Fortinet (NASDAQ: FTNT), leverancier van netwerkbeveiliging en een leider op het gebied van unified threat management (UTM), heeft de resultaten nieuwe onderzoeken naar internetbedreigingen gepubliceerd. Voor de periode van 1 juli 2012 tot 30 september 2012 melden de onderzoekers van FortiGuard Labs een duidelijke toename van Android-adware naast nieuwe bewijzen die suggereren dat de Zitmo (Zeus-in-the-Mobile) Trojan voor mobiel bankieren tot een botnet uitgroeit. Tegelijk detecteerden ze ook Roemeense hackers die het web op grote schaal scannen op zoek naar zwakke plekken.
Android-adware in de lift
De afgelopen drie maanden rapporteerde FortiGuard Labs een sterke stijging van Android-adware voor mobiele toestellen, met een activiteitsvolume dat vergelijkbaar was met dat van Netsky.PP, een van de beruchtste en wijdst verspreide spamgeneratoren in de geschiedenis van het internet. Bijna 1% van alle FortiGuard controlesystemen in de APAC- en EMEA-regio’s en 4% van de systemen in Noord- en Zuid-Amerika detecteerden twee adware-varianten – Android/NewyearL en Android/Plankton. Deze twee varianten komen voor in verscheidene applicaties waarin een gemeenschappelijk toolset ingebed is om ongewenste advertenties op de statusbalk van het mobiele toestel weer te geven, om de gebruiker via zijn IMEI-nummer (International Mobile Equipment Identity) te volgen en om icoontjes op de desktop van het toestel te plaatsen.
“De toename in Android-adware is wellicht toe te schrijven aan gebruikers die op hun mobiele toestellen legitieme applicaties met de ingebedde adwarecode plaatsen. Dat wijst erop dat iemand of een groep mensen geld verdient met gelinkte piraatprogramma’s voor advertenties,” zei Guillaume Lovet, senior manager van het FortiGuard Labs Threat Response Team van Fortinet.
Zulke applicaties vergen te veel onnodige rechten voor een normale toepassing, en dat wijst op een verborgen agenda. Zo wordt bijvoorbeeld ook toestemming gevraagd om toegang te krijgen tot onderdelen van het device die niet relevant zijn voor de toepassing, en tot de browsergeschiedenis, de contactgegevens, de telefoon- en identiteitsbestanden en de systeembestanden van het device. FortiGuard Labs raadt daarom aan de rechten die de applicatie vraagt op het moment van de installatie, nauwkeurig te onderzoeken. Daarnaast is het verstandig om alleen mobiele applicaties die onderzocht werden en een goede beoordeling gekregen hebben, te downloaden.
Zitmo wordt geavanceerder
Tijdens het voorbije kwartaal stelden de onderzoekers van FortiGuard vast dat Zitmo (of Zeus-in-the-mobile) tot een complexe bedreiging uitgegroeid is, met recente nieuwe versies voor Android en Blackberry. Zitmo is de beruchte mobiele component van de Zeus Trojan voor elektronisch bankieren dat de authentificatie met twee factoren omzeilt door SMS-bevestigingscodes om toegang tot bankrekeningen te krijgen, te onderscheppen. De nieuwe versies voor Android en Blackberry hebben nu extra kenmerken zoals die van een botnet gekregen, waardoor cybercriminelen in staat zijn om de Trojan via SMS-instructies te sturen.
“De nieuwe versie van Zitmo is wellicht ook al in Europa en Azië losgelaten. Omdat we in die regio’s nog maar enkele voorbeelden van de malware detecteren, vermoeden we dat de code op het ogenblik door de makers getest wordt of voor heel specifieke, gerichte aanvallen ingezet wordt,” meent Lovet.
Naarmate meer banken en e-handelaars een authentificatiesysteem met twee factoren toepassen, gewoonlijk met een SMS-code om de tweede authentificatiefactor door te geven en een transactie te bevestigen, moeten Android- en Blackberry-gebruikers opletten wanneer hun financiële instelling hun vraagt om software op hun toestel te installeren. Banken vragen zulk een stap immers maar heel zelden van hun klanten. Om zeker te zijn, raadt FortiGuard Labs aan om alleen met de originele cd van het besturingssysteem online te bankieren. Als dat geen optie is, moeten gebruikers een antivirussysteem op hun telefoon en pc’s installeren en ervoor zorgen dat dit systeem altijd up-to-date is.
Hackers scannen het web
Roemeense hackers scannen het internet af op zoek naar zwakke plekken in phpMyAdmin
De voorbije drie maanden heeft FortiGuard Labs ook opgemerkt dat het internet op grote schaal gescand werd op zoek naar zwakke plekken. Die scans werden uitgevoerd met een toolset dat Roemeense hackers ontwikkeld hebben om webservers op te sporen met een kwetsbare versie van de mySQL administratiesoftware (phpMyAdmin). De bedoeling is om controle over die servers te krijgen. De toolset, dat ZmEu genoemd werd, bevat codereeksen die naar AntiSec verwijzen, de internationale hackersbeweging die vorig jaar door Anonymous en Lulzsec gestart werd. Die scans worden over de hele wereld uitgevoerd en in september detecteerde bijna 25% van de FortiGuard controlesystemen minstens één zulk een scan per dag.
“We kunnen alleen maar speculeren over de bedoeling van deze zoektocht naar zwakke plekken," voegde Lovet eraan toe. “Maar als deze hackers inderdaad banden met AntiSec hebben, omvatten de mogelijke scenario’s zaken zoals het verzamelen van gevoelige gegevens, het gebruik van de aangetaste servers als een uitvalsbasis voor DDoS-aannvallen (direct denial of service - directe weigering van dienstverlening) of het aantasten van de geïnfiltreerde websites." Om webservers tegen die dreiging te beschermen, raadt Fortinet aan om de nieuwste versie van PhPMyAdmin te installeren.