COMUNICADO DE IMPRENSA O auge das redes zombi em 2012 Este fenómeno tem evoluído nos últimos anos e têm surgido, por exemplo, redes zombi descentralizadas, móveis e administradas através das redes sociais, como o infame Flashfake No primeiro trimestre de 2012, foram detectados 5.444 programas maliciosos para Android. As ameaças multiplicaram-se por nove só no último semestre Uma rede zombi móvel de origem chinesa atingiu entre 10.000 e 30.000 dispositivos activos e o número total de smartphones infectados chega às centenas de milhares Lisboa, 19 de Junho de 2012 Hoje em dia, as redes zombi constituem uma das tecnologias mais usadas pelos cibercriminosos. Tal como aponta o Relatório de Malware do Primeiro Trimestre da Kaspersky Lab, líder no desenvolvimento de sistemas de protecção contra software malicioso, estas tecnologias têm evoluído nos últimos anos e têm surgido, por exemplo, as redes zombi descentralizadas, as móveis e as administradas através das redes sociais, como a compostas por sistemas Mac infectados. O ano de 2011 foi um período sem grandes novidades quanto a redes zombi, mas tudo mudou no início de 2012. A bot invisível No primeiro trimestre de 2012, foi descoberta uma rede zombi criada com uma nova tecnologia: a bot "sem ficheiro". Este código malicioso pertence a uma estranha categoria de programas maliciosos que só existem na memória RAM do computador. O problema manifestava-se na forma de anomalias nos computadores infectados, que começavam a enviar petições de rede depois de visitar alguns sites populares na Internet e, em alguns casos, apareceram ficheiros encriptados nos discos rígidos. No entanto, neste caso específico, não aparecia qualquer novo ficheiro executável nos Página 1
discos das vítimas. Uma análise detalhada da Kaspersky Lab permitiu identificar a corrente completa em que estavam envolvidos os computadores infectados que, por sua vez, compunham a rede zombi. Graças aos analistas da Kaspersky Lab, ao pessoal da AdFox e a um investigador anónimo, foi possível deter a infecção. Ainda que os processos maliciosos permanecessem na memória RAM até ao reinício do sistema operativo, a infecção propagava-se através de sites conhecidos. Os cibercriminosos podiam infectar computadores numa base diária, o que lhes permitia manter a população de bots num nível elevado. É importante destacar que não ficava virtualmente nenhum rasto da infecção ou dos dados recolhidos no disco rígido do computador, uma vez reiniciado o sistema operativo. Quando nos deparamos com uma bot sem ficheiro, torna-se muito difícil identificar os computadores que compõem a rede zombi, já que não aparece nenhum ficheiro executável no disco e os cibercriminosos realizam todas as suas acções camuflando-as como processos legítimos de Java. Ainda que as correcções sejam eficazes contra esta e outras ameaças similares, alguns utilizadores não costumam actualizar os seus equipamentos de forma regular. Isto significa que no futuro poderemos voltar a encontrar programas similares maliciosos, ainda que já não em tão grande escala, já que se trata de algo bastante sofisticado. Redes zombi móveis Os criadores de programas maliciosos para dispositivos móveis apostam forte na plataforma Android VOS. No primeiro trimestre de 2012, foram detectados mais de 5.000 (5.444) programas maliciosos para esta plataforma. O número total de programas maliciosos para Android foi multiplicado por nove só durante o último semestre. Página 2
