funciona no Java para dispositivos móveis para reduzir o tempo de desenvolvimento. Atualmente, o malware realiza instalações pagas de um determinado aplicativo de terceiros, e pode ser facilmente atualizado para instalar outros aplicativos pagos. A criação ou o aluguel de malware é simples com o anonimato proporcionado pela Internet. E é ainda mais fácil roubar o sistema de uma pessoa. 9

10 O consumidor precisa ficar atento com seu dispositivo inteligente Para evitar aplicativos malintencionados: Baixar somente aplicativos do Google Play e de outras lojas bem conhecidas, tanto de fabricantes de dispositivos móveis quanto de operadoras. Não baixar aplicativos que pareçam incomuns. Remover aplicativos que o software de segurança no dispositivo considere perigosos. Caso o consumidor realmente precise de um aplicativo que não está disponível em uma loja comercial, recomenda-se utilizar uma solução de segurança móvel que verifique permissões, reputação e conteúdo do aplicativo. Destaques sobre spyware 23% dos spywares também adicionam o dispositivo a uma rede de bots ou instala uma backdoor Neste relatório, a equipe da McAfee optou por investigar os spywares e descobriram que eles representam em torno de 1/3 das famílias de malwares no laboratório. A maioria dos spywares é apenas spyware, que analisa e registra histórico de navegação, mensagens e localizações. Entretanto, alguns são completamente nocivos. Das 70 famílias de malware classificadas como spyware, 23% ativaram um cliente de rede de bots ou uma backdoor, permitindo todas as formas de controle abordadas anteriormente; já 7% delas eram responsáveis pelo envio de mensagens SMS pagas. O Geinimi é um ótimo exemplo de spyware associado a uma rede de bots. Ele também encaminha todas as mensagens SMS ao atacante. Isso permite que ele intercepte mensagens do banco, de serviços SMS pagos ou de um serviço de transferência de dinheiro. Ele também pode instalar novos spywares ou adwares e roubar os contatos a fim de distribuir um worm ou encaminhar spams. Por fim, ele pode carregar URLs no navegador para gerar tráfego ou cliques em anúncios. Somente spyware Rede de bots ou backdoor SMS pago Malware de rooting Downloader/instalador Spam por SMS Figura 5. A McAfee descobriu que os spywares às vezes incluem outros comportamentos inadequados. 10

11 O que virá em seguida? A tendência é que os ataques fiquem cada vez mais sofisticados em um futuro próximo. Os URLs suspeitos levarão a um número cada vez maior de infecções por malware, provavelmente pelo uso de downloads de passagem em segundo plano. Além dos downloads de passagem e SEO black hat, outras ameaças voltadas para computadores migrarão para ambientes de dispositivos móveis. Os cibercriminosos também procurarão por modos de gerar receita com recursos exclusivos de dispositivos móveis. Durante 2012, em torno de 16% das famílias de malware tentaram fazer com que os dispositivos assinassem serviços pagos de mensagens SMS. Em 2013, a tendência é que haja um aumento no número de ameaças como MarketPay, um apanhado de conteúdo pago direcionado a usuários de lojas de aplicativos de terceiros. Os usuários percebem que compraram aplicativos apenas quando conferem suas faturas. É provável que haja mais malwares orientados a fraudes em Uma possível fraude inovadora se aproveitará da tecnologia de comunicação a curta distância (NFC, Near Field Communication) do tipo toque e pague utilizada em programas de pagamento móvel ou carteiras digitais. Esse golpe pode envolver worms que se propagam por proximidade, um processo chamado de bater e infectar. O caminho de distribuição pode disseminar malwares rapidamente em um trem cheio de passageiros ou em um parque de diversões. Quando o dispositivo recém-infectado é utilizado para tocar e pagar a próxima compra, o golpista coleta os detalhes da conta da carteira e reutiliza as credenciais secretamente para saquear a carteira. Para mais informações sobre ameaças, consultar o relatório de previsões de ameaças do McAfee Labs para 2013 para obter descrições de outras novas ameaças possíveis. Nesse relatório estão descritos os malwares que bloqueiam atualizações de segurança em celulares e kits de ransomware que permitem que cibercriminosos sem conhecimentos em programação recebam pagamentos sem consentimento do usuário e desbloqueiem dispositivos. E que tal um malware que renova uma conexão após a eliminação de uma rede de bots, permitindo que as máquinas zumbis voltem à ativa? É preciso estar atento. Os pesquisadores da McAfee estão acompanhando todos esses impressionantes (e perigosos) esquemas relacionados a ameaças móveis. Recursos Para acompanhar as mudanças no cenário de ameaças móveis, acessar: McAfee Security Advice Center 99 coisas que você desejaria ter sabido antes de seu dispositivo ser hackeado mcafee.com/us/mms Sobre os autores Este relatório foi escrito por Barbara Kay, Jimmy Shah e Abhishek Verma. Sobre o McAfee Labs O McAfee Labs é a equipe global de pesquisa da McAfee. Sendo a única organização de pesquisa dedicada a todos os vetores de ameaças malware, Web, , rede e vulnerabilidades, o McAfee Labs coleta informações de seus milhões de sensores e de seu centro de coleta McAfee Global Threat Intelligence na nuvem. A equipe de 500 pesquisadores multidisciplinares do McAfee Labs em 30 países acompanha toda a gama de ameaças em tempo real, identificando vulnerabilidades de aplicativos, analisando e correlacionando riscos, e permitindo correções instantâneas para proteger as empresas e o público. Sobre a McAfee A McAfee, uma subsidiária pertencente à Intel Corporation (NASDAQ:INTC), permite às empresas privadas, ao setor público e aos usuários domésticos aproveitarem com segurança os benefícios da Internet. A empresa oferece soluções e serviços de segurança proativos e comprovados para sistemas, redes e dispositivos móveis em todo o mundo. Com sua estratégia Security Connected, uma inovadora abordagem de segurança aprimorada por hardware, e a exclusiva rede Global Threat Intelligence, a McAfee dedica-se ininterruptamente a manter seus clientes em segurança. 11

12 1 No segundo trimestre de 2012, os pesquisadores descobriram o NotCompatible, o primeiro malware móvel de download de passagem que era instalado em segundo plano quando um usuário visitava um site, sem que o usuário aceitasse o código. 2 O laboratório geral contém amostras de aplicativos detectadas pelos rastreadores, bem como amostras identificadas por outros pesquisadores. As informações de fontes referem-se apenas a aplicativos identificados pelos rastreadores No final de 2012, os desenvolvedores haviam escrito 97% dos malwares móveis para a plataforma Android. McAfee do Brasil Comércio de Software Ltda. Av. das Nações Unidas, andar - CEP São Paulo - SP - Brasil Telefone: +55 (11) Fax: +55 (11) O DroidDream estava ativo em O relatório de ameaças do McAfee Labs do primeiro trimestre de 2012 fez a seguinte declaração sobre o RootSmart e o Stiniter: O Android/RootSmart.A utiliza uma exploração da raiz para baixar o Android/DrdLive.A, um cavalo de Troia com backdoor que envia mensagens SMS pagas e recebe comandos de um servidor de controle. O Android/ Stiniter.A utiliza uma exploração de raiz para baixar malwares adicionais e envia informações do telefone para sites sob controle do atacante. Ele também envia mensagens de texto para números com tarifa especial. O servidor de controle do atacante atualiza o corpo da mensagem e o número para o qual o telefone invadido envia a mensagem. 8 No final de maio, um novo malware foi descoberto no Android Market oficial. A descoberta foi feita por pesquisadores da Universidade da Carolina do Norte. Chamado DroidKungFu, esse software mal-intencionado é capaz de chegar à raiz de dispositivos Android vulneráveis utilizando as explorações RageAgainstTheCage e CVE , inicialmente implementadas pelo DroidDream. Porém, ao contrário de seu predecessor, o DroidKungFu utiliza o AES para criptografar as duas explorações, a fim de evitar a detecção pelos softwares antivírus móveis atuais. Tirando essa diferença, o comportamento do malware é igual ao do DroidDream: ele coleta informações sobre o dispositivo e instalar outro aplicativo, que pode baixar mais softwares malintencionados para o dispositivo. Android Malware: Past, Present, and Future McAfee, o logotipo da McAfee e Global Threat Intelligence são marcas comerciais, registradas ou não, da McAfee, Inc. ou de suas subsidiárias nos Estados Unidos e em outros países. Outras marcas podem ser reivindicadas como propriedade de terceiros. Os planos, as especificações e as descrições do produto são apresentados aqui apenas para fins informativos e estão sujeitos a mudanças sem aviso. Além disso, são apresentados sem garantias de espécie alguma, sejam elas explícitas ou implícitas. Copyright 2013 McAfee mobile-threat-report_0213_etmg