Número de variantes de programas maliciosos para Android OS Os autores chineses e russos de programas maliciosos são os que mostram maior interesse na plataforma Android. Os autores chineses conseguiram criar uma rede zombi de 10.000 a 30.000 dispositivos activos, e o número total de smartphones infectados chega às centenas de milhares. Esta rede zombi foi criada com o trojan RootSmart, que possui uma extensa funcionalidade relacionada com o controlo remoto de dispositivos e se propaga através de um método de eficácia comprovada: os seus autores usam um programa legítimo e fazem o seu upload para o website de uma loja não oficial de aplicações para Android que é muito popular na China. Como resultado, os utilizadores que descarregaram o programa para configurar os seus dispositivos também receberam o Trojan que, assim, os capturou para a rede zombi. O alcance da infecção causada pelo RootSmart significa que os cibercriminosos têm conseguido lucrar com a rede zombi de dispositivos móveis. Escolheram o método mais popular entre os cibercriminosos dedicados aos dispositivos móveis: o envio de mensagens SMS de valor acrescentado para números comerciais. Mas, para quê tomar o controlo total do dispositivo se a principal função da bot é enviar mensagens SMS de valor acrescentado? É simples, o controlo total permite-lhes ocultar a presença do programa malicioso no dispositivo por muito tempo, o que lhes permite apanhar o dinheiro da conta dos utilizadores também por mais tempo. Página 3
Rede zombi feita de Macs Outra rede zombi que chamou a atenção dos analistas no primeiro trimestre de 2012 foi a implementada em computadores Mac OS X. As primeiras versões do Flashfake apareceram no Outono do ano passado. Os programadores do programa malicioso tomaram algumas medidas para dificultar a sua detecção (certificaram-se de que o Trojan não era instalado em computadores que tivessem soluções antivírus instaladas, conceberam bots para que desactivassem as actualizações do sistema de segurança incluído no sistema Mac OS X, Xprotect, etc.). Depois, os cibercriminosos experimentaram novas formas de controlar as suas redes zombi. Por exemplo, algumas versões do Flashfake usavam contas do Twitter criadas pelos cibercriminosos como servidores de comando. O principal objectivo de uma bot é descarregar e executar módulos adicionais sem que o utilizador se dê conta. Os cibercriminosos ganhavam dinheiro pela geração de falsos resultados nos motores de busca e foi concebido um módulo adicional para substituir os links nos resultados das buscas mais populares. O crescente interesse dos cibercriminosos pela plataforma Apple fica confirmado com as estatísticas da Kaspersky Lab sobre as detecções de novas versões de programas maliciosos dirigidas contra Mac OS X: Número de novos registos de programas maliciosos para Mac OS X adicionados às bases de dados antivírus da Kaspersky Lab Página 4
Acerca da Kaspersky Lab: Kaspersky Lab é a maior companhia antivírus da Europa. A Kaspersky Lab proporciona uma das protecções mais imediatas do mundo contra ameaças à segurança informática, incluindo vírus, spyware, crimeware, hackers, phishing e correio spam. A companhia está entre os quatro primeiros fabricantes mundiais de soluções de segurança informática para utilizadores finais. Os produtos e soluções da Kaspersky Lab proporcionam um dos tempos de resposta mais rápidos e níveis de detecção mais elevados da indústria, tanto para utilizadores particulares, pequenas e médias empresas e grandes corporações, como para ou ambiente informático móvel. A tecnologia da Kaspersky também está incluída em produtos e serviços de outros criadores de soluções de segurança líderes da indústria informática. Leia mais na nossa página www.kaspersky.pt. Para conhecer as últimas novidade é em antivírus, antispyware e outros aspectos e tendências em segurança informática, visite www.securelist.com. Para mais informações, contacte: LANÇA PALAVRA Ana Margarida Paula Tel. +351 962543653 Fax +351 243372981 Email apaula@lancapalavra.com Kaspersky Lab Iberia Vanessa González Directora de Comunicação Tel. +34 91 398 37 52 Email vanessa.gonzalez@kaspersky.es 2012 Kaspersky Lab. A informação contida pode ser sujeita a mudanças sem aviso prévio. As únicas garantias dos produtos e serviços da Kaspersky Lab estão definidas de agora em diante nas declarações de garantia expressa que acompanham estes produtos e serviços. Nada do que aqui se expressa pode ser interpretado como garantia adicional. A Kaspersky Lab não se responsabiliza por erros técnicos ou editoriais ou omissões cometidos no texto. Página 